t-online - Nachrichten für Deutschland
t-online - Nachrichten für Deutschland
Such IconE-Mail IconMenü Icon



HomeDigitalAktuelles

Sicherheitslücke bei Facebook: Handynummern von Nutzern preis gegeben


Schwachstelle geschlossen
Facebook verriet die Handynummer von Nutzern

Von t-online, hd

Aktualisiert am 31.03.2019Lesedauer: 2 Min.
Facebook-App: Telefonnummern einfach auslesbarVergrößern des Bildes
Facebook-App: Telefonnummern einfach auslesbar (Quelle: Carl Court/getty-images-bilder)

Die Telefonnummern von Facebook-Nutzern ließen sich leicht mit einem Trick auslesen, ohne dass die Betroffenen davon etwas bemerkten. Laut einem Bericht wurde die Sicherheitslücke von Forschern aus Köln und Bochum entdeckt und inzwischen geschlossen.

Die Ursache war ein Sicherheitsverfahren, das eigentlich vor unbefugten Logins bei Facebook schützen soll. Damit lassen sich zu E-Mail-Adressen, die in Facebook gespeichert sind, passenden Telefonnummern herausfinden, darunter auch die von Prominenten.

Die Lücke ließ sich ohne "Hackerwissen" ausnutzen, berichtet "Giga.de". Forscher der TH Köln und der Ruhr-Universität Bochum entdeckten sie:

Nutzer von Facebook loggen sich auf dem Smartphone ein, indem sie Benutzername und Passwort angeben. Dabei werden Informationen übertragen, wie der Geräte-Standort, die IP-Adresse oder der verwendete Browser. Diese werden laut "Giga.de" zur Einschätzung der Rechtmäßigkeit des Logins verwendet.

Sicherheitslücke in der "risikobasierten Authentifizierung"

Kommt es zu einer „risikobasierten Authentifizierung“ verlangt der Dienst vom Nutzer weitere Angaben, zum Beispiel ein Sicherheitscode, der per SMS an ein Handy geschickt wird. Das ist eine Art „zweistufige Authentifizierung“, die dann greift, wenn das Risiko eines fremden Zugriffs als hoch eingestuft wird.

Genau hier hat Facebook eine Sicherheitslücke. Innerhalb des Dialogs „Bitte bestätige deine Identität“ wird der Nutzer gefragt, welchen Sicherheitscheck man nutzen möchte. Zur Auswahl stehen etwa die Bestätigung der Anmeldung auf einem anderen Computer, das Bestätigen von Freunden auf Fotos oder eben der Versand einer SMS ans eigene Handy.

Facebook füllt Feld mit Handynummer aus

Das Feld für die Handynummer ist logischerweise leer und muss vom Nutzer ausgefüllt werden. Facebook kann dann prüfen, ob die angegebene Nummer mit der beim Profil hinterlegten Nummer übereinstimmt. Doch es reicht ein Klick auf den Zurück-Button, damit in dem Feld die richtige Handynummer erscheint.

Ein Login ist damit zwar nicht möglich, doch Facebook füllte automatisch ein Feld mit personenbezogenen Daten aus, die eigentlich geheim bleiben sollten. Offenbar wurde das Verfahren bei Facebook fehlerhaft umgesetzt.

Die Schwachstelle wurde bereits Anfang September 2018 bei Facebook gemeldet und wenige Tage später geschlossen.

Verwendete Quellen
  • Giga.de: "Facebook-Datenleck: So unfassbar einfach war es, Handynummern herauszubekommen"
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

ShoppingAnzeigen

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...



TelekomCo2 Neutrale Website