574494

Facebook stopft Datenleck beim Login

18.08.2010 | 15:45 Uhr |

Eine Schwachstelle im Anmeldedialog von Facebook konnte ausgenutzt werden, um zu einer Mail-Adresse den vollen Namen und das Foto eines Facebook-Nutzer zu erhalten. Diese Einladung für Spammer und Betrüger hat Facebook inzwischen beseitigt.

Ein auf den ersten Blick vergleichsweise harmlos anmutendes Datenleck bei Facebook hat für einen nicht bekannten Zeitraum die Möglichkeit geboten Facebook-Nutzer auszuspähen. Jedermann konnte unabhängig von den jeweiligen Einstellungen eines Benutzers zur Privatsphäre den vollen Namen und das Profilfoto abgreifen - auch im großen Stil.

Eine Meldung auf der Mailing-Liste Full-Disclosure enthüllt ihre Brisanz erst auf den zweiten Blick. Wer beim Anmeldedialog für Facebook eine Mail-Adresse und ein falsches Passwort eingibt, bekommt Vor- und Nachnamen sowie das Profilfoto des zugehörigen Facebook-Nutzers angezeigt. Diese eher zufällige Entdeckung von Atul Agarwal lässt sich auch mit einem kleinen Script automatisieren, sodass sich eine lange Liste von Mail-Adressen durchprobieren und die gelieferten Daten speichern lassen. Das Script liefert der Entdecker gleich mit.

Mit diesen Daten können Betrüger überzeugender wirkende Phishing- und Betrugs-Mails basteln, etwa indem sie mit gefälschter Absenderangabe eine von Facebook stammende Mail vortäuschen. Sie könnten aus dem Foto (soweit es den Facebook-Nutzer zeigt) Rückschlüsse auf Alter, Geschlecht sowie Hautfarbe ziehen und somit gezielter bestimmte Zielgruppen ansprechen.

Facebook hat dieses Datenleck recht flott beseitigt und angegeben, es sei erst kürzlich entstanden. Schutzmaßnahmen würden Facebook-Nutzer normalerweise vor solchen Datensammlern schützen. Doch durch einen vor Kurzem entstandenen Fehler sei dieser Schutz vorübergehend nicht wirksam gewesen. Virale Scam-Kampagnen wie die für einen "Dislike"-Button laufen hingegen weiter auf Facebook.

0 Kommentare zu diesem Artikel
574494