Warum Twitter nicht social ist... und andere Forschungsergebnisse
50.000 Euro Bußgeld für den Einsatz von Google Analytics

Toll für Spammer: die Datenschutzlücke beim Facebook-Login

oder: Wie E-Mail Spammer das Facebook Login nutzen können, um unbekannte E-Mail Adressen und Handynummern zu personifizieren.

Ich habs soeben durch Zufall entdeckt. Facebook macht es Spammern kinderleicht, E-Mail Adressen zu verifizieren. Ja, es ist ein perfektes Tool, um zu einer aus dem Netz gefischten E-Mail Adresse auch Namensdaten zu erhalten.


Probiert es aus: Geht einfach zum Facebook Login, tippt eine E-Mail Adresse ein und irgendein paar Buchstaben ins Passwortfeld.
Sollte die betreffende Person eine Facebook Konto unter dieser E-Mail Adresse haben, dann nennt dir Facebook den Vor- und Zunamen der mit der E-Mail-Adresse verknüpften Person und fragt:

„Du bist das nicht? Dann klicke hier.“

Toll! Man kann sogar einen Tippfehler in die E-Mail einbauen.
Dann schlägt Dir Facebook die Person vor, die sich mit einer ähnlichen E-Mail Adresse registriert hat und sagt: "Es scheint, als ob du deine E-Mail oder deinen Nutzernamen falsch geschrieben hast. Bitte gib dein Passwort erneut ein."

Noch toller! Mit der gleichen Methode klärt man auch Handynummern auf und ermittelt die zu einer Handynummer gehörende Person, (wenn diese ihr Handy zum Login benutzt.)

Das wars mal wieder aus der Reihe "Datenschutz bei Facebook".

Kommentare

Mario Fischer

Das ist scheinbar schon wieder deaktiviert worden? Aktuell kommt die Meldung

"Bitte gib dein Passwort erneut ein
Das von dir eingegebene Passwort ist falsch. Bitte versuche es noch einmal. (Stelle dabei sicher, dass deine Feststelltaste nicht gedrückt ist.)
Du hast dein Passwort vergessen? Fordere ein neues an."

Den Nutzernamen gibt Facebook (nicht mehr?) raus...?!

Bernd Röthlingshöfer

Im Augenblick ist es gerade noch schlimmer.. gültige E-Mail Adresse eingegeben. Zweimal das falsche, weil nicht bekannte Passwort eingegeben .. und schon öffnete sich der Account.Sieht so aus als ist der Schutz derzeit vollkommen deaktiviert.

Bernd Röthlingshöfer

Fehler tritt sporadisch auf. Bei weiterem Test greift der Schutz wieder.

Die Kommentare dieses Eintrags sind geschlossen.