Riesige Sicherheitslücke bei Facebook: Der Nutzer selber!
Eigentlich weiß man es ja, diverse Reportagen oder Computershows warnen auch davor. Trotzdem möchte ich die Erfahrungen berichten, die ich just in 24 Stunden mit Facebook gemacht habe.
Anlass war der Pinnwand-Eintrag eines Freundes, der auf seiner Seite ein männliches Pin-Up hatte, welches deutlich auf seine sexuelle Orientierung schließen ließ. Sich sicher sein, das man selber nicht so blöd ist, dass das einem passiert, ist das eine. Aber einfach mal überprüfen, wie das eigene Profil von außen ausschaut – das würde doch Sinn machen.
Gedacht, getan. Wie gucke ich mir mein eigenes Facebook-Profil von außen an? Neues Profil angelegt, danach geguckt, ob ich mich finde und welche Details ich über mich selber als Fremder herausfinden kann. Auf dem Weg tauchten schon die ersten Kuriositäten auf…
Als Hintergrund zu diesem Bericht: Als Webdesigner gucke ich mir solche Aktionen auch immer aus beruflicher Sicht an. Wie gut ist die Programmierung gemacht, welche Automatismen sind eingebaut, und wie einfach ist was wie zu bedienen.
Und da ich eine strikte Trennung zwischen meinem eigentlichen Profil und dem neuen Fake-Profil haben wollte, habe ich dafür den Internet Explorer verwendet. Sonst benutze ich generell den Firefox, also gibt es auch keine “natürliche Verbindung” über den Browser über Cookies oder vergleichbares zwischen den beiden Facebook-Internetseiten.
Facebook wertet weitaus mehr Daten aus, als man vermutet…
Aber, obwohl ich eine völlig andere E-Mail-Adresse verwendet habe, die in keiner Verbindung zu meiner normalen Adresse steht, wurden mir bei der Anmeldung sämtliche Freunde meines Standardprofils vorgeschlagen. Die einzige Verbindung, die mir einleuchtet, ist mein Computer, und dass das neue Profil auf dem gleichen Rechner erstellt wurde.
Hier die erste kritische Frage: Dürfen die das? Dürfen die mitschneiden, und meine persönlichen Kontakte nur über die Tatsache, dass derselbe Rechner verwendet wird, dem nächsten Benutzer auf dem Computer vorschlagen? Herr Schäuble darf nicht nachgucken, aber Facebook darf?
Vor allem, wenn das hier so einfach ist, wie wird das im Internetcafe sein? Ist es möglich, dass ich Leuten über die Schulter gucke, die geraden auf Facebook (oder einer anderen sozialen Netzwerkseite) sind, warte, bis die gehen, und melde mich danach ebenfalls in diesem Social-Network an – bekomme ich dann die Freunde meines Vorsurfers geliefert? Aber das ist eher ein trivialer Vorwurf zu dem, wenn ich in Erwägung ziehe, was ich danach erlebt habe…
Also, mein Fake-Proviel ist (aus meiner Sicht) ziemlich deutlich als solches zu erkennen. Zumindest wenn man deutsch ist und sich die Details anguckt: Lieschen Müller, Jahrgang 1922, in einer offenen Beziehung, interessiert an Männern und Frauen. Mit einem Profilfoto versehen, dass jetzt nicht mit einer hoch-erotischen Ausstrahlung ausgezeichnet ist, eher richtiger Trash. Also in der Tat nicht ernst gemeint, frage mich, ob Leute dabei denken “Toll, in dem Alter noch im Internet unterwegs…”? Keine Ahnung, was die Leute zu diesem Profil gedacht haben.
Lieschen Müller | Create Your Badge
Bilderbuch für alle Bedürfnisse: Facebook
Das Experiment wurde dann ganz schnell zum Selbstläufer. Ich bin einfach mal wild kreuz und quer über Facebook gesurft. Habe mich von Profil zu Profil gehangelt, mir fremde Fotos angeguckt. Und mich gefragt, alle Bilder, die ich gesehen habe: Ist den Leuten klar, dass ich diese Bilder als wild fremder Mensch sehen kann? Selbst ohne dass ich mit den Leuten sehen kann, sehe ich Menschen bei Trinkgelage, auf Klassenfahrten und auch in fast intimen Partysituationen…
*) alle Bilder in diesem Beitrag sind Bilder, die mir ohne weiteres frei gegeben wurden…
Bewusster Umgang mit persönlichen Daten
Hierzu meine persönliche Haltung, was man im Internet frei gibt und was nicht: Ich selber bin schwul, und das kann man über mich auch relativ schnell herausfinden, wenn man nicht auf den Kopf gefallen ist. Nun, es gibt immer noch welche in der Verwandtschaft, die das bis heute noch nicht geblickt haben, aber das ist eine andere Geschichte…
Die ersten Leute werden jetzt aufschreien, wie ich diese Info nur ins Netz stellen kann (Zumal in einem Bericht über Datensicherheit). Nun, für mich ist diese gleich bedeutend wie beispielsweise eine Info von meinem Kollegen, dass er verheiratet ist und eine kleine Tochter hat. Aber, genauso, wie ich diese Info als nebensächliche empfinde, ist für mich die Info über mein Schwul-Sein ebenfalls von nebensächlicher Bedeutung.
