Privatsphäre und Datenschutz im Web 2.0

Das Blog zur Beratung von DeinWeb - Ein Web für alle!

Facebook will SMS von Android-Usern lesen

Send to Kindle

Eben wollte ich die Standard-Facebookanwendung auf meinem Android-Handy updaten und mußte eine unangenehme Feststellung machen. Die neueste Version der Facebook-App für Android weitet ihre Zugriffsrechte erheblich aus. Sie verlangt nun auch Zugriff auf SMS und MMS. Bei der Aktualisierung heißt es: Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

Facebook: Noch eine Sicherheitslücke bei Login-Adressen (und @facebook.com-Adressen)

Send to Kindle

Angeregt durch die gestern berichtete Sicherheitslücke in Facebook, die es Usern ermöglicht, unter bestimmten Umständen Nachrichten im Namen Ihrer Freunde an Gruppen zu senden, habe ich ein wenig experimentiert und bin auf eine weitere Sicherheitslücke gestoßen. Im Prinzip ist es möglich, jedem Facebook-User im Namen eines anderen Facebook-Users eine private Nachricht auf Facebook zu schicken, ohne eingeloggt zu sein. Zwei Bedingungen müssen dafür erfüllt sein: Der Angreifer muß die Login-Adresse des vermeintlichen Absenders kennen, und der Empfänger muß eine @facebook.com-Adresse besitzen, die der Angreifer ebenfalls kennen muß. Beides ist oftmals jedoch kein Problem, weil die Login-Adressen in den Privatsphäreeinstellungen nicht ausreichend geschützt und @facebook.com-Adressen oftmals ohnehin öffentlich zugänglich oder zumindest leicht erratbar sind, da sie über die Vanity-URL, also die Kurz-URL für User-Profile, ermittelbar sind, wenn der User eine hat. Ist der Empfänger der Nachricht im Chat eingeloggt, landet die Nachricht übrigens dort.

Daher gilt auch hier mein Rat von gestern, die Login-Adresse auf Facebook geheim zu halten und in den Privatsphäreeinstellungen ihre Sichtbarkeit auf "Nur ich" zu setzen. Inhaber von @facebook.com-Adressen sollten bei Mails mit seltsamen Inhalten, die scheinbar von Facebook-Usern stammen, nachfragen, ob diese wirklich der Absender sind. Grundsätzlich aber gilt: Die Authentizität von Mails und Chatnachrichten, die Sie über Ihre @facebook.com-Adresse erhalten, ist nicht gewährleistet!

Danke auch an @muzzelchen fürs Testen. 🙂

Update von 27. 06. 2011: An einem kleinen Detail läßt sich, wie ich eben festgestellt habe, doch ersehen, daß die Mail nicht direkt von einem Facebook-Account gesendet wurde. In der rechten oberen Ecke der Nachricht sehen Sie, wenn die Mail von außerhalb kommt, ein Briefsymbol. Wenn Sie über dieses Briefsymbol mit der Maus fahren, sehen Sie einen Text "Gesendet von mail@extern". "mail@extern" ist eine externe Mailadresse. Facebook stellt also offensichtlich doch fest, daß die Mail nicht intern versendet wurde. Leider wird dennoch der Eindruck geschaffen, die Mail käme von dem jeweiligen User, der die Mailadresse als Login-Adresse verwendet. Aber an dem kleinen Briefsymbol können Sie mit ziemlich großer Sicherheit feststellen, daß der Absender gefälscht wurde, denn kaum jemand, der Ihnen direkt in Facebook eine Mail schicken kann, wird Ihnen diese Mail von seiner Login-Adresse aus schicken.

Flattr this!

Facebook Share Twitter Share

Sicherheitslücke bei Facebook: Halten Sie Ihre Login-Adresse geheim!

Send to Kindle

Wie Heise berichtet, existiert eine Sicherheitslücke in Facebook, die es erlaubt, in Gruppen Beiträge unter dem Namen von "Freunden" zu veröffentlichen. Sowohl Opfer wie auch Täter müssen zusätzlich zu der Bedingung, auf Facebook "befreundet" zu sein, Mitglied der gleichen Gruppe sein. Beide Voraussetzungen sind schnell erfüllt, da bei neuen Gruppen jedes Mitglied beliebige Freunde ohne deren Zustimmung hinzufügen kann. Die größte Hürde besteht darin, die Mailadresse zu ermitteln, mit der sich das Opfer in Facebook einloggt. Gelingt dies, ist es in einigen Fällen möglich, mit dieser Aresse als Absenderadresse Nachrichten im Namen des Opfers an die betreffende Facebook-Gruppe zu schicken. In anderen Fällen wurde der gefälschte Absender dagegen von Facebook erkannt.

