Facebook: Nutzer über versteckte Handynummern auffindbar

12. August 2015, 09:55
96 Postings

Sicherheitsforscher konnte massenhaft Daten anhand zufällig generierter Nummern abfragen

Facebook hat sich in den vergangenen Jahren bemüht, die Privatsphäre-Einstellungen etwas transparenter zu gestalten. Dennoch sind diese noch immer so komplex, dass sie von Datensammlern oder Spammern ausgetrickst werden können. Ein Sicherheitsforscher aus Großbritannien hat nun herausgefunden, wie man in Sekunden massenhaft Nutzerprofile aus dem Netzwerk absaugen kann – über zufällig generierte Handynummern.

Nutzer über Handynummer suchen

In den Privatsphäre-Einstellungen können Nutzer festlegen, wie und von wem sie über das Netzwerk gefunden werden dürfen: anhand der E-Mail-Adresse, der Telefonnummer und über Suchmaschinen. Bei E-Mail-Adresse und Telefonnummer kann man einstellen ob alle Nutzer das Profil finden dürfen, nur Freunde oder Freunde von Freunden. Ist die Einstellung auf "Alle" gesetzt, kann man von jedem gefunden werden, der die Handynummer in die Facebook-Suchleiste eintippt. Das funktioniert auch dann, wenn man die Nummer in den Profilangaben eigentlich nicht öffentlich zugänglich ist. Genau diese Tatsache können sich Datensammler zunutze machen.

screenshot: red
In den Privatsphäre-Einstellungen können Nutzer festlegen, wie man über das soziale Netzwerk gefunden werden kann.

Der Sicherheitsforscher Reza Moaiandin hat ein Script entwickelt, mit dem er über die Facebook-Schnittstelle für Entwickler massenhaft Mobilfunknummern abfragen konnte. Die Nummern waren dabei zufällig generiert – eine Taktik, auf die auch Keileranrufer oft zurückgreifen. Wie der "Guardian" berichtet, konnte Moaiandin so tausende Nutzerprofile zu Mobilfunknummern zuordnen.

Kritik an Facebook

Diese Daten sind zwar öffentlich zugänglich, also prinzipiell keine Schwachstelle im Code von Facebook. Dennoch sollte das Unternehmen Gegenmaßnahmen treffen, um das massenhafte Abgreifen von Daten stärker zu unterbinden, meint der Sicherheitsanalyst Graham Cluley. Auch sollte nicht von Haus aus eingestellt sein, dass Nutzer von allen über ihre Telefonnummer gefunden werden können.

Moaiandin meldete Facebook seine Entdeckung, beim Netzwerk sah man darin aber offenbar keine Sicherheitsanfälligkeit. Eine Unternehmenssprecherin sagte zum "Guardian", dass es ohnehin strikte Regeln gebe, wie Entwickler die APIs einsetzen dürfen. Über ein Netzwerk-Monitoring-System werde sichergestellt, dass die Datensicherheit gewährleistet wird. Über die Schnittstellen könnten zudem nur Daten abgefragt werden, die Nutzer öffentlich machen.

Mitglieder des sozialen Netzwerk könnten aber fälschlich annehmen, dass ihre Handynummer generell nicht zugänglich ist, wenn sie das in den Kontoeinstellungen so festgesetzt haben – auch für eine Suchabfrage. Datenschützern sind die vertrackten Sicherheits- und Privatsphäre-Einstellungen von Facebook seit Jahren ein Dorn im Auge. Im April drohte der für netzpolitische Belange in Europa zuständige Facebook-Manager Richard Allan, dass eine "Überregulierung" dazu führen könnte, dass man gewisse Funktionen in Europa in Zukunft nicht mehr anbieten könnte. (br, 12.8.2015)

  • Facebooks Privatsphäre-Einstellungen wieder einmal im Brennpunkt der Kritik.
    foto: reuters/rick wilking

    Facebooks Privatsphäre-Einstellungen wieder einmal im Brennpunkt der Kritik.

Share if you care.