Um eine Telefonnummer zu validieren und wertvolle Kontaktinformationen über die Person zu erfahren, konnte man Sicherheitsforscher Suriya Prakash zufolge bis vor kurzem Facebook nutzen. Selbst Nutzer des sozialen Netzwerks, die ihre Nummer nur für die Zwei-Faktor-Authentifizierung angegeben hatten, waren so auffindbar. Einem Sprecher Facebooks zufolge ist das Problem nun behoben.
Der unabhängige Sicherheitsforscher Suriya Prakash beschreibt, wie er mit einem Skript an unzählige Profilinformationen gelang. Sein Skript habe den Kontaktfinder der mobilen Facebook-Seite genutzt, um Zufallskombinationen von Telefonnummern einzugeben, erläutert Prakash. Damit habe er eine Liste von Profilinformationen erstellt, die er so mit den Telefonnummern verknüpfen konnte. Selbst Nutzer, die ihre Nummer lediglich für die Authentifizierung, nicht aber im Profil angegeben hatten, ließen sich so finden. Prakash schreibt in seinem Blogpost, er habe Facebook früh über das Problem informiert, und zeigt sich überrascht über den geringen Grad an Kooperation.
Nach der Veröffentlichung hat Facebook das Problem nun teilweise behoben. Nummern, die nur zu Authentifizierungszwecken angegeben werden, sind nicht mehr über die Suche abfragbar. Laut Prakash wurde auch die Abfrage über die mobile Website eingeschränkt.
"Facebook hat Systeme, um missbräuchlicher Nutzung unserer Suchfunktion vorzubeugen, und das von dem Forscher beschriebene Szenario wurde nun entdeckt und geblockt", erklärte ein Sprecher Facebooks. Zwar gibt es eine Möglichkeit, die eigene Auffindbarkeit über die im Profil angegebene Telefonnummer auf "Freunde von Freunden" oder "Freunde" zu beschränken. Die Grundeinstellung ist jedoch "Alle". Und diese Einstellung hat nichts mit der Einstellung für die Sichtbarkeit der Kontaktdaten im Profil zu tun. Selbst wenn diese auf "nur für mich" sichtbar eingestellt ist, ist die Rufnummer noch für alle sichtbar.
Die Suche nach Inhabern von Telefonnummern über die Suche bei Facebook lässt sich nur auf Freunde einschränken. Die Voreinstellung lässt zu, dass alle das der Nummer zugehörige Facebook-Profil finden. In den Privatsphäre-Einstellungen verbirgt sich der Dialog "Funktionsweise von Verbindungen". Dort kann man die Frage "Wer kann dich anhand der von dir angegebenen E-Mail-Adresse oder Telefonnummer finden?" mit "Freunde" oder "Freunde von Freunden" beantworten. So schränkt man den Kreis derjenigen ein, die über die Telefonnummer an Profildaten kommen dürfen. Ganz abschalten lässt sich dies jedoch nicht. (rzl)
No hay comentarios:
Publicar un comentario