Sicherheitslücke bei Facebook: Handynummern von Nutzern preis gegeben

Schlagzeilen

Alle

Leopard 2 in Moskau: Riesenandrang

Großbrand: Warnung vor Giftwolke

Unwetter: Wassereinbruch in Krankenhaus

Impfstoff: Schwere Nebenwirkung möglich

Parkplatz kostet fast 500.000 Euro

Anti-AfD-Brief: Würth verliert Umsatz

Till Lindemann: Beziehung mit 20-Jähriger?

Wagen rast in Menge – 29 Verletzte

Deutscher verschwindet in den Alpen

Elefant geht auf Auto los

Dürre lässt versunkene Stadt auftauchen

Gefährliches Insekt breitet sich aus

Fesselndstes Strategiespiel des Jahres

Alle Schlagzeilen anzeigen

Schwachstelle geschlossen
Facebook verriet die Handynummer von Nutzern

Von t-online, hd

Aktualisiert am 31.03.2019Lesedauer: 2 Min.

Facebook-App: Telefonnummern einfach auslesbar (Quelle: Carl Court/getty-images-bilder)

News folgen

Die Telefonnummern von Facebook-Nutzern ließen sich leicht mit einem Trick auslesen, ohne dass die Betroffenen davon etwas bemerkten. Laut einem Bericht wurde die Sicherheitslücke von Forschern aus Köln und Bochum entdeckt und inzwischen geschlossen.

Die Ursache war ein Sicherheitsverfahren, das eigentlich vor unbefugten Logins bei Facebook schützen soll. Damit lassen sich zu E-Mail-Adressen, die in Facebook gespeichert sind, passenden Telefonnummern herausfinden, darunter auch die von Prominenten.

Wer darf per Handynummer nach Ihrem Facebook-Profil suchen?

Die Lücke ließ sich ohne "Hackerwissen" ausnutzen, berichtet "Giga.de". Forscher der TH Köln und der Ruhr-Universität Bochum entdeckten sie:

Nutzer von Facebook loggen sich auf dem Smartphone ein, indem sie Benutzername und Passwort angeben. Dabei werden Informationen übertragen, wie der Geräte-Standort, die IP-Adresse oder der verwendete Browser. Diese werden laut "Giga.de" zur Einschätzung der Rechtmäßigkeit des Logins verwendet.

Sicherheitslücke in der "risikobasierten Authentifizierung"

Kommt es zu einer „risikobasierten Authentifizierung“ verlangt der Dienst vom Nutzer weitere Angaben, zum Beispiel ein Sicherheitscode, der per SMS an ein Handy geschickt wird. Das ist eine Art „zweistufige Authentifizierung“, die dann greift, wenn das Risiko eines fremden Zugriffs als hoch eingestuft wird.

Genau hier hat Facebook eine Sicherheitslücke. Innerhalb des Dialogs „Bitte bestätige deine Identität“ wird der Nutzer gefragt, welchen Sicherheitscheck man nutzen möchte. Zur Auswahl stehen etwa die Bestätigung der Anmeldung auf einem anderen Computer, das Bestätigen von Freunden auf Fotos oder eben der Versand einer SMS ans eigene Handy.

Besonderes Antriebskonzept: Rakete eines deutschen Start-ups hebt mit Kerzenwachs ab

Baerbock droht mit Konsequenzen: Bundesregierung sieht Russland hinter Hackerangriff

Kunden müssen sich entscheiden: Netflix plant Abschaffung des Basis-Abos

Facebook füllt Feld mit Handynummer aus

Das Feld für die Handynummer ist logischerweise leer und muss vom Nutzer ausgefüllt werden. Facebook kann dann prüfen, ob die angegebene Nummer mit der beim Profil hinterlegten Nummer übereinstimmt. Doch es reicht ein Klick auf den Zurück-Button, damit in dem Feld die richtige Handynummer erscheint.

Ein Login ist damit zwar nicht möglich, doch Facebook füllte automatisch ein Feld mit personenbezogenen Daten aus, die eigentlich geheim bleiben sollten. Offenbar wurde das Verfahren bei Facebook fehlerhaft umgesetzt.