Facebooks Jahr war bisher alles andere als glorreich – zumindest wenn man es von der Sicherheitsperspektive aus betrachtet. Cambridge Analytica, 30 Millionen von einem Hack betroffene Accounts und diverse andere Probleme plagten das Soziale Netzwerk und seine Nutzer.
Wer dachte, dass damit jetzt erst mal Schluss ist, der irrt. Ein Sicherheitsforscher von Imperva fand im Mai einen Fehler, der es Hackern erlaubt hätte auf private Informationen von Facebook-Nutzern und ihren Freunden zuzugreifen.
Nutzerinformationen fast auf dem Tablett serviert
Es scheint ganz simpel: Ron Masas von Imperva fand heraus, dass die Resultate von Facebooks Onlinesuche ein iFrame-Element im HTML enthielten, dass wohl nicht ganz so gut abgesichert war. Es erlaubte dem Forscher auszulesen, ob eine Frage mit ja oder nein beantwortet wurde. Indem man nun alle möglichen Abfragen startet, kann man an ziemlich viele Informationen gelangen.
Natürlich sind nicht alle Daten öffentlich zugänglich – aber auch hier ist schnell Abhilfe geschaffen. Dazu muss nur eine bösartige Webseite samt JavaScript erstellt werden, auf die das Opfer geleitet wird. Ein Klick genügt und schon könnten potentielle Angreifer so viele Suchanfragen starten wie sie sollen, um an die privaten Daten zu gelangen.
Die Antwort muss „ja“ oder „nein“ lauten
Die Suchanfragen selbst durften allerdings nicht allzu kompliziert sein. Laut Masas würden nur Abfragen funktionieren, die mit „ja“ oder „nein“ beantwortet werden können, also in etwa etwas wie „Mag der Nutzer die Page XYZ“.
Werfen Sie am besten einen Blick auf das Video um zu sehen, wie einfach die Daten hier ausgelesen werden.
Besonders interessante Nutzerinformationen die Masas auslesen konnte waren übrigens:
- Herauszufinden ob der Nutzer Freunde aus Israel hat
https://www.facebook.com/search/me/friends/108099562543414/home-residents/intersect - Herauszufinden ob der Nutzer einen Freund Namens „Ron“ hat
https://www.facebook.com/search/str/ron/users-named/me/friends/intersect - Herauszufinden ob der Nutzer Bilder an einem bestimmten Ort/Land aufgenommen hat
https://www.facebook.com/search/me/photos/108099562543414/photos-in/intersect - Herauszufinden ob der Nutzer islamische Freunde hat
https://www.facebook.com/search/me/friends/109523995740640/users-religious-view/intersect - Herauszufinden ob der Nutzer islamische Freunde hat, die im UK wohnen
https://www.facebook.com/search/me/friends/109523995740640/users-religious-view/106078429431815/residents/present/intersect - Herauszufinden ob der Nutzer in der Vergangenheit einen Post veröffentlicht hat, der einen bestimmten Text beinhaltet
https://www.facebook.com/search/posts/?filters_rp_author=%7B%22name%22%3A%22author_me%22%2C%22args%22%3A%22%22%7D&q=cute%20puppies - Herauszufinden ob Freunde des Nutzers Nutzer in der Vergangenheit einen Post veröffentlicht haben, der einen bestimmten Text beinhaltet
https://www.facebook.com/search/posts/?filters_rp_author=%7B%22name%22%3A%22author_friends%22%2C%22args%22%3A%22%22%7D&q=cute%20puppies
Problem gelöst, Gefahr gebannt
Das Problem selbst ist mittlerweile gelöst, Facebook-Nutzer müssen sich also eigentlich keine Gedanken machen. Wem die ganzen Sicherheitslücken dennoch zu viel sind und deswegen lieber raus aus den sozialen Netzwerken möchte, der findet hier eine einfache Anleitung dazu.
