Neues Sicherheitsrisiko auf Facebook

Wie das ARD-Magazin «Monitor» gestern Abend berichtete, sendet Facebook Passwörter teilweise unverschlüsselt, welche die Mitglieder eingeben, wenn sie über die Funktion «Freunde suchen» des sozialen Netzwerks auf ihren E-Mail-Account zugreifen. Das Magazin beruft sich auf Mitarbeiter des Institutes für Internet-Sicherheit der Fachhochschule Gelsenkirchen. Auch die Zugangsdaten zu Instant-Messenger-Diensten wie Skype sollen demnach unverschlüsselt übertragen werden, wie im obigen Video zu sehen ist. «Damit sind kriminelle Organisationen in der Lage, mein Passwort mitzulesen und sich Zugang zu meinem E-Mail-Account zu verschaffen», wird Professor Norbert Pohlmann von der Fachhochschule Gelsenkirchen im Bericht zitiert. In Facebooks Datenschutzrichtlinien heisst es hingegen: «Wenn Du vertrauliche Daten, wie Kreditkartennummern und Passwörter, eingibst, werden diese Informationen verschlüsselt.» Facebook hat sich bislang nicht dazu geäussert.

Weitere Negativschlagzeilen machte das Community-Portal in einem Bericht des «Wall Street Journal» (WSJ), welches schreibt, dass unter anderem Facebook und MySpace an Vermarkter wie Google DoubleClick und Yahoo Right Media detaillierte Informationen über Mitglieder weiter gegeben haben sollen, wenn sie auf Werbebanner geklickt hatten. Auf MySpace werden Nutzer allerdings nicht aufgefordert ihren echten Namen anzugeben. Dank der übertragenen Daten soll es dem Bericht zufolge möglich sein, den echten Namen eines Nutzers zu ermitteln und weitere Informationen wie sein Alter und Wohnort auszulesen. Sprecher von Google und Yahoo sagten dem «Wall Street Journal», die Unternehmen hätten nichts von den zusätzlichen Daten gewusst und sie daher auch nicht genutzt. Erstmals war auf die Lücke im August 2009 in einem Forschungsberichts der AT&T Labs und des Worcester Polytechnic Institute aufmerksam gemacht worden.

Wie das WSJ ausserdem schreibt, sollen Facebook und MySpace den Code für die Datenübermittlung inzwischen geändert haben. Facebook soll nicht nur den Nutzernamen der Person an die weitergeleitet haben, welche die Anzeige anklickte, sondern auch das Profil, in welchem die Werbung zu finden war. Nun soll nur noch die ID dieses Profils gesendet werden. Der renommierte Technologie-Blog ReadWriteWeb schreibt allerdings, dass so genannte Referrer-Links, über die Websitenmacher sehen können, wo ihr Besucher zuvor waren, den Usernamen enthalten können. Weitere Daten würden aber nicht übermittelt.

Kürzlich war eine weitere Sicherheitslücke von Facebook bekannt geworden: Mitglieder konnten über die iPhone-App des sozialen Netzwerkes Lieblingszitate anderer User lesen, obwohl sie diese nicht zur öffentlichen Ansicht freigegeben hatten. Auf den Bug aufmerksam gemacht, hat Facebook die Lücke innert weniger Stunden geschlossen. Vorvergangene Woche musste die Social Community wegen einer schweren Sicherheitslücke kurzfristig ihren Chat vom Netz nehmen. Denn die User konnten sämtliche Chats ihrer Freunde verfolgen, mit denen sie gerade nicht kommunizierten. Zudem waren die Freundschaftsanfragen, die sie an andere Mitglieder gesendet hatten, zu sehen. Kaum wurde das Leck gestopft, tat sich auch schon die nächste Sicherheitslücke auf. Anhand der Kommentare in der Statusleiste und den verschickten Nachrichten liessen sich Rückschlüsse auf die IP-Adresse ziehen. Unter Umständen lässt sich diese einer Person zuordnen. Die notwendigen Informationen konnten aus dem Header des E-Mails herausgelesen und mittels eines so genannten Tracers wie er etwa auf myiptest.com angeboten wird, in die IP umgewandelt werden. Auch in diesem Fall hat Facebook inzwischen reagiert und den Fehler behoben.