Facebook stopft Login-Datenleck

Ein auf den ersten Blick vergleichsweise harmlos anmutendes Datenleck bei Facebook hat für einen nicht bekannten Zeitraum die Möglichkeit geboten Facebook-Nutzer auszuspähen. Jedermann konnte unabhängig von den jeweiligen Einstellungen eines Benutzers zur Privatsphäre den vollen Namen und das Profilfoto abgreifen - auch im grossen Stil.

Eine Meldung auf der Mailing-Liste Full-Disclosure enthüllt die Brisanz erst auf den zweiten Blick. Wer beim Anmeldedialog für Facebook eine Mail-Adresse und ein falsches Passwort eingibt, bekommt Vor- und Nachnamen sowie das Profilfoto des zugehörigen Facebook-Nutzers angezeigt. Diese eher zufällige Entdeckung von Atul Agarwal lässt sich auch mit einem kleinen Script automatisieren, sodass sich eine lange Liste von Mail-Adressen durchprobieren und die gelieferten Daten speichern lassen. Das Script liefert der Entdecker gleich mit.

Mit diesen Daten können Betrüger überzeugender wirkende Phishing- und Betrugs-Mails basteln, etwa indem sie mit gefälschter Absenderangabe eine von Facebook stammende Mail vortäuschen. Sie könnten aus dem Foto (soweit es den Facebook-Nutzer zeigt) Rückschlüsse auf Alter, Geschlecht sowie Hautfarbe ziehen und somit gezielter bestimmte Zielgruppen ansprechen.

Facebook hat dieses Datenlecknun beseitigt und angegeben, es sei erst kürzlich entstanden. Schutzmassnahmen würden Facebook-Nutzer normalerweise vor solchen Datensammlern schützen. Doch durch einen vor Kurzem entstandenen Fehler sei dieser Schutz vorübergehend nicht wirksam gewesen.

Virale Scam-Kampagnen wie die für einen \"Dislike\"-Button laufen hingegen weiter auf Facebook.