Privatsphäre

18. Mai 2010 09:46; Akt: 18.05.2010 10:35 Print

Facebook erneut mit Sicherheitslücke

Nutzer der iPhone-Applikation des sozialen Netzwerkes konnten Lieblingszitate anderer Mitglieder lesen, ohne mit ihnen befreundet sein zu müssen.

storybild

Facebook: Lieblingszitate für alle lesbar.

Zum Thema
Fehler gesehen?

Facebook macht erneut mit einer Sicherheitslücke Schlagzeilen: Wie TechCrunch schreibt, konnten Mitglieder über die iPhone-App des sozialen Netzwerkes Lieblingszitate anderer User lesen, obwohl sie diese nicht zur öffentlichen Ansicht freigegeben hatten. Auf den Bug aufmerksam gemacht, hat Facebook die Lücke innert weniger Stunden geschlossen.

Vorvergangene Woche musste die Social Community wegen einer schweren Sicherheitslücke kurzfristig ihren Chat vom Netz nehmen. Denn die User konnten sämtliche Chats ihrer Freunde verfolgen, mit denen sie gerade nicht kommunizierten. Zudem waren die Freundschaftsanfragen, die sie an andere Mitglieder gesendet hatten, zu sehen.

Kaum wurde das Leck gestopft, tat sich auch schon die nächste Sicherheitslücke auf. Anhand der Kommentare in der Statusleiste und den verschickten Nachrichten liessen sich Rückschlüsse auf die IP-Adresse ziehen. Unter Umständen lässt sich diese einer Person zuordnen. Die notwendigen Informationen konnten aus dem Header des E-Mails herausgelesen und mittels eines so genannten Tracers wie er etwa auf myiptest.com angeboten wird, in die IP umgewandelt werden. Bei Facebook hat man inzwischen reagiert und den Fehler behoben.

Blick in fremde Terminkalender

Ende April hatte der Google-Entwickler Ka-Ping Yee in einem Blogeintrag publik gemacht, dass man dank Facebooks Open-Graph-API problemlos herausfinden konnte, an welchen Veranstaltungen ein User teilnehmen würde. Das sollte auch für Nutzer funktionieren, mit denen man nicht befreundet war. Wie Yee schrieb, hatte man sich zuvor eine Liste von Mitgliedern ansehen können, die ihre Teilnahme an einem Event zugesagt hatten. Nun konnte man für eine Person nachschauen. Als Beleg hatte Ka-Ping Yee das Ganze für Mark Zuckerberg ausprobiert. Mittlerweile funktioniert es für den Gründer von Facebook aber nicht mehr. In der Nacht auf den 1. April waren die E-Mail-Adressen unzähliger Mitglieder sichtbar - egal ob sie per Einstellungen auf «öffentlich» oder «privat» gesetzt worden waren. Und Ende Februar war bei einem Code-Update ebenfalls ein Fehler passiert. Dadurch verirrten sich E-Mails in fremde Postfächer.

Kapern fremder Accounts erschwert

Vergangenen Freitag hatte das weltgrösste soziale Netzwerk im firmeneigenen Blog eine neue Sicherheitsfunktion präsentiert. Mitglieder können sich nun per E-Mail oder SMS informieren lassen, wenn sich jemand über ein nicht zuvor in einer Liste abgelegtes Gerät einloggen möchte. Wenn sich jemand also beispielsweise mit einem neuen Smartphone anmelden möchte, wird er aufgefordert, den Gerätenamen zu nennen. Kann er dies nicht tun, wird ihm der Zugriff verweigert. Es ist also ratsam, den eigenen PCs und Handys kreative Namen zu geben, die sich nicht leicht erraten lassen. Mitglieder von Facebook, die mit einer Warn-E-Mail auf den Zugriff durch Fremde hingewiesen werden, erhielten Hinweise, wie sie ihr Passwort zum Schutz ihres Kontos ändern und wie sie bestimmte Geräte für den Zugriff blockieren könnten, hiess es im Blog. Ausserdem hat die Community Schutzmechanismen wie Kontrollfragen zum Geburtsdatum eingebaut, um einen unbefugten Zugriff auf Nutzerkonten zu verhindern.

Wer sich bei der Überprüfung der komplexen Datenschutzeinstellungen auf Facebook helfen lassen möchte, für den steht ab sofort der freie Privacy Scanner bereit. Er wird als Bookmarklet ausgeführt, Link und Quellcode sind auf Reclaimprivacy.org zu finden. Um das Tool zu nutzen, loggt man sich bei Facebook ein und klickt auf das Bookmarklet. Anschliessend werden die Einstellungen analysiert und man kann sie direkt anpassen. In der «Financial Times» kündigte Facebooks Vice President of Public Policy, Elliot Schrage, unterdessen an, die Datenschutzeinstellungen zu vereinfachen. Details nannte er allerdings nicht.

(hst)