Wenn wir arbeiten, geht‘s um die Arbeit, nicht um persönlichen Kram. Und auf meiner berufliche Homepage ist auch keine Linksammlung zu meinem schwulen Bäcker, meinen schwulen Friseur und zum meinem schwulen Supermarkt zu finden. Geschweige denn, zu einer schwulen Kontaktbörse (ein mitlesender Kollege hat diese mal in seinem beruflichen Blog gemacht, und damit diese Gedanken angeregt, wo die Grenze zwischen privat und Beruf ist). Aber nur soweit meine Haltung zudem, wie offen man mit persönlichen Daten umgeht.
Wichtig aber als Ergänzung: Ich stehe mitten im Leben und bin wenig abhängig von den Entscheidungen potentieller Arbeitgeber, bin selbständig und gut im Geschäft, lebe in Köln, wo ich jetzt auch keine großen Verwunderungen mit meiner sexuellen Orientierung auslöse, ebenfalls in Deutschland, wo man – zumindest aus rechtlicher Sicht – keine Sanktionen befürchten muss. Dieses Setting muss jeder natürlich für sich selber überprüfen, was man von sich preis gibt. Vor allem für Leute, die vor dem Berufseinstieg stehen oder in ländlicher Umgebung einen Job suchen, sollten diese Fragen dreimal auf die Goldwaage gelegt werden…
Weiter im Text, es soll hier ja um mein Facebook-Spiel gehen:
Ich habe mich wild durchgeklickt und irgendwann angefangen, Freundschaftsanfragen zu stellen. Um es kurz zu machen, ich habe rund 50 wildfremde Leute aus Nord- und Südamerika, Europa, viele aus Skandinavien, Asien einfach angefragt. Bin diversen Gruppen beigetreten, habe verschiedene Apps mit gemacht, ganz oft einfach mal ein “gefällt mir” angeklickt.
36 Stunden nach Anlegen des Profils habe ich 30 bestätigte Freunde, drei davon habe ich nicht mal selbst initiiert, sondern da sind Leute auf mich aufmerksam geworden, und wollten mit mir verlinkt sein.
Private Facebook-Profile werden völlig kritiklos frei gegeben
Damit habe ich den Zugriff auf die privaten Fotos nun auch ganz legitim: Diverse Partybilder, Bilder in denen sich Bikini-Oberteile aneinander reihen, Waschbrettbäuche, Betrunkene. Der unverlangte, aber auf einmal entstandene Zugriff auf Soft-, aber auch Hardcoreporno-Videos empfinde ich belästigend und auch ein wenig beängstigend, da gerade just in diesen Tagen beschlossen wurde, dass auch der temporäre Besitz von Kinderpornografie bereits strafbar ist. Und wer weiß, was ich mir mit dieser Aktion hier „einfange“?!?
Also, Facebook war für mich bislang kein Synonym für Porno-Kram ist. Aber das Anklicken eines eingebundenen Videos einer „meiner neuen Freunde“ zeigte mir Dinge (kein Kinderporno, sondern Erwachsenensex, und das eher Hardcore), die ich nicht sehen wollte. Damit habe man den Kram auf dem Rechner, auch nur temporär, und man fragt sich, ob man nun schon strafverdächtig sein könnte…
Zwei suspekte Kontakte hab ich umgehend wieder gecancelt, das überschritt nun wirklich die Erfahrung, die ich machen wollte. Auf der anderen Seite gab es eine einziger anderer Facebook-User, der nach einem Tag „neuer Freundschaft“ den Kontakt zu mir wieder gelöscht hat – zumindest war einer dabei, der scheinbar bewusst mit der Freigabe seiner Daten umgegangen ist.
Ich bin wirklich tief beeindruckt, wie schnell, wie leicht, und in welchem Ausmaß man Daten und vor allem persönliche Fotos anderer, wildfremder User bekommt, und das weltweit. Irgendwann fragt man sich natürlich, wie viele von den Profilen ebenfalls gefaked sind, aber auf jeden Fall ist der Zugriff erst mal da.
Datensicherheit beginnt mit dem bewussten Umgang mit dem Internet an.
Ich glaube jetzt nicht, dass dieser Bericht große Neuigkeiten bringt, vielleicht aber einfach nur das Bewusstsein schärt. Ich will auch nicht mit dem Zeigefinger winken, das ist nicht mein Auftrag. Aber ich bin nachhaltig beeindruckt, wie einfach und erfolgreich dieses Spiel war!
Wer Lust hat, verbindet mich gerne als Freund zu Eurem Profil! Ich frage mich natürlich, was ich jetzt weiter mit diesem Profil mache. Einerseits bin ich neugierig, ob und wann das Profil von Facebook gesperrt wird. Gleichzeitig ist Facebook ein Zeitfresser. Und mir gefällt es nicht, dass ich jetzt nicht nur mein eigenes, sondern auch mein Fakeprofil pflegen muss. Nun denn, zu diesem