Facebook, das Handynummern-Verzeichnis

Facebook nahm Problem nicht ernst

«Wo ist das Problem?»
Suriya hat das Problem bereits Ende August an Facebook gemeldet. Die Antwort, die zurückkam, lautete frei übersetzt und in der Kurzfassung: «Wo ist das Problem?». In weiteren Mails versuchte der Sicherheitsforscher die Problematik darzulegen, doch er bekam keine weitere Antwort vom Facebook-Sicherheitsteam. Einen Monat später stellte Suriya fest, dass die Schwachstelle in der Suchfunktion immer noch bestand, Facebook hatte noch nichts unternommen. Erneut kontaktierte er das Unternehmen via E-Mail. Diesmal lautete die Antwort, dass die Anzahl Suchanfragen, die so abgefeuert werden können, limitiert sei. Damit sollte es also nicht möglich sein, Hunderte oder Tausende Nummern automatisiert abzufragen.
Mobile Webseite als Schwachstelle
Zwar gab es tatsächlich ein Limit, dieses hatte jedoch keine Gültigkeit für die mobile Webseite von Facebook. Suriya konnte also über die mobile Webseite immer noch problemlos Scripts mit Suchanfragen laufen lassen, die ihm Dutzende von Mobiltelefonnummern und deren Besitzer ausspuckte. Mit speziellen Scripts war es auch möglich, beispielsweise spezielle Nummernbereiche von bestimmten Mobilfunkanbietern abzufragen. Suriya ging noch weiter: Mit einem grossen Botnet und einem entsprechenden Script wäre es seiner Meinung nach möglich gewesen, innerhalb von ein paar Tagen sämtliche Handynummer/Namen-Kombinationen von allen Facebook-Nutzern herauszufinden – ein Traum für jeden Werber und eine Datenschutzkatastrophe für alle anderen.
Wer nicht hören will…
Vor vier Tagen beschloss Suriya, seine Entdeckungen öffentlich zu machen, weil Facebook noch immer nicht auf seine Hinweise reagierte. Und siehe da – ein paar Tage später hatte Facebook die Möglichkeit, Telefonnummern im grossen Stil abzufragen, unterbunden, und zwar über alle Kanäle. Spätestens nach ein paar Hundert Abfragen werde man ausgeloggt und erhalte die Meldung, dass sein Account wegen verdächtiger Aktivitäten von dieser IP-Adresse vorübergehend gesperrt wurde. Nach 24 Stunden soll man dann wieder auf seinen Account zugreifen können.
Ob das Problem damit endgültig aus der Welt geschafft ist, sei dahingestellt. Auch mit ein paar Hundert Abfragen kann man Informationen in Erfahrung bringen, die eigentlich nicht für die Öffentlichkeit bestimmt sind. Ausserdem würde sich ein solches IP- und mengenbasiertes Limit relativ einfach umgehen lassen, wenn man die Werte kennt.
So oder so zeigt die Geschichte aber einmal mehr, dass Facebook Sicherheits- und Datenschutzanliegen nur bedingt ernst nimmt. Wieder einmal hat es einen öffentlichen Aufschrei gebraucht, bis das soziale Netzwerk endlich reagierte.



Kommentare
Es sind keine Kommentare vorhanden.