Nächstes Facebook-Datenleck: Tool findet E-Mail-Adressen zu Facebook-Konten

Nach dem erst kürzlich bekannt gewordenen Facebook-Datenleck mit 533 Millionen Betroffenen sorgt nun ein Tool für Aufsehen, das auf ähnlichem Wege eigentlich nicht öffentliche E-Mail-Adressen mit Facebook-Accounts in Verbindung bringen kann.

Das Tool mit dem Namen Facebook Email Search v1.0 kann mit einer Liste von E-Mail-Adressen gefüttert werden, die anschließend über eine Schwachstelle im Frontend mit Facebook-Benutzerkonten abgeglichen werden. So lassen sich E-Mail-Adressen Facebook-Konten zuordnen, auch wenn diese die E-Mail-Adresse explizit nicht öffentlich teilen wollen. Das soll mit 5 Millionen E-Mail-Adressen pro Tag funktionieren.

Damit funktioniert das Tool ähnlich wie das oben genannte Facebook-Datenleck, bei dem Kriminelle mithilfe von Facebooks Kontaktimporter Telefonnummern durchprobierten. War eine Telefonnummer bei Facebook hinterlegt, konnte sie mit dem Account und damit mit weiteren Informationen in Verbindung gebracht werden, obwohl die Telefonnummer eigentlich nicht öffentlich einsehbar war.

Facebook war die Schwachstelle nicht wichtig genug

Der Autor des Facebook-E-Mail-Search-Tools hatte die dahinterliegende Schwachstelle bereits an Facebook gemeldet. Das Unternehmen habe die Schwachstelle jedoch für nicht wichtig genug gehalten, um sie zu beheben, erklärte der Autor dem Onlinemagazin Ars Technica.

Das sei auch der Grund, warum er jetzt an die Öffentlichkeit gegangen sei. Auch die Facebook-Tochter Whatsapp weigert sich seit Jahren, die Möglichkeit zum Abfragen des Online-Status für Dritte zu deaktivieren. So lässt sich bis heute nicht verhindern, dass (Ex-)Partner, Stalker oder sonstige Personen überwachen können, wann Betroffene Whatsapp verwenden.

"Es scheint, dass wir diesen Bug Bounty Report fälschlicherweise geschlossen haben, bevor wir ihn an das richtige Team weitergeleitet haben", erklärte Facebook dem Onlinemagazin. "Wir sind dem Forscher dankbar, dass er die Informationen mit uns geteilt hat, und ergreifen erste Maßnahmen, um das Problem zu entschärfen, während wir die Ergebnisse weiterverfolgen, um sie besser zu verstehen."

Erst kürzlich wurde eine interne E-Mail von Facebook bekannt, nach der die PR-Abteilung des Unternehmens Datenlecks normalisieren und als Branchenproblem darstellen möchte. Gleichzeitig will Facebook jedoch nicht die vom Datenleck Betroffenen informieren.Wollen potenziell Betroffene erfahren, ob ihre Daten geleakt wurden, müssen sie selbst aktiv werden.

Die irische Bürgerrechtsorganisation Digital Rights Ireland (DRI) strebt eine Massenklage auf Entschädigung gegen Facebook an. Betroffene aus der EU können sich dieser anschließen.

Rund 9 Millionen Menschen aus Deutschland, Österreich und der Schweiz sind von dem Datenleck betroffen, darunter auch Bundestagsabgeordnete und Prominente. Teil des Datenlecks sind neben den Nutzernamen, E-Mail-Adressen und Telefonnummern auch Geschlecht, Beruf, Stadt, Land und Beziehungsstatus.