Datenleck bei Facebook
Eine Sicherheitslücke im Anmeldedialog von Facebook liefert jedem, der es wissen will, zu einer eingegebenen Mail-Adresse den Namen und das Foto des Benutzers, sofern dieser Facebook-Mitglied ist. Das ist eine Einladung für Spammer und Betrüger, die dadurch überzeugender wirkende Lockangebote machen können.
Vermutlich betrachtet es Facebook nicht als Bug sondern als Feature. Doch tatsächlich stellt diese Möglichkeit, wie so viele Funktionen bei Facebook, eine Beeinträchtigung der Privatsphäre dar. Jeder kann eine Mail-Adresse und ein beliebiges (meist wohl falsches) Passwort im Anmeldedialog eintippen und erhält Namen und Foto des zugehörigen Facebook-Nutzers. Allerdings scheint der Trick nicht immer zu klappen.
So lässt sich heraus finden, ob jemand bei Facebook ist, ohne dass man selbst angemeldet oder überhaupt Mitglied sein muss. Kennt etwa ein Spammer oder Phisher nun den Namen und hat auch noch ein Foto (aus dem man eventuell auf Alter und Geschlecht schließen kann), bietet sich die Möglichkeit denjenigen persönlicher anzusprechen, um überzeugender zu wirken.
Atul Agarwal hat diese Möglichkeit entdeckt und auf der Mailing-Liste Full Disclosure veröffentlicht. Er hat auch gleich ein PHP-Script mitgeliefert, mit dem es möglich ist, automatisiert eine beliebige Zahl von Mail-Adressen auszuprobieren und die von Facebook gelieferten Daten zu speichern.
Hierin liegt das eigentliche Problem. Eine einzelne Mail-Adresse einzutippen, um dann die besagten Informationen zu erhalten ist eine Sache - massenhafte solche Daten abgreifen zu können, ist etwas anderes. Auch maximale Einstellungen für den Schutz der Privatsphäre im eigenen Benutzerprofil helfen nicht gegen dieses Datenleck.
