Sicherheitslücke Telefonnummern von Facebook-Nutzern automatisch auslesbar
Düsseldorf · Beim sozialen Netzwerk Facebook klafft offenbar eine eklatante Sicherheitslücke. Nach Medienberichten können die Handynummern von Facebook-Nutzern über ein kleines Programm automatisch und in großen Mengen ausgelesen werden. Schutz bieten die Privatsphäre-Einstellungen.
Wie der "Guardian" berichtet, ist die Grundlage für die Sicherheitslücke der Punkt zur Telefonnummer im Bereich "Wer kann nach mir suchen?" in den Privatsphäre-Einstellungen. Dieser Punkt ist standardmäßig so eingestellt, dass alle anderen Nutzer anhand der Telefonnummer der Person nach ihr suchen können - selbst wenn diese an anderer Stelle eingestellt hat, dass die Nummer für niemanden im Profil zu sehen sein soll. Über diese Funktion können andere Nutzer diese Person finden, wenn sie ihre Telefonnummer in die Facebook-Suche eingeben.
Mit einem kleinen Programm lässt sich diese Funktion laut dem "Guardian" jedoch ausnutzen. Das Programm generiert dabei eine große Masse an Zufalls-Telefonnummern und lässt diese durch die Facebook-Schnittstelle, die sogenannte API, laufen. Das Ergebnis ist eine lange Liste an Zufallstreffern. Aus dieser Liste geht hervor, welche Person zu welcher Zufalls-Telefonnummer passt, inklusive aller anderen Profilangaben wie etwa in vielen Fällen der Wohnort.
Lücke lässt sich vom Nutzer selbst leicht schließen
Glücklicherweise lässt sich die Auffindbarkeit über diese Sicherheitslücke durch die Nutzer leicht abstellen. So sollten diese in den Privatsphäre-Einstellungen im Bereich "Wer kann nach mir suchen?" beim Punkt "Wer kann mithilfe der von dir zur Verfügung gestellten Telefonnummer nach dir suchen?" die Option von "Alle" auf "Freunde" setzen. Das Auslesen der Nummer durch unbekannte Dritte sollte damit ausgeschlossen sein.
Facebook wollte auf Anfrage unserer Redaktion nicht konkret Stellung zu dem Problem nehmen, sondern antwortete eher allgemein. "Die Privatsphäre der Menschen, die Facebook nutzen, ist uns extrem wichtig", so eine Sprecherin.
Facebook-Sprecherin verweist auf Verantwortung der Nutzer
Man überprüfe laufend die Sicherheit der Daten und habe strikte Regeln, wie Entwickler die API für ihre Produkte nutzen würden. Dann macht sie aber eine Einschränkung: "Entwickler haben nur Zugang zu den Informationen, die die Menschen von sich öffentlich zugänglich gemacht haben."
Jeder, der Facebook nutze, habe Kontrolle darüber, welche Informationen er mit anderen teile, so die Sprecherin weiter. Das beinhalte auch Angaben im Profil und wer diese sehen könne. Weiterhin verweist Facebook auf seine Hinweise zum Schutz der eigenen Privatsphäre.
Experte: Facebook sollte es Dritten schwerer machen
Damit stellt das soziale Netzwerk die Eigenverantwortung der Nutzer in den Vordergrund. Auf konkrete Maßnahmen gegen die jetzt bekannt gewordene Lücke wollte Facebook auf Anfrage unserer Redaktion nicht eingehen. Kritisch gesehen wird das Verhalten von Facebook unter anderem vom Sicherheitsanalyst Graham Cluley.
"Wenn Facebook etwas an seinen Nutzern liegt, sollte es vielleicht mehr tun, um sie in die richtige Richtung zu leiten — und vielleicht sicherstellen, dass diese wählen müssen, ob sie ihre Telefonnummer öffentlich zugänglich machen wollen, statt diese Einstellung zum Standard zu machen", sagte Cluley dem Guardian.
Und Reza Moaiandin, der Forscher, der die Lücke entdeckte, vergleicht die Sicherheitslücke im Bericht mit einer Alltagssituation. Eine Bank würde schließlich auch nicht die Daten tausender Kunden anhand von Zufallskontonummern herausgeben.
