Der Sicherheitsexperte Reza Moaiandin hat eine neue, schwere Sicherheitslücke in Facebook entdeckt. Die Software-Schwachstelle kann von Angreifern ausgenutzt werden, um an die persönlichen Daten der Nutzer zu gelangen - ohne dass diese etwas von dem Daten-Diebstahl mitbekommen. Neben den Namen bekommen die Cyberkriminellen Zugriff auf ein ganzes Paket an privaten Informationen, etwa die Telefonnummer, Bilder und etwaige Standortddaten des Nutzers.
So schützen Sie sich
Um sich vor Datendieben auf Facebook zu schützen, sollte man nicht nur so wenige Informationen wie nötig bereitstellen, sondern auch einige Funktionen deaktivieren. Öffnen Sie dazu in den Einstellungen unter dem Reiter "Privatsphäre" das Untermenü "Wer kann nach mir suchen".
Klicken Sie auf "Bearbeiten", anschließend wählen Sie "Freunde". So können Fremde Sie nicht mehr anhand Ihrer Telefonnummer finden.
Weitere Tipps zur Sicherung des Facebook-Profils gibt es auf "Mimikama".
So funktioniert der Hack
Die Kriminellen können mit einem Software-Script auf eine spezielle Facebook-Schnittstelle (eine sogenannte API) zugreifen. Anschließend probiert das Programm sämtliche möglichen Kombinationen in der URL aus, um zunächst alle Nutzer eines Landes zu ermitteln. Der Sicherheitsexperte Moaiandin probierte das in seinem Beispiel-Hack mit den Nutzern aus den USA, Großbritannien und Kanada aus. Diese Namen können anschließend mit weiteren Details wie Bildern verknüpft werden.
"Unglücklicherweise bedeutet das für die 1,44 Milliarden Facebook-Nutzer, dass erfahrene Hacker und Schwarzmarkt-Verkäufer die Namen und Telefonnummern in weniger als einer Stunde abräumen können." Vor allem die Masse der Nutzerdaten sei interessant, betont Moaiandin. Denn eine komplette Identität - bestehend aus Kreditkartennummer, Sozialversicherungsnummer, sämtliche Informationen wie Ablaufdaten der Karten und der Geburtsname der Mutter - bringt zwischen vier bis fünf Dollar pro Kunde.
Beschämende Reaktion seitens Facebook
Facebook könne das Problem schnell beheben, schreibt der Experte in seinem Blog. Dazu muss lediglich der Zugriff einer einzelnen Person auf die Datensätze beschränkt und die Verhaltenserkennung aktualisiert werden, um einen Datendiebstahl im großen Stil zu verhindern.
Moaiandin hat Facebook bereits im April auf die Sicherheitslücke aufmerksam gemacht. Allerdings konnte der zuständige Facebook-Ingenieur die Schwachstelle nicht nachvollziehen und verstand auch nicht die technischen Details, schreibt er.
Nach einigen Monaten bekam er schließlich von Facebook zu hören, dass die Sicherheitslücke "kein großes Problem" sei. Sollte dieses Statement der offiziellen Ansicht von Facebook entsprechen, wäre das erschreckend. Mit seinem Blog-Beitrag will Moaiandin nun den Druck auf Facebook erhöhen, diese Schwachstelle zu beheben.
