Update, 10. Oktober: Facebook hat sich mittlerweile zu den Vorwürfen geäussert. Es handle sich bei der Telefonnummernsuche um ein beabsichtigtes Feature und nicht um einen Bug. Zudem könne man die Einstellung ja jederzeit für sich anpassen. Um die missbräuchliche Nutzung der Suchfunktion zu verhindern, habe man ein umfangreiches System entwickelt.
«Tatsächlich war das Ausmass des von diesem Wissenschaftler beschriebenen Szenarios begrenzt und wurde letztendlich blockiert», so eine Facebook-Sprecherin. Das mag zwar sein, erklärt aber immer noch nicht, wieso es gemäss der Schilderung von Suriya so lange gedauert hat, bis Facebook auf seine Hinweise reagierte.
Ursprüngliche Meldung vom 9. Oktober:
Wer auf Facebook seine Handynummer angibt, möchte sehr wahrscheinlich nicht, dass diese für jedermann sichtbar ist. Kein Problem: In den Kontaktinformationen ist sofort ersichtlich, wer alles die Handynummer sehen kann: Alle, nur Freunde oder nur man selbst. Damit müsste das Thema eigentlich vom Tisch sein.
Versteckte Option
Ist es aber nicht. Denn die erwähnte Option schliesst nicht aus, dass jemand über die Suchfunktion von Facebook nach der Handynummer suchen kann und auf diesem Weg auf das Facebook-Profil stösst. Zwar lässt sich die Sichtbarkeit der Handynummer in der Facebook-Suche ebenfalls deaktivieren, standardmässig ist diese Option aber aktiviert. Erschwerend kommt hinzu, dass Facebook diese Option an einem anderen Ort versteckt hat und nicht in den Kontaktinformationen. Stattdessen muss man die Privatsphäre-Einstellungen öffnen und dann auf «Funktionsweise von Verbindungen» klicken. Dort findet man dann die Option: «Wer kann dich anhand der von dir angegebenen E-Mail-Adresse oder Telefonnummer finden?». Ebenfalls wenig datenschutzfreundlich: Man kann die Option maximal auf «Freunde» beschränken, mehr geht nicht.
Versteckt: Wer die Handynummer nicht für Suchanfragen freigeben will, muss die passende Option in den Privatsphäre-Einstellungen finden
Das Problem ist aber, dass die meisten Leute gar keine Kenntnisse von dieser Option haben dürften, denn sie ist gut versteckt. Der unabhängige Sicherheitsforscher Suriya schreibt in seinem Blog, dass er selbst und auch die meisten in seinem Umfeld diese Einstellung nicht gekannt hätten.
Handynummern lassen sich automatisiert abfragen
Eine wirklich problematische Dimension nimmt die Angelegenheit aber erst an, wenn man Suriyas Ausführungen weiter verfolgt. Es ist also davon auszugehen, dass sich ein Grossteil der auf Facebook erfassten Handynummern über die Suchfunktion mit einem Profil – und somit in der Regel mit dem realen Namen des Besitzers - in Verbindung bringen lassen. Das heisst mit anderen Worten auch, dass man eine zufällige Handynummer in die Facebook-Suchmaske eingeben kann und unter Umständen den Namen des Besitzers herausbekommt. Das Problem: Dieser Vorgang lässt sich leicht mit einem Script automatisieren. Auf diese Weise könnten Kriminelle mit wenig Aufwand Hunderte oder gar Tausende von zufälligen Handynummern abfragen und würden zumindest für einen Teil davon den richtigen Namen des Besitzers erhalten.
«Wo ist das Problem?»
Suriya hat das Problem bereits Ende August an Facebook gemeldet. Die Antwort, die zurückkam, lautete frei übersetzt und in der Kurzfassung: «Wo ist das Problem?». In weiteren Mails versuchte der Sicherheitsforscher die Problematik darzulegen, doch er bekam keine weitere Antwort vom Facebook-Sicherheitsteam. Einen Monat später stellte Suriya fest, dass die Schwachstelle in der Suchfunktion immer noch bestand, Facebook hatte noch nichts unternommen. Erneut kontaktierte er das Unternehmen via E-Mail. Diesmal lautete die Antwort, dass die Anzahl Suchanfragen, die so abgefeuert werden können, limitiert sei. Damit sollte es also nicht möglich sein, Hunderte oder Tausende Nummern automatisiert abzufragen.
Mobile Webseite als Schwachstelle
Zwar gab es tatsächlich ein Limit, dieses hatte jedoch keine Gültigkeit für die mobile Webseite von Facebook. Suriya konnte also über die mobile Webseite immer noch problemlos Scripts mit Suchanfragen laufen lassen, die ihm Dutzende von Mobiltelefonnummern und deren Besitzer ausspuckte. Mit speziellen Scripts war es auch möglich, beispielsweise spezielle Nummernbereiche von bestimmten Mobilfunkanbietern abzufragen. Suriya ging noch weiter: Mit einem grossen Botnet und einem entsprechenden Script wäre es seiner Meinung nach möglich gewesen, innerhalb von ein paar Tagen sämtliche Handynummer/Namen-Kombinationen von allen Facebook-Nutzern herauszufinden – ein Traum für jeden Werber und eine Datenschutzkatastrophe für alle anderen.
Wer nicht hören will…
Vor vier Tagen beschloss Suriya, seine Entdeckungen öffentlich zu machen, weil Facebook noch immer nicht auf seine Hinweise reagierte. Und siehe da – ein paar Tage später hatte Facebook die Möglichkeit, Telefonnummern im grossen Stil abzufragen, unterbunden, und zwar über alle Kanäle. Spätestens nach ein paar Hundert Abfragen werde man ausgeloggt und erhalte die Meldung, dass sein Account wegen verdächtiger Aktivitäten von dieser IP-Adresse vorübergehend gesperrt wurde. Nach 24 Stunden soll man dann wieder auf seinen Account zugreifen können.
Ob das Problem damit endgültig aus der Welt geschafft ist, sei dahingestellt. Auch mit ein paar Hundert Abfragen kann man Informationen in Erfahrung bringen, die eigentlich nicht für die Öffentlichkeit bestimmt sind. Ausserdem würde sich ein solches IP- und mengenbasiertes Limit relativ einfach umgehen lassen, wenn man die Werte kennt.
So oder so zeigt die Geschichte aber einmal mehr, dass Facebook Sicherheits- und Datenschutzanliegen nur bedingt ernst nimmt. Wieder einmal hat es einen öffentlichen Aufschrei gebraucht, bis das soziale Netzwerk endlich reagierte.
Quelle: PCtipp.ch