Privatsphäre und Datenschutz im Web 2.0

Das Blog zur Beratung von DeinWeb - Ein Web für alle!

Facebook: Noch eine Sicherheitslücke bei Login-Adressen (und @facebook.com-Adressen)

Send to Kindle

Angeregt durch die gestern berichtete Sicherheitslücke in Facebook, die es Usern ermöglicht, unter bestimmten Umständen Nachrichten im Namen Ihrer Freunde an Gruppen zu senden, habe ich ein wenig experimentiert und bin auf eine weitere Sicherheitslücke gestoßen. Im Prinzip ist es möglich, jedem Facebook-User im Namen eines anderen Facebook-Users eine private Nachricht auf Facebook zu schicken, ohne eingeloggt zu sein. Zwei Bedingungen müssen dafür erfüllt sein: Der Angreifer muß die Login-Adresse des vermeintlichen Absenders kennen, und der Empfänger muß eine @facebook.com-Adresse besitzen, die der Angreifer ebenfalls kennen muß. Beides ist oftmals jedoch kein Problem, weil die Login-Adressen in den Privatsphäreeinstellungen nicht ausreichend geschützt und @facebook.com-Adressen oftmals ohnehin öffentlich zugänglich oder zumindest leicht erratbar sind, da sie über die Vanity-URL, also die Kurz-URL für User-Profile, ermittelbar sind, wenn der User eine hat. Ist der Empfänger der Nachricht im Chat eingeloggt, landet die Nachricht übrigens dort.

Daher gilt auch hier mein Rat von gestern, die Login-Adresse auf Facebook geheim zu halten und in den Privatsphäreeinstellungen ihre Sichtbarkeit auf "Nur ich" zu setzen. Inhaber von @facebook.com-Adressen sollten bei Mails mit seltsamen Inhalten, die scheinbar von Facebook-Usern stammen, nachfragen, ob diese wirklich der Absender sind. Grundsätzlich aber gilt: Die Authentizität von Mails und Chatnachrichten, die Sie über Ihre @facebook.com-Adresse erhalten, ist nicht gewährleistet!

Danke auch an @muzzelchen fürs Testen. 🙂

Update von 27. 06. 2011: An einem kleinen Detail läßt sich, wie ich eben festgestellt habe, doch ersehen, daß die Mail nicht direkt von einem Facebook-Account gesendet wurde. In der rechten oberen Ecke der Nachricht sehen Sie, wenn die Mail von außerhalb kommt, ein Briefsymbol. Wenn Sie über dieses Briefsymbol mit der Maus fahren, sehen Sie einen Text "Gesendet von mail@extern". "mail@extern" ist eine externe Mailadresse. Facebook stellt also offensichtlich doch fest, daß die Mail nicht intern versendet wurde. Leider wird dennoch der Eindruck geschaffen, die Mail käme von dem jeweiligen User, der die Mailadresse als Login-Adresse verwendet. Aber an dem kleinen Briefsymbol können Sie mit ziemlich großer Sicherheit feststellen, daß der Absender gefälscht wurde, denn kaum jemand, der Ihnen direkt in Facebook eine Mail schicken kann, wird Ihnen diese Mail von seiner Login-Adresse aus schicken.

Flattr this!

Facebook Share Twitter Share

Copyright © 2021 by: DeinWeb - Ein Web für alle! • Template by: BlogPimp Lizenz: Creative Commons BY-NC-SA.
Twitter-Button: IconTexto, http://icontexto.blogspot.com/

24. Juni 2011 | Privatsphäre und Datenschutz im Web 2.0

Privatsphäre und Datenschutz im Web 2.0

Das Blog zur Beratung von DeinWeb - Ein Web für alle!

Facebook: Noch eine Sicherheitslücke bei Login-Adressen (und @facebook.com-Adressen)

Send to Kindle

Angeregt durch die gestern berichtete Sicherheitslücke in Facebook, die es Usern ermöglicht, unter bestimmten Umständen Nachrichten im Namen Ihrer Freunde an Gruppen zu senden, habe ich ein wenig experimentiert und bin auf eine weitere Sicherheitslücke gestoßen. Im Prinzip ist es möglich, jedem Facebook-User im Namen eines anderen Facebook-Users eine private Nachricht auf Facebook zu schicken, ohne eingeloggt zu sein. Zwei Bedingungen müssen dafür erfüllt sein: Der Angreifer muß die Login-Adresse des vermeintlichen Absenders kennen, und der Empfänger muß eine @facebook.com-Adresse besitzen, die der Angreifer ebenfalls kennen muß. Beides ist oftmals jedoch kein Problem, weil die Login-Adressen in den Privatsphäreeinstellungen nicht ausreichend geschützt und @facebook.com-Adressen oftmals ohnehin öffentlich zugänglich oder zumindest leicht erratbar sind, da sie über die Vanity-URL, also die Kurz-URL für User-Profile, ermittelbar sind, wenn der User eine hat. Ist der Empfänger der Nachricht im Chat eingeloggt, landet die Nachricht übrigens dort.

Daher gilt auch hier mein Rat von gestern, die Login-Adresse auf Facebook geheim zu halten und in den Privatsphäreeinstellungen ihre Sichtbarkeit auf "Nur ich" zu setzen. Inhaber von @facebook.com-Adressen sollten bei Mails mit seltsamen Inhalten, die scheinbar von Facebook-Usern stammen, nachfragen, ob diese wirklich der Absender sind. Grundsätzlich aber gilt: Die Authentizität von Mails und Chatnachrichten, die Sie über Ihre @facebook.com-Adresse erhalten, ist nicht gewährleistet!

Danke auch an @muzzelchen fürs Testen. 🙂

Update von 27. 06. 2011: An einem kleinen Detail läßt sich, wie ich eben festgestellt habe, doch ersehen, daß die Mail nicht direkt von einem Facebook-Account gesendet wurde. In der rechten oberen Ecke der Nachricht sehen Sie, wenn die Mail von außerhalb kommt, ein Briefsymbol. Wenn Sie über dieses Briefsymbol mit der Maus fahren, sehen Sie einen Text "Gesendet von mail@extern". "mail@extern" ist eine externe Mailadresse. Facebook stellt also offensichtlich doch fest, daß die Mail nicht intern versendet wurde. Leider wird dennoch der Eindruck geschaffen, die Mail käme von dem jeweiligen User, der die Mailadresse als Login-Adresse verwendet. Aber an dem kleinen Briefsymbol können Sie mit ziemlich großer Sicherheit feststellen, daß der Absender gefälscht wurde, denn kaum jemand, der Ihnen direkt in Facebook eine Mail schicken kann, wird Ihnen diese Mail von seiner Login-Adresse aus schicken.

Flattr this!

Facebook Share Twitter Share

Copyright © 2021 by: DeinWeb - Ein Web für alle! • Template by: BlogPimp Lizenz: Creative Commons BY-NC-SA.
Twitter-Button: IconTexto, http://icontexto.blogspot.com/