Mobbing für Fortgeschrittene mit Facebook-Gruppen
Facebook hat eine Sicherheitslücke, über die Mitglieder des sozialen Netzwerks unter fremden Namen Beiträge veröffentlichen können.
Facebook hat eine Sicherheitslücke, über die Mitglieder des sozialen Netzwerks unter fremden Namen Beiträge veröffentlichen können. Damit ein Facebook-Mitglied einen Beitrag unter dem Namen eines anderen veröffentlichen kann, müssen beide auf der Plattform "befreundet" sein.
Zudem müssen beide Mitglied einer Gruppe sein – aber dafür kann der Angreifer ja sorgen, wenn beide Facebook-Freunde sind: Er kann einfach eine Gruppe einrichten und das Opfer als Mitglied hinzufügen. Das Opfer enthält nur eine Benachrichtigung darüber, zur Gruppe hinzugefügt worden zu sein. Gefragt wird es aber nicht. Auch kann sich ein Facebook-Mitglied nicht grundsätzlich dagegen wehren, zu Gruppen hinzugefügt zu werden.
Der Angreifer muss sich anschließend nur noch die Facebook-E-Mail-Adresse des Opfers besorgen, also die Adresse, mit der es sich bei Facebook einloggt. Die findet er aber häufig in dessen Profil. Sendet er dann Nachrichten mit der Absendeadresse des Opfers an die Mailadresse der Gruppe, erscheint die Nachricht als Beitrag in der Gruppe. Der Angreifer muss nicht den E-Mail-Zugang cracken oder Ähnliches – es genügt völlig, im "Absender"-Feld des E-Mail-Programms die Adresse des Opfers anzugeben. Das Versenden funktionierte von einem (Heise-)Firmenaccount aus, nicht aber von einem Massenhoster wie GMail oder GMX. Per GMX versendete Nachrichten konnte Facebook offenbar korrekterweise als Fake erkennen, sie wurden von den Facebook-Servern abgewiesen. Die Fehlermeldung enthielt einen Link auf eine Fehlerseite.
Dass das Problem nur im Facebook-Freundeskreis greift, entschärft es nur auf den ersten Blick, denn unter den "Freunden" auf der Plattform tummeln sich möglicherweise auch Arbeitskollegen, Mitschüler oder Bekannte, die dem Mitglied alles andere als wohlgesonnen sind. Und diese haben mit der Möglichkeit eines Postings unter falschem Namen eine besonders perfide Möglichkeit, das Opfer hereinzulegen.
heise online weist die betroffenen Firmen in der Regel auf Sicherheitslücken hin und berichtet über die Probleme erst, wenn sie behoben sind. Auch Facebook haben wir über das Problem informiert, nachdem uns ein Leser, Kevin Siegerth, darauf hingewiesen hat. Aber bislang scheint man es dort nicht wirklich ernst zu nehmen, innerhalb von knapp drei Monaten tat sich nichts. Laut Facebook-Sprecherin Tina Kulow wird nach wie vor daran gearbeitet, den Fehler zu beheben. Vielleicht sorgt ja die Veröffentlichung für den notwendigen Druck, um das Problem aus der Welt zu schaffen.
Schützen kann man sich bis dahin nur sehr eingeschränkt. Man sollte in den benutzerdefinierten Privatsphäre-Einstellungen die Sichtbarkeit der E-Mail-Adresse auf "Nur Ich" setzen und regelmäßig bei Facebook vorbeischauen. So kann man sich aus Gruppen austragen, in denen man nicht Mitglied sein will, und so kann man schnell auf falsche Postings reagieren. (jo)
