Neue Probleme bei Facebook: Forscher zeigt potenzielle Mega-Datenlücke

Mit dem angeblich in Hacker-Kreisen bereits kursierenden Tool „Facebook Email Search v1.0“ hat sich ein nicht namentlich genannter Sicherheitsforscher an Ars Technica gewendet, nachdem er bei Facebook nach eigenen Angaben abgeblitzt war.
In einem Video hatte er zeigen können, wie einfach und schnell es möglich sein soll, automatisiert Facebook-ID und E-Mail-Adressen miteinander zu verbinden. Das eingesetzte Tool soll auf diese Weise bis zu fünf Millionen Ergebnisse pro Tag liefern können. Das Verfahren soll auch dann funktionieren, wenn die Nutzer die E-Mail-Adressen in den Account-Einstellungen auf nicht-öffentlich gesetzt haben.
Sind Facebook-ID und E-Mail-Adresse einmal in Verbindung gebracht, könnten böswillige Personen etwa versuchen, weitere Informationen aus anderen Hacks, etwa Telefonnummern oder Passwörter oder Zahlungsdaten, zu diesen Datensätzen hinzuzufügen. Auf diese Weise könnte eine beachtliche Sammlung personenbezogener Daten entstehen – und das auch noch in rasanter Geschwindigkeit.
Bei Facebook auf taube Ohren gestoßen
Mit den Erkenntnissen will sich der Forscher an Facebook gewendet haben. Dort sei er auf taube Ohren gestoßen. Man habe ihm gegenüber die Schwachstelle heruntergespielt und nicht als wichtig genug klassifiziert, um behoben zu werden. Aus diesem Grunde wende er sich nun an die Öffentlichkeit.
Nachdem Ars Technica sich mit den Erkenntnissen aus dem Video an Facebook gewendet hatte, ruderte der Social-Media-Riese zurück und ließ verlauten:
„Es scheint, dass wir diesen Bug-Bounty-Report fälschlicherweise geschlossen haben, bevor wir ihn an das zuständige Team weitergeleitet haben. Wir schätzen es, dass der Forscher die Informationen mit uns geteilt hat, und ergreifen erste Maßnahmen, um dieses Problem zu entschärfen, während wir nachfassen, um die Ergebnisse besser zu verstehen.“
Inzwischen soll das Problem durch die Deaktivierung der Technik, die im Video gezeigt wird, zumindest gemildert, wenn nicht behoben sein. Der Whistleblower hingegen moniert, dass es sich bei der gefundenen Schwachstelle um eine handelt, die bereits Anfang des Jahres als geschlossen gekennzeichnet gewesen sein soll, aber offenbar fortbestehe.
Konsequent: Facebook will Probleme am liebsten totschweigen
Diese Vorgehensweise Facebooks passt zum Umgang des Social-Media-Riesen mit dem jüngst bekannt gewordenen Mega-Leak, bei dem die Daten von 533 Millionen Facebook-Nutzerinnen und Nutzern geleakt worden waren. Besonders kritisch wurde dabei aufgenommen, dass Facebook die Betroffenen nicht einmal proaktiv informieren wollte.
Nun hat sich Facebook offenbar sogar dazu entschlossen, das Riesenleck totzuschweigen. Das belgische Tech-Magazin Datanews hatte am Dienstag eine E-Mail Facebooks veröffentlicht, die neben einer Pressmitteilung offenbar versehentlich auch Handlungsanweisungen der europäischen Kommunikationsabteilung an Facebook-PR-Mitarbeitende enthalten hatte.
Darin rät die Kommunikationsabteilung im Wesentlichen dazu, nicht zu kommunizieren und schreibt: „Da die Aufsichtsbehörden sich auf das Thema eingeschossen haben, solltet ihr davon ausgehen, dass der beständige Trommelschlag der Kritik in der Presse anhalten wird. Es ist aber wichtig zu wissen, dass sowohl die Berichterstattung als auch die Diskussion in sozialen Netzwerken weiter stetig nachlassen.“
Facebook hält Scraping offenbar für nicht sonderlich problematisch
Das ist insofern konsequent, als dass Facebook von Beginn an bemüht war, den Leak runterzuspielen. Es habe sich weder um einen Hack noch um ein Leak gehandelt, so die Lesart des Unternehmens.
Vielmehr seien die Daten durch Scraping (automatisiertes Auslesen von am Bildschirm angezeigten Informationen) gesammelt worden. Dabei handele es sich um ein Problem, das die gesamte Branche habe und das sich nicht auf Facebook zuspitzen ließe.
Der Forscher, der sich an Ars Technica gewendet hatte, sieht das anders. Seiner Auffassung nach könnte und müsste Facebook entsprechende technische Maßnahmen ergreifen, um es den Datensammlern zumindest deutlich schwerer zu machen, als es derzeit der Fall zu sein scheint.
Übrigens: Ars Technica darf das Video absprachegemäß nicht veröffentlichen, entsprechend steht es auch uns nicht zur Verfügung. Die Kollegen haben aber ein vollständiges Transkript ans Ende des weiter oben verlinkten Beitrags gestellt.
Ist doch einfach:
https://www.commandlinefu.com/commands/view/4749/facebook-email-scraper