Soziale Netzwerke: Warnung vor fremden Nutzern

Das weltgrösste soziale Netzwerk hat im firmeneigenen Blog eine neue Sicherheitsfunktion präsentiert. Mitglieder können sich nun per E-Mail oder SMS informieren lassen, wenn sich jemand über ein nicht zuvor in einer Liste abgelegtes Gerät einloggen möchte.

Wenn sich jemand also beispielsweise mit einem neuen Smartphone anmelden möchte, wird er aufgefordert, den Gerätenamen zu nennen. Kann er dies nicht tun, wird ihm der Zugriff verweigert. Es ist also ratsam, den eigenen PCs und Handys kreative Namen zu geben, die sich nicht leicht erraten lassen. Mitglieder von Facebook, die mit einer Warn-E-Mail auf den Zugriff durch Fremde hingewiesen werden, erhielten Hinweise, wie sie ihr Passwort zum Schutz ihres Kontos ändern und wie sie bestimmte Geräte für den Zugriff blockieren könnten, hiess es im Blog. Ausserdem hat die Community Schutzmechanismen wie Kontrollfragen zum Geburtsdatum eingebaut, um einen unbefugten Zugriff auf Nutzerkonten zu verhindern.

Die Ankündigung kommt für Facebook zu einem günstigen Zeitpunkt, denn in den vergangenen Wochen hatte das Unternehmen mit schweren Sicherheitslücken Schlagzeilen gemacht. Vergangene Woche musste die Social Community wegen einer fatalen Sicherheitslücke kurzfristig ihren Chat vom Netz nehmen. Denn die User konnten sämtliche Chats ihrer Freunde verfolgen, mit denen sie gerade nicht kommunizierten. Zudem waren die Freundschaftsanfragen, die sie an andere Mitglieder gesendet hatten, zu sehen.

Kaum wurde das Leck gestopft, tat sich auch schon die nächste Sicherheitslücke auf. Anhand der Kommentare in der Statusleiste und den verschickten Nachrichten liessen sich Rückschlüsse auf die IP-Adresse ziehen. Unter Umständen lässt sich diese einer Person zuordnen. Die notwendigen Informationen konnten aus dem Header des E-Mails herausgelesen und mittels eines so genannten Tracers wie er etwa auf myiptest.com angeboten wird, in die IP umgewandelt werden. Bei Facebook hat man inzwischen reagiert und den Fehler behoben.

Ende April hatte der Google-Entwickler Ka-Ping Yee in einem Blogeintrag publik gemacht, dass man dank Facebooks Open-Graph-API problemlos herausfinden konnte, an welchen Veranstaltungen ein User teilnehmen würde. Das sollte auch für Nutzer funktionieren, mit denen man nicht befreundet war. Wie Yee schrieb, hatte man sich zuvor eine Liste von Mitgliedern ansehen können, die ihre Teilnahme an einem Event zugesagt hatten. Nun konnte man für eine Person nachschauen. Als Beleg hatte Ka-Ping Yee das Ganze für Mark Zuckerberg ausprobiert. Mittlerweile funktioniert es für den Gründer von Facebook aber nicht mehr. In der Nacht auf den 1. April waren die E-Mail-Adressen unzähliger Mitglieder sichtbar - egal ob sie per Einstellungen auf «öffentlich» oder «privat» gesetzt worden waren. Und Ende Februar war bei einem Code-Update ebenfalls ein Fehler passiert. Dadurch verirrten sich E-Mails in fremde Postfächer.

Gestern, einen Tag vor seinem 26. Geburtstag, berichtete businessinsider.com über einen sieben Jahre alten Chat, in dem Facebook-Boss Mark Zuckerberg seine Meinung zum Datenschutz deutlich gemacht haben soll. Hier ein Auszug - die Antworten des Partners hat die Seite unkenntlich gemacht:

Zuckerberg: Falls du mal Informationen über irgendwen in Harvard brauchst, frag mich einfach. Ich habe über 4 000 E-Mail-Adressen, Bilder,...

Chatpartner: Was? Wie hast du das denn geschafft?

Zuckerberg: Die Leute haben sie einfach eingegeben... sie vertrauen mir.

Gegenüber businessinsider.com wollte Facebook den Bericht zunächst nicht kommentieren, lieferte dann aber folgendes Statement: «Wir werden uns nicht zu anonymen Anschuldigungen äussern, die unsere oder Marks Einstellung zum Thema Privatsphäre kritisieren. Jeder unserer Mitarbeiter weiss, dass das Vertrauen unserer Nutzer entscheidend für den Unternehmenserfolg ist. Wir möchten dieses gewinnen, indem wir offen sind und die User immer wieder darüber informieren, wo sie in den Einstellungen festlegen können, wer was von ihnen sehen darf.»