 |
# taz.de -- Datensicherheit bei Facebook: 170 Millionen Accounts ausgelesen |
|
|
|
> Ein Programmierer hat eine Software geschrieben, mit der sich offene |
|
> Profile bei Facebook abfragen und in einer Datenbank speichern lassen. |
|
> Ein Teil landete in Tauschnetzen. |
|
|
 |
Bild: Ein offenes Buch: Facebook. |
|
|
|
Normalerweise gelten die USA als Internet-Trendsetter, diesmal war es |
|
Europa: Schon im Frühjahr war es Hackern gelungen, aus dem deutschen |
|
sozialen Netzwerk "SchülerVZ" [1][über eine Million Datensätze] abzusaugen. |
|
Nun droht Ähnliches auch beim größten Social Network der Welt: Wie der |
|
nordamerikanische Sicherheitsforscher Ron Bowes in seinem Blog mitteilte, |
|
ist es ihm gelungen, ein Programm zu schreiben, das Millionen Konten auf |
|
Facebook abgrasen und die Ergebnisse in eine Datenbank übertragen kann. |
|
|
|
Zum Beweis hat der Experte schon ein erstes Infopaket geschnürt: Eine |
|
insgesamt 10 Gigabyte große Datenbank mit 170 Millionen Profilen landete im |
|
Dateitauschnetz Bittorrent. Enthalten ist die Internetadresse jedes |
|
durchsuchbaren Facebook-Profils, sein/ihr Name, Listen mit |
|
Accountinformationen sowie das eigentliche "Crawler"-Programm. Detaillierte |
|
Infos zu Vorlieben und Freundeskreis sammelte Bowes indes noch nicht, weil |
|
ihm die notwendige Bandbreite fehlte. In seinem Blog setzte er deshalb |
|
einen Hilferuf ab: "Wenn ich auch die Freundeslisten haben will, bedeutet |
|
das deutlich mehr Daten. Die dafür notwendige Technik fehlt mir aber." Er |
|
wolle das aber in Zukunft angehen. "Wenn jemand Bandbreite zu verschenken |
|
hat, soll er sich melden." |
|
|
|
Gegen Absaugaktionen wie die von Bowes können sich soziale Netzwerke nur |
|
teilweise schützen. Da Facebook sich in den letzten zwei Jahren stetig zum |
|
regulären Internet hin geöffnet hat (auch, um mehr Werbeeinnahmen zu |
|
generieren) und Profildaten mittlerweile standardmäßig per Google und Co. |
|
erfassen lässt, lassen sich auch Crawler-Programme nur schlecht abwehren. |
|
Bei "SchülerVZ", einem grundsätzlich geschlosseneren Netz, wurde unter |
|
anderem in die Suchfunktion eine Hürde eingebaut, die die regelmäßige |
|
Eingabe eines für ein Programm nur schwer zu knackenden Sicherheitscodes |
|
verlangt - selbiges kann Facebook kaum integrieren, weil dann auch Google & |
|
Co. auf Hürden stoßen würden. |
|
|
|
Dementsprechend war es nur eine Frage der Zeit, bis Crawler auftauchten. |
|
Mit den so erhaltenen Datensätzen lässt sich viel Schindluder treiben: Da |
|
Facebook darauf besteht, das Nutzer Klarnamen verwenden, könnte ein |
|
massenhafter Identitätsdiebstahl möglich werden. Bowes Programm lässt sich |
|
zudem so anpassen, dass es nur bestimmte Profile absaugt, beispielsweise |
|
alle aus einer bestimmten Region. Neben dem Identitätsdiebstahl könnten |
|
Online-Gauner die Technik auch für Spam- oder Phishing-Aktionen nutzen: |
|
Dazu müssten sie dann nur einen gefälschten Facebook-Account anlegen, der |
|
die über den Crawler ermittelten Nutzer mit Einladungen oder anderen |
|
Mitteilungen bombardiert. |
|
|
|
Gegen Absaugaktionen können sich Nutzer nur schützen, indem sie ihr Profil |
|
auf "nicht durchsuchbar" schalten und möglichst viele ihrer Daten nur ihrem |
|
engsten Freundeskreis zugänglich machen - Crawler können nämlich nur |
|
öffentlich zugängliche Informationen einsehen. Da Facebook mit seinen |
|
jüngsten Datenschutz-Änderungen immer mehr der Stammdaten auf "lesbar für |
|
alle" geschaltet hat, sollte man sein Profil im Detail ganz genau |
|
durchgehen. |
|
|
|
Aber eventuell ist es ja an der Zeit, sich ganz aus dem mittlerweile |
|
größten sozialen Netzwerk der Welt (500 Millionen Nutzer seit diesem Monat) |
|
zu verabschieden: Alternativen wie das offene und viel leichter |
|
kontrollierbare freie Netz [2][Diaspora] stehen demnächst bereit. |
|
|
|
Immerhin will es Facebook seinen Nutzern demnächst leichter machen, ihr |
|
Konto und ihre gesammelten Daten zu löschen. Wie Nutzer des |
|
IT-Nachrichtenportals "Slashdot" berichten, taucht bei einigen Nutzern |
|
mittlerweile eine neue "Account deaktivieren und löschen"-Funktion auf, die |
|
das Facebook-Konto nicht nur einfriert wie bisher, sondern es tatsächlich |
|
auch vom Server des US-Konzerns tilgt. Facebook zufolge handelt es sich |
|
allerdings bislang nur um einen "Funktionstest". Wer von der erleichterten |
|
Löschen-Funktion nicht beglückt wurde, hat aber die Möglichkeit, [3][diesen |
|
Direktlink] zu nutzen. Danach dauert es allerdings noch knapp 14 Tage, bis |
|
der Befehl komplett ausgeführt wurde. |
|
|
|
28 Jul 2010 |
|
|
|
## LINKS |
|
|
 |
[1] /1/politik/schwerpunkt-ueberwachung/artikel/1/16-mio-daten-von-schuelervz-a… |
|
[2] /1/netz/netzkultur/artikel/1/das-freie-facebook/ |
|
[3] https://ssl.facebook.com/help/contact.php?show_form=delete_account |
|
|
|
## AUTOREN |
|
|
|
Ben Schwan |
|
|
|
## ARTIKEL ZUM THEMA |
