© dpa

Datendiebstahl
03/22/2012

Facebook: Forscher warnen vor neuartigem Hack

Britische IT-Wissenschaftler haben eine neue Sicherheitslücke in den Privatsphäre-Einstellungen entdeckt, die Angreifern die Möglichkeit gibt, unbemerkt und im großen Stil Nutzerdaten zu stehlen. Dabei werden Fake-Accounts per Deaktivierung unsichtbar gemacht - die Betroffenen können sich nicht gegen den Datenklau wehren.

In einem neuen Forschungsbericht weisen die beiden britischen IT-Wissenschaftler Shah Mahmood and Yvo Desmedt vom University College London auf eine bisher unbemerkte Sicherheitslücke bei Facebook hin. Diese könnte es Hackern ermöglichen, unbemerkt an persönliche Daten von Nutzern zu gelangen - mittels so genanntem "Cloaking".

Die von den Forschern als “Deactivated Friend Attack” getaufte Angriffsart verläuft ihren Beschreibungen zufolge in zwei Stufen. Zuerst verschickt der Angreifer über Fake-Accounts eine Reihe Freundschaftsanfragen an andere Facebook-Nutzer, die diese oft ohne misstrauisch zu werden, bestätigen. In ihrem Versuch konnten Mahmood und Desmedt auf diese Weise etwa 4300 Facebook-Freunde sammeln.

Auf- und Abdrehen
Hat der Angreifer einmal genug solcher Freundschaftsbestätigungen gesammelt, beginnt die zweite Stufe des Angriffs: Der bzw. die Fake-Accounts werden deaktiviert. Damit sind sie nicht gelöscht, sondern nur unsichtbar gemacht, und alle Daten - darunter auch die Freundschaftsliste - bleiben erhalten. Der Effekt: Die Nutzer, die die Freundschaften mit den Fake-Profilen bestätigt haben, sehen den falschen Freund nicht mehr in ihrer Freundesliste und können ihn deswegen auch nicht mehr bei Verdacht aus der Liste löschen.

Dann beginnt der Angreifer mit dem so genannten "Cloaking": Er reaktiviert den Account für kurze Zeit, bekommt damit als bestehender Facebook-Freund Zugriff auf die Daten der Kontakte und greift diese automatisiert mit einer Software ab. Ist der Datenklau erledigt, wird der Account wieder deaktiviert und damit wieder unsichtbar gemacht. Die Prozedur, so wird gewarnt, könnte etwa in den frühen Morgenstunden durchgeführt werden - also in jener Zeit, in der Facebook-Nutzer am wenigsten aktiv sind und die Rückkehr des Fake-Profils in ihre Freundesliste nicht bemerken.

Im Test der beiden IT-Forscher konnten sie dieses Cloaking über einen Zeitraum von 261 Tagen betreiben und in dieser Zeit alle Freundschaften zu den geköderten Profilen aufrechterhalten. Sie legen Facebook nun nahe, Profile, die oft de- und reaktiviert werden, näher unter die Lupe zu nehmen und gegebenenfalls auch zu sperren.

Facebook ändert Nutzungsbedinungen
Facebook-Nutzer sollten aber nicht nur solchen möglichen Hack-Attacken gewahr sein, sondern sich auch die heute überarbeiteten Nutzungsbedingungen noch einmal zu Gemüte führen. Denn in diesen steht ab sofort etwa Folgendes:

"Deine weitere Nutzung von Facebook nach Änderungen an unseren Bedingungen bedeutet gleichzeitig dein Akzeptieren unserer geänderten Bedingungen."

Deutsche Datenschützer haben diese Änderung bereits beanstandet, weil sie nicht mit deutschem und europäischem Datenschutzrecht vereinbar sei. Außerdem würde sich Facebook ab sofort vorbehalten, kostenpflichtige Dienste nicht immer als solche kennzeichnen zu müssen - was ebenfalls kritisiert wird.

Mehr zum Thema

  • Datenschützer kritisieren neue Facebook-Regeln
  • Widerstand gegen EU-Datenschutzverordnung
  • Facebook zeigt Wall Street kalte Schulter
eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.