Rätselraten um Facebook-Zugriff über den Google-Index
Eine spezielle Suchanfrage lieferte bei Google bis vor kurzem über eine Million Links, durch die unter anderem ohne Login auf fremde Facebook-Konten zugegriffen werden konnte. Es sieht so aus, als könnten die Nutzer selbst dafür verantwortlich sein.
- Ronald Eikenberg
Eine spezielle Google-Suchanfrage lieferte einem Bericht bei HackerNews zufolge bis vor kurzem etliche Facebook-Links zurück, über die auf fremde Facebook-Accounts zugegriffen werden konnte. Die Links enthielten einen Token, durch den der Nutzer automatisch im fremden Namen bei Facebook eingeloggt wurde. Unter den Suchergebnissen sollen sich darüber hinaus Links befunden haben, durch die man auf die Mailadressen anderer Nutzer zugreifen konnte.
Anscheinend stammen die Links aus Benachrichtigungsmails, die Facebook zum Beispiel verschickt, wenn der Nutzer von einer anderen Person auf einem Foto markiert wurde. Die Mails enthalten einen Link, die direkt zu dem entsprechenden Ereignis im sozialen Netzwerk führen. Um das Einloggen komfortabler zu machen, baut Facebook die Mail-Adresse des Empfängers als URL-Parameter in den Link ein.
Dadurch wird sie beim Besuch der Seite automatisch in das Login-Formular eingetragen und der Nutzer muss nur noch das Passwort eintippen – sofern er nicht ohnehin bereits eingeloggt ist. In einigen Fällen nutzt Facebook auch darüber hinaus auch Links mit Tokens, über die der Nutzer ganz ohne Passworteingabe eingeloggt wird. Das ist für sich genommen allerdings noch kein ausgewachsenes Sicherheitsproblem, schließlich verschickt Facebook diese Mails direkt an den Accountinhaber.
Problematisch wird es erst, wenn die Links – wie im aktuellen Fall – in die falschen Hände geraten. Bislang ist noch unklar, wie die Links in den Google-Suchindex gerutscht sind. Bei HackerNews vermutet der Facebook-Mitarbeiter Matt Jones, dass die Benachrichtigungsmails öffentlich zugänglich waren – etwa, weil die genutzte Mailadresse zu einem Wegwerf-Maildienst gehören, auf den jedermann ohne Passwort zugreifen kann.
Laut einem Kommentar bei HackerNews enden tatsächlich viele Mailadressen auf die Domain asdasd.ru, die einem russischen Anbieter von Wegwerf-Mailadressen gehört. Die Hauptseite führt sogar zu einem globalen Posteingang, in dem die Mails aller Nutzer auflaufen. Wer seinen Facebook-Account über einen solchen Anbieter registriert, darf sich über Fremdzugriffe auch nicht wundern.
Facebook hat das Login über Tokens laut Jones inzwischen abgeschaltet. Auch Google hat offenbar reagiert: Die fraglichen Links sind weitgehend aus dem Suchindex verschwunden. (rei)
