19.08.2010, 10:25 Uhr

Facebook stopft Login-Datenleck

Eine Schwachstelle im Anmeldedialog von Facebook konnte ausgenutzt werden, um zu einer Mail-Adresse den vollen Namen und das Foto eines Facebook-Nutzer zu erhalten. Diese Einladung für Spammer und Betrüger hat Facebook inzwischen beseitigt.
Ein auf den ersten Blick vergleichsweise harmlos anmutendes Datenleck bei Facebook hat für einen nicht bekannten Zeitraum die Möglichkeit geboten Facebook-Nutzer auszuspähen. Jedermann konnte unabhängig von den jeweiligen Einstellungen eines Benutzers zur Privatsphäre den vollen Namen und das Profilfoto abgreifen - auch im grossen Stil.
Eine Meldung auf der Mailing-Liste Full-Disclosure enthüllt die Brisanz erst auf den zweiten Blick. Wer beim Anmeldedialog für Facebook eine Mail-Adresse und ein falsches Passwort eingibt, bekommt Vor- und Nachnamen sowie das Profilfoto des zugehörigen Facebook-Nutzers angezeigt. Diese eher zufällige Entdeckung von Atul Agarwal lässt sich auch mit einem kleinen Script automatisieren, sodass sich eine lange Liste von Mail-Adressen durchprobieren und die gelieferten Daten speichern lassen. Das Script liefert der Entdecker gleich mit.
Mit diesen Daten können Betrüger überzeugender wirkende Phishing- und Betrugs-Mails basteln, etwa indem sie mit gefälschter Absenderangabe eine von Facebook stammende Mail vortäuschen. Sie könnten aus dem Foto (soweit es den Facebook-Nutzer zeigt) Rückschlüsse auf Alter, Geschlecht sowie Hautfarbe ziehen und somit gezielter bestimmte Zielgruppen ansprechen.
Facebook hat dieses Datenlecknun beseitigt und angegeben, es sei erst kürzlich entstanden. Schutzmassnahmen würden Facebook-Nutzer normalerweise vor solchen Datensammlern schützen. Doch durch einen vor Kurzem entstandenen Fehler sei dieser Schutz vorübergehend nicht wirksam gewesen.



Das könnte Sie auch interessieren