Web-Sicherheit

September 28, 2011

Ein schlechter Scherz zum Thema Facebook-Datenschutz und eine echte Schwachstelle

Filed under: Allgemein — sebastiankuebeck @ 08:05
Tags: , , , ,

In den letzten Tagen bekam ich immer wieder folgende Meldung auf Facebook weitergeleitet:

Bitte tut mir einen Gefallen.
Mit dem Cursor über meinen Namen fahren, das Pulldownmenü abwarten
und über "Abonniert" fahren. Bei "Kommentare und Gefällt mir" das
Häkchen entfernen! ... Sonst macht ihr jedesmal, wenn Euch etwas
von mir gefällt, selbiges öffentlich und dem gesamten facebook
zugänglich ... Vielen Dank ! Copy and Paste, bitte, wenn Ihr nicht
wollt, dass dasselbe mit Euren Inhalten passiert.

Dabei handelte es sich um einen schlechten Scherz (Hoax), der von arglosen Facebook-Benutzern verbreitet wird (siehe auch Facebook Mythbusters 02 – Fremde Personen können eure Aktivität im Ticker sehen). In Wahrheit blockiert man mit dieser Einstellung nur alle Meldungen von der Person, die diese „Nachricht“ weitergeleitet hat.

Wer nicht will, dass Freunde von Freunden ihre Nachrichten sehen, kann das unter „Privatsphäre-Einstellungen“ im Menü „Konto“ einstellen: Unter „Funktionsweise von Verbindungen“ findet sich die Option „Wer kann Pinnwandeinträge von anderen Personen in deinem Profil sehen?“. Hier aktiviert man „Freunde“ statt der Standardeinstellung „Freunde von Freunden“ und schon wird das Anzeigen von Meldungen auf Freunde beschränkt.

Eine tatsächliche Schwachstelle hat sich bei facebook beim Hochladen von Bildern eingeschlichen (siehe Aufpassen: Facebook hat die Sichtbarkeit für neue Fotouploads geändert): Hier hat Facebook nämlich stillschweigend eine gravierende Änderung eingeführt. Macht der Anwender per Einstellung das Foto nur „Freunden“ sichtbar, heißt das nicht mehr, dass es nur Freunde zu sehen bekommen, sondern auch die markierten („getaggten“) Personen und deren Freunde. Taggt man also eine Person auf dem Foto und macht dieses Freunden zugänglich, erfahren das über den Ticker der getaggten Person sofort auch deren Freunde – und sie dürfen sich dieses Foto sogar ansehen.

Als Lösung empfiehlt Wiese, Fotos nur für individuelle Listen oder „enge Freunde“ freizugeben, denn dann funktioniert die Einschränkung tatsächlich.

Das Problem ist also nicht nur, dass die Sicherheitseinstellungen Benutzer überfordern, sie sind teilweise auch noch falsch implementiert. Die Situation ist so natürlich für facebook praktisch, denn kaum jemand wird freiwillig diese komplexen Einstellungen ändern und so kann facebook in aller Ruhe die Daten der Benutzer versilbern. Wenn sich einer beschwert, sagt man bei facebook einfach „Pech gehabt, Warum habt Ihr Eure Einstellungen nicht geändert?“.

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: