Datensicherheit bei Facebook: 170 Millionen Accounts ausgelesen

Ein Programmierer hat eine Software geschrieben, mit der sich offene Profile bei Facebook abfragen und in einer Datenbank speichern lassen. Ein Teil landete in Tauschnetzen.

Ein offenes Buch: Facebook. Bild: dpa

Normalerweise gelten die USA als Internet-Trendsetter, diesmal war es Europa: Schon im Frühjahr war es Hackern gelungen, aus dem deutschen sozialen Netzwerk "SchülerVZ" über eine Million Datensätze abzusaugen. Nun droht Ähnliches auch beim größten Social Network der Welt: Wie der nordamerikanische Sicherheitsforscher Ron Bowes in seinem Blog mitteilte, ist es ihm gelungen, ein Programm zu schreiben, das Millionen Konten auf Facebook abgrasen und die Ergebnisse in eine Datenbank übertragen kann.

Zum Beweis hat der Experte schon ein erstes Infopaket geschnürt: Eine insgesamt 10 Gigabyte große Datenbank mit 170 Millionen Profilen landete im Dateitauschnetz Bittorrent. Enthalten ist die Internetadresse jedes durchsuchbaren Facebook-Profils, sein/ihr Name, Listen mit Accountinformationen sowie das eigentliche "Crawler"-Programm. Detaillierte Infos zu Vorlieben und Freundeskreis sammelte Bowes indes noch nicht, weil ihm die notwendige Bandbreite fehlte. In seinem Blog setzte er deshalb einen Hilferuf ab: "Wenn ich auch die Freundeslisten haben will, bedeutet das deutlich mehr Daten. Die dafür notwendige Technik fehlt mir aber." Er wolle das aber in Zukunft angehen. "Wenn jemand Bandbreite zu verschenken hat, soll er sich melden."

Gegen Absaugaktionen wie die von Bowes können sich soziale Netzwerke nur teilweise schützen. Da Facebook sich in den letzten zwei Jahren stetig zum regulären Internet hin geöffnet hat (auch, um mehr Werbeeinnahmen zu generieren) und Profildaten mittlerweile standardmäßig per Google und Co. erfassen lässt, lassen sich auch Crawler-Programme nur schlecht abwehren. Bei "SchülerVZ", einem grundsätzlich geschlosseneren Netz, wurde unter anderem in die Suchfunktion eine Hürde eingebaut, die die regelmäßige Eingabe eines für ein Programm nur schwer zu knackenden Sicherheitscodes verlangt - selbiges kann Facebook kaum integrieren, weil dann auch Google & Co. auf Hürden stoßen würden.

Dementsprechend war es nur eine Frage der Zeit, bis Crawler auftauchten. Mit den so erhaltenen Datensätzen lässt sich viel Schindluder treiben: Da Facebook darauf besteht, das Nutzer Klarnamen verwenden, könnte ein massenhafter Identitätsdiebstahl möglich werden. Bowes Programm lässt sich zudem so anpassen, dass es nur bestimmte Profile absaugt, beispielsweise alle aus einer bestimmten Region. Neben dem Identitätsdiebstahl könnten Online-Gauner die Technik auch für Spam- oder Phishing-Aktionen nutzen: Dazu müssten sie dann nur einen gefälschten Facebook-Account anlegen, der die über den Crawler ermittelten Nutzer mit Einladungen oder anderen Mitteilungen bombardiert.

Gegen Absaugaktionen können sich Nutzer nur schützen, indem sie ihr Profil auf "nicht durchsuchbar" schalten und möglichst viele ihrer Daten nur ihrem engsten Freundeskreis zugänglich machen - Crawler können nämlich nur öffentlich zugängliche Informationen einsehen. Da Facebook mit seinen jüngsten Datenschutz-Änderungen immer mehr der Stammdaten auf "lesbar für alle" geschaltet hat, sollte man sein Profil im Detail ganz genau durchgehen.

Aber eventuell ist es ja an der Zeit, sich ganz aus dem mittlerweile größten sozialen Netzwerk der Welt (500 Millionen Nutzer seit diesem Monat) zu verabschieden: Alternativen wie das offene und viel leichter kontrollierbare freie Netz Diaspora stehen demnächst bereit.

Immerhin will es Facebook seinen Nutzern demnächst leichter machen, ihr Konto und ihre gesammelten Daten zu löschen. Wie Nutzer des IT-Nachrichtenportals "Slashdot" berichten, taucht bei einigen Nutzern mittlerweile eine neue "Account deaktivieren und löschen"-Funktion auf, die das Facebook-Konto nicht nur einfriert wie bisher, sondern es tatsächlich auch vom Server des US-Konzerns tilgt. Facebook zufolge handelt es sich allerdings bislang nur um einen "Funktionstest". Wer von der erleichterten Löschen-Funktion nicht beglückt wurde, hat aber die Möglichkeit, diesen Direktlink zu nutzen. Danach dauert es allerdings noch knapp 14 Tage, bis der Befehl komplett ausgeführt wurde.