Facebook: Hacker-Tool findet Accounts zu E-Mail-Adressen
Bis zu fünf Millionen E-Mail-Adressen lassen sich angeblich mit "Facebook Email Search v1.0" täglich auf zugehörige Facebook-Accounts überprüfen.
Parallel zu Berichten, denen zufolge man bei Facebook davon ausgeht, dass auch in Zukunft massive Datenlecks durch das sogenannte Scraping geben wird, sorgt ein weiterer Fall für Aufsehen. US-Medien berichten über ein Software-Werkzeug, das in einschlägigen Kreisen kursiere und das zu E-Mail-Adressen automatisiert eventuell vorhandene zugehörige Facebook-Accounts ausgibt. Pro Tag sei das für fünf Millionen Adressen möglich, zitiert etwa ArsTechnica.
Mit solch einem Tool könnten beispielsweise anderweitig abgegriffene Datenbanken mit E-Mail-Adressen und Passwörtern um zugehörige-Facebook-Accounts erweitert werden, die dann gezielt angegriffen werden könnten. Facebook habe die ausgenutzte Lücke nicht schließen wollen, wolle aber nun doch handeln.
Scraping-Abgriffe laut Facebook normal
Im Zuge der Aufarbeitung eines anderen riesigen Datenabgriffs bei Facebook war gerade erst öffentlich geworden, dass man bei Facebook intern davon ausgeht, dass es solche Lecks immer wieder geben werde. Anfang April war öffentlich geworden, dass online eine Datenbank mit Einträgen von mehr als 500 Millionen Facebook-Nutzernamen inklusive der vollständigen Namen, Telefonnummern, Geburtsdaten, Orten, biografischen Angaben und E-Mail-Adressen kursierte. Darunter waren wohl auch Telefonnummern, die für niemanden sichtbar etwa für die Zwei-Faktor-Authentifizierung hinterlegt waren. Facebook hatte sich geweigert, die Betroffenen zu informieren, da die Daten öffentlich waren und man sowieso nichts dagegen unternehmen könne. Es folgte eine Welle von SMS-Spam.
Die jüngsten Berichte über massenhaftes Abgreifen von Nutzerdaten bei Facebook scheinen dem US-Konzern nun Recht zu geben. Sie beruhen auf der Vorführung eines anonymen Hackers, der das Tool bei der Arbeit gefilmt hat. Innerhalb von drei Minuten habe er dabei 6000 E-Mail-Adressen auf eventuell zugehörige Facebook-Accounts überprüfen können, zitiert ArsTechnica.
Der Hacker habe auch behauptet, dass Facebook vorab erklärt habe, die ausgenutzte Lücke sei nicht "wichtig" genug, um geschlossen zu werden. Das sieht man bei dem Konzern nun wohl anders, denn das US-Magazin zitiert ein Statement, demzufolge die Absage ein Fehler gewesen sei. Man habe erste Schritte unternommen, um das Problem zu beheben und arbeite nun daran. Wieviele Datenabgriffe derweil bereits darüber erfolgt sind, ist unklar.
(mho)