Der Sicherheitsexperte Reza Moaiandin warnt in einem Blog-Eintrag vor einer gefährlichen Lücke bei Facebook. Über diese Lücke könnten Angreifer Facebook-APIs missbrauchen, um die Facebook Nutzer-IDs auszuspionieren. Dadurch könnten die Angreifer dann an die persönlichen Daten von Millionen von Facebook-Nutzern gelangen. Darunter die Namen, Telefonnummern, Standorte, Bilder und mehr.
Auf die Lücke ist Moaiandin laut eigenen Angaben per Zufall gestoßen, als er sich eine Facebook-API genauer anschaute. “Das könnte zu einem großen Phishing-Problem führen, (…) wenn die Lücke von der falschen Person gefunden werden sollte”, so Moaiandin. Schuld sei die in Facebook standardmäßig aktivierte Einstellung “Alle” bei “Wer kann nach mir suchen?” Dies führe dazu, dass selbst dann nach Telefonnummern der Nutzer gesucht werden könne, wenn diese nicht im öffentlichen Profil sichtbar sind. Moaiandin programmierte ein Skript, das zigtausend Telefonnummern pro Sekunde generiert und nach diesen dann über die Facebook-API sucht. Bei einem Treffer extrahiert es dann die zur Telefonnummer hinterlegten Facebook-Daten, wie etwa den Facebook-Namen, Fotos und andere Infos.
Facebook könnte das Problem leicht lösen, in dem es die Zahl der Abfragen innerhalb eines Zeitraumes begrenzt. Dazu habe er Facebook bereits im April 2015 über die Schwachstelle informiert, allerdings wurde er zunächst vertröstet und dann Ende Juli darüber informiert, dass Facebook kein Sicherheitsproblem feststellen könne. Das sieht Moaiandin allerdings ganz anders.
Autor: Panagiotis Kolokythas, Chefredakteur
Panagiotis "Takis" Kolokythas schreibt seit über 20 Jahren News, Ratgeber und Tipps zu fast allen IT-Themen.