Grundsätzlich gilt: Verwenden Sie für den Login auf Facebook eine Mailadresse, die ausschließlich bei Facebook für den Login und für Benachrichtigungen von Facebook Verwendung findet und niemandem sonst bekannt ist. Sie können diese Adresse auch nachträglich ändern, indem Sie in den Kontoeinstellungen eine neue Kontakt-E-Mail-Adresse eintragen. In den Privatsphäreeinstellungen müssen Sie die Sichtbarkeit für diese Adresse auf "Nur ich" umstellen.

Wenn Sie Ihre Login-Adresse auf diese Weise von Anfang an schützen und niemand Ihre Login-Adresse erraten kann, sollten Sie gegen diesen Angriff ausreichend geschützt sein. Zudem sollten Sie sich aus Gruppen austragen, in die Sie gegen Ihren Willen eingetragen wurden und in denen Sie kein Mitglied sein wollen.

Update vom 24. 06. 2011: Ich wurde gerade dank einer Leserin auf einen wichtigen Punkt hingewiesen: Wenn Sie bisher Ihre Login-Adresse in den Privatsphäreeinstellungen auf "Nur ich" stehen hatten und diese ändern, ändert sich auch die Privatsphäreeinstellung wieder auf "Nur Freunde"! Sie müssen also auch die Privatsphäreeinstellung neu auf "Nur ich" setzen, wenn sie die Login-Adresse ändern! Hier versagt Facebook mal wieder auf ganzer Linie.

Flattr this!

Facebook Share Twitter Share

Drei WordPress-Plugins kompromittiert: Ändern Sie Ihr Paßwort!

Send to Kindle

Wenn Sie eines der WordPress-Plugins AddThis, WPtouch oder W3 Total Cache verwenden, führen Sie umgehend ein Update der drei Plugins durch und ändern Sie danach Ihr Paßwort! Wie WordPress bereits gestern bekanntgab, wurden offensichtlich kompromittierte Versionen dieser Plugins ins Plugin-Repository von WordPress hochgeladen, die nicht von den Autoren stammten.

Flattr this!

Facebook Share Twitter Share

EU kritisiert soziale Netzwerke für mangelnden Schutz von Kindern und Jugendlichen

Send to Kindle

Die EU hat 14 soziale Netzwerke untersucht und bei zehn schwere Mängel beim Schutz von Jugendlichen festgestellt. Lediglich die vier Netzwerke Bebo, MySpace, Netlog und SchülerVZ hätten Standardeinstellungen, durch die Jugendliche davor geschützt seien, von Fremden kontaktiert zu werden. Durchgängig gut, aber teilweise schwer auffindbar seien kindgerechte Informationen zur Sicherheit in den jeweiligen Netzwerken.

Flattr this!

Facebook Share Twitter Share

Renommierter Medienrechtler warnt Unternehmen vor Nutzung sozialer Netzwerke

Send to Kindle

Der renommierte Medienrechtler Prof. Dr. Thomas Hoeren hat in einem Beitrag im deutschen AnwaltsSpiegel Unternehmen davor gewarnt, soziale Netzwerke zu nutzen, wie das Mittelstandsblog berichtet. Grund seien rechtliche Stolperfallen. Das Mittelstandsblog rät zwar davon ab, Hoerens Position zu verabsolutieren, hält es aber dennoch für sinnvoll, den Artikel zu lesen, weil er auf wichtige rechtliche Aspekte bei der Nutzung sozialer Netzwerke durch Unternehmen hinweist. Der Artikel steht auch zum Download zur Verfügung, ist aber derzeit (21. 06. 2011, 21:20), wie die ganze Website des AnwaltsSpiegels, nicht erreichbar. Sobald mir der Artikel zur Verfügung steht, werde ich an dieser Stelle näher auf Hoerens Argumentation eingehen.

