Facebook-Konten über alte Telefonnummern angreifbar

Haben Facebook-Nutzer eine Telefonnummer als Recovery-Möglichkeit hinterlegt, kann nach einem Nummernwechsel der neue Besitzer der Nummer das Konto kapern. Facebook will dagegen allerdings nichts unternehmen.

In Pocket speichern vorlesen Druckansicht 37 Kommentare lesen
Facebook

(Bild: dpa, Daniel Reinhardt)

Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Facebook empfiehlt seinen Nutzern, eine Telefonnummer zu hinterlegen, damit sie die Kontrolle über ihr Konto wiedererlangen können, falls sie ihr Passwort vergessen haben. Versäumen Nutzer, diese Nummer zu sperren, kann nach einem Nummernwechsel deren neuer Besitzer auch das Facebook-Konto übernehmen. Wie einfach das geht, hat Facebook-Nutzer James Martindale anschaulich demonstriert. Auf eine Anfrage der englischen Nachrichtenseite The Register hin bestätigte Facebook Martindales Erkenntnisse und gab zu Protokoll, dass die Lücke nicht gestopft werden soll.

Facebook beruft sich darauf, dass "andere Online-Dienste" ähnlich mit Rufnummern umgingen, wenn es um das Zurücksetzen von Passwörtern geht. Allerdings ist das angesichts der Größe von Facebook und der damit verbundenen Angriffsfläche der möglichen Nutzer vielleicht nicht die beste Begründung. Zwar können über die Lücke in Facebooks Recovery-System nur zufällig Accounts übernommen werden – es kommt schließlich ganz darauf an, welche Rufnummer der Nutzer vom Provider zugeteilt bekommt – aber gerade Spammer und Kriminelle, die Konten für Phishing-Angriffe suchen, wird das egal sein. Ihnen reichen auch wahllose Konten aus, um deren Kontakte mit dubiosen Links zuzuspammen.

Facebook unterscheidet sich auch dadurch von anderen Diensten, dass es dem Nutzer mehrere Recovery-Nummern erlaubt. Das führt dazu, dass Nutzer die alten Nummern nicht löschen, sondern nur neue hinzufügen, argumentiert Martindale. Das Konto, auf das er Zugriff erhielt, war insgesamt mit sechs Nummern verknüpft. Martindale war auf die Lücke aufmerksam geworden, weil Facebook ihm eine Erinnerungs-SMS für ein fremdes Konto geschickt hatte, nachdem er seine Rufnummer gewechselt hatte. Facebook verschickt diese SMS, wenn Nutzer sich längere Zeit nicht auf der Seite einloggen.

Im Gegensatz zu anderen Diensten wie Google reicht bei Facebook außerdem die Telefonnummer zum Einloggen. Ab da hat der Nutzer die volle Kontrolle über das Konto. Dienste von Google und Microsoft fragen zusätzlich weitere Informationen zu dem Konto ab und verlassen sich nicht allein darauf, dass der Nutzer SMS unter der angegebenen Telefonnummer empfangen kann. Wer wirklich sicher gehen will, sollte bei einem Rufnummernwechseln trotzdem die alte Nummer bei allen Webdiensten deaktivieren. (fab)