 |
# taz.de -- Sicherheitslücke bei Facebook: Falscher Google-Boss sucht Freunde |
|
|
|
> Der bekannte Tech-Blogger Michael Arrington hat sich einen Spaß erlaubt: |
|
> Er legte ein Facebook-Profil für Google-Chef Eric Schmidt an. Darauf |
|
> fielen selbst Netzgrößen herein. |
|
|
 |
Bild: Reingelegt mit Facebook: Eric Schmidt. |
|
|
|
Eric Schmidt hat keinen Facebook-Zugang. Ob das ein Zeichen dafür ist, dass |
|
der Google-Boss seine Privatsphäre mehr schätzt, als er sie möglicherweise |
|
seinen Suchmaschinenkunden [1][zugesteht], ist nicht überliefert - seine |
|
bisherige Verweigerungshaltung dem weltgrößten sozialen Netzwerk gegenüber |
|
ist in der Techszene jedenfalls weitläufig bekannt. |
|
|
|
Am vergangenen Sonntag änderte sich das plötzlich - jedenfalls sah es |
|
danach aus: Ein neues Profil von Schmidt tauchte auf Facebook auf, |
|
inklusive freundlichem Bild und korrektem Geburtsdatum. Schnell fanden sich |
|
erste prominente Freunde ein - Chad Hurley beispielsweise, seines Zeichens |
|
Gründer von YouTube oder Elliot Schrage, oberster Öffentlichkeitsarbeiter |
|
bei Facebook. Ein Nutzer, der das mitbekam, mockierte sich in einer E-Mail |
|
an das vielgelesene Web 2.0-Blog "Techcrunch", Schmidt habe doch nur sechs |
|
Freunde. "Zum Schießen." |
|
|
|
Die Ironie der Angelegenheit: Techcrunch selbst hatte, in Person seines |
|
Gründers Michael Arrington, Schmidts Profil angelegt und bekannte |
|
Web-Größen damit hereingelegt, seine "Freunde" zu werden. |
|
|
|
Fake-Profile sind in dem sozialen Netzwerk an sich nichts Neues, da |
|
Facebook frische Nutzer ja nicht mit einer Kopie ihres Personalausweises |
|
abgleichen kann - so kam es in den letzten Jahren regelmäßig zu Imitationen |
|
von Promis in dem sozialen Netzwerk. Allerdings muss man gefälschte |
|
E-Mail-Adressen einsetzen, was schnell zum Warnmerkmal werden kann und beim |
|
Aussieben hilft. Twitter reagierte beispielsweise auf das gleiche Problem, |
|
indem der Kurznachrichtendienst für bekannte Nutzer ein "Verifizierter |
|
Account"-Logo samt Überprüfung einführte. |
|
|
|
Arrington ging deutlich geschickter vor: Er nahm einfach die |
|
Original-E-Mail-Adresse von Schmidt, der sein Postfach offenbar an |
|
Wochenenden nicht genau zu überprüfen scheint, sonst hätte er die Nachricht |
|
der Kontoeröffnung wohl gesehen. Jedenfalls blieb das neue Facebook-Profil |
|
aktiv. Um kein Risiko einzugehen, drehte Arrington dann auch noch alle |
|
sonst bei Facebook aktiven E-Mail-Benachrichtigungen ab, so dass |
|
sichergestellt war, dass Schmidt tatsächlich nur die eine |
|
Kontoeröffnungsnachricht erhielt. |
|
|
|
Der Grund, warum Arringtons Aktion überhaupt funktionierte, ist simpel: |
|
Facebook lässt bislang aus unerfindlichen Gründen einige zentrale |
|
Funktionen ohne Überprüfung der E-Mail-Adresse zu, die man bei anderen |
|
Diensten zunächst per Mausklick bestätigen muss. So kann man ohne |
|
Bestätigung Facebook-"Freunde" akquirieren, neue "Freunde" akzeptieren, |
|
Status-Nachrichten "mögen" (Like-Knopf) sowie private Nachrichten senden |
|
und empfangen. Das reichte Arrington schon, um seine Köder auszulegen. |
|
|
|
Ein weiteres Feature macht die fehlende E-Mail-Überprüfung besonders |
|
problematisch: Facebook hat mittlerweile eine gigantische E-Mail-Datenbank |
|
in seinem System, weil Nutzer etwa der offiziellen iPhone-App [2][ganze |
|
Adressbücher] hochladen. So macht Facebook Nutzern erstaunlich genaue |
|
Vorschläge für passende "Freunde". Der falsche Schmidt kam dank der |
|
richtigen E-Mail-Adresse so schnell auf den Schirm anderer prominenter |
|
Nutzer, die von Facebook automatisch Schmidt als neuen "Freund" |
|
vorgeschlagen bekamen. Ebenso erhielt auch Schmidt alias Arrington |
|
interessante Vorschläge. |
|
|
|
Die Lösung für das Problem ist simpel, meint Arrington: Facebook dürfe es |
|
nicht mehr erlauben, dass irgendeine Aktion in dem sozialen Netzwerk ohne |
|
Bestätigung der E-Mail-Adresse möglich ist. Zwar haben auch andere Dienste |
|
ähnliche Probleme. "Doch Facebook gibt einem sofort Zugriff auf einen |
|
ziemlich robusten sozialen Graphen." |
|
|
|
"Social Graph" nennt Facebook-Boss Mark Zuckerberg das Vernetzungsprofil |
|
seiner Nutzer - also wer wen kennt und wer mit wem in Verbindung steht. Es |
|
sei Facebooks Aufgabe, diesen so "rein wie möglich" zu halten, sagte |
|
Zuckerberg erst neulich, der diese Daten nicht nur hinter vorgehaltener |
|
Hand für Facebooks wichtigsten Geschäftsvorteil hält. |
|
|
|
12 Oct 2010 |
|
|
|
## LINKS |
|
|
 |
[1] /1/netz/netzpolitik/artikel/1/die-fettnaepfchen-des-eric-s/ |
|
[2] http://www.guardian.co.uk/technology/blog/2010/oct/06/facebook-privacy-phon… |
|
|
|
## AUTOREN |
|
|
|
Ben Schwan |
|
|
|
## ARTIKEL ZUM THEMA |
