Reza Moaiandin, technischer Direktor der Suchmarketingfirma Salt, erhielt mitels der mit dem Konto von Facebook-Nutzern verknüpften Handynummern Zugang zu deren persönlichen Daten, wie er in seinem Blog beschreibt. Und das, obwohl die betroffenen User die Mobilnummern nicht öffentlich gemacht hatten.
Moaiandin nutzte eine Lücke in den Suchoptionen von Facebook, auf die er nach eigener Aussage „versehentlich“ stieß: Normalerweise kann jeder Nutzer jeden anderen finden, sofern dieser ihn nicht geblockt hat. Das bedeutet: Auch über die Angabe der verknüpften Mobilnummer kann man eine Person theoretisch ausfindig machen. Moaiandin entwickelte ein kleines Programm, das zufällig Telefonnummern generierte. Diese speiste er schließlich in Facebooks App-Schnittstelle ein, die ihm die Treffer seiner Suche ausspuckte. Alle erhaltenen Informationen waren öffentlich. Doch die eigentliche Sicherheitslücke war dabei die Verknüpfung zwischen der Person und der Mobilnummer.
Der Sicherheitsexperte Graham Cluley betont, wie leicht es für Hacker ist, Daten zu sammeln und diese illegal im Internet anzubieten: „Facebook sollte versuchen, diese Sicherheitslücke zu schließen und die Daten zu sichern. Ich bin enttäuscht, dass man diese Gelegenheit nicht nutzt.“ Das sieht auch Moaindin so: „Wenn keine Grenze gesetztund die Hintertür von der falschen Person entdeckt wird, dann könnte das zu einem großen Phishing-Problem werden“, schreibt der Software-Entwickler.
Wie der Guardian berichtet, nahm Moaiandin mehrfach Kontakt mit Facebook auf, doch der Social-Media-Konzern versicherte immer wieder, dass seine Nutzerdaten absolut sicher seien.
Moaiandin forderte außerdem die Integration einer zweiten Verschlüsselungsebene, wie sie etwa von Apple oder Google verwendet wird. Ein Facebook-Sprecher verweist allerdings lediglich auf Hilfen zur Privatsphäre und Facebooks Sicherheitsroutinen. Eine Änderung der Privatsphäre-Einstellungen wird es allem Anschein nach jedoch nicht geben.