Was meinen Sie? Sind soziale Netzwerke mit ihren rechtlichen Stolperfallen ein zu großes Risiko für Unternehmer im Vergleich zu dem, was sich daraus machen läßt? Oder lohnt sich das Risiko? Ist es vielleicht auch beherrschbar?

Flattr this!

Facebook Share Twitter Share

Wie Sie mit „Ich im Internet“ die eigene Online-Identität überwachen und unerwünschte Suchergebnisse entfernen können

Send to Kindle

Google hat einen neuen Dienst mit dem Namen "Ich im Internet" gestartet, mit dem es möglich ist, sich in Echtzeit über Google-Suchergebnisse informieren. Voraussetzung ist ein Google-Konto. Damit können Sie unter http://www.google.com/dashboard beim Punkt "Ich im Internet" nach Ihrem Namen und verschiedenen Mailadressen suchen und sich einmal täglich, wöchentlich oder sofort nach Veröffentlichung eines Suchergebnisses informieren lassen. Zudem gibt Google Tips, wie sich unerwünschte Einträge entfernen lassen. Die Entfernung ist bei fremden Websites jedoch nur möglich, wenn sehr sensible personenbezogene Daten wie die Sozialversicherungsnumer, Personalausweis- oder Kreditkartennummern oder die persönliche Unterschrift als Bild veröffentlicht wurden. Eine Entfernung der Inhalte aus Google können Sie dann für Suchergebnisse auf http://www.google.com/support/webmasters/bin/answer.py?answer=164133 unter dem Punkt "Wenn eine Website vertrauliche persönliche Daten veröffentlicht" beantragen. Google entfernt dann die Seite aus den Suchergebnissen und nimmt Kontakt mit dem Seitenbetreiber auf, um die Inhalte entfernen zu lassen.

WICHTIG: Eine Entfernung der Inhalte aus dem Google-Index läßt die Inhalte nicht aus dem World Wide Web verschwinden! Sie sind auch danach nach wie vor abrufbar! Nehmen Sie daher auch unbedingt selbst mit dem Seitenbetreiber auf, um sicherzustellen, daß derartige Inhalte schnell entfernt werden!

Ganz so neu ist die Funktion "Ich im Internet" auf den zweiten Blick dann aber doch nicht. Denn der Dienst bedient sich schlicht Google Alerts. Man darf gespannt sein, ob die Information sofort nach der Veröffentlichung eines Suchergebnisses funktioniert, denn Google Alerts ist bekanntlich teilweise doch sehr langsam und informiert oft erst nach Wochen über einen Treffer. Wer seine Online-Identität überwachen möchte, ohne ein Google-Konto einrichten zu müssen, sollte gleich Google Alerts verwenden, das funktioniert nämlich im Gegensatz zu "Ich im Internet" auch ohne Google-Konto.

Flattr this!

Facebook Share Twitter Share

Wirtschaftswoche: Unternehmer in sozialen Netzwerken profitieren nicht, sondern zahlen drauf – mit ihren Daten

Send to Kindle

In einem sehr provokativen Artikel geht die Wirtschaftswoche der Frage nach, ob kleinere Unternehmer vom Reputationsaufbau in sozialen Netzwerken profitieren und das "in echtes Geld ummünzen können". Die Schlußfolgerung der Autoren lautet: Ja, aber: Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

Website der CIA nach Angriff down

Send to Kindle

Aktuell ist offensichtlich die Website der CIA http://www.cia.gov nicht erreichbar. Laut einem Bericht der Huffington Post handelt es sich um einen Angriff. Eine Gruppierung namens "LulzSec" bekannte sich zu dem Angriff. Gerüchten zufolge wurden auch Telefonnummern der CIA auf die US-amerikanische Notrufnummer 911 umgeleitet. Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

Facebook fragt nun, ob man „sicheres Browsen“ bei Anwendungen abschalten will

Send to Kindle

Facebook fragt jetzt, ob man "sicheres Browsen", also die Verwendung von Facebook über https, abschalten möchte, wenn man eine Anwendung verwenden will, die kein https beherrscht: Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

Copyright © 2021 by: DeinWeb - Ein Web für alle! • Template by: BlogPimp Lizenz: Creative Commons BY-NC-SA.
Twitter-Button: IconTexto, http://icontexto.blogspot.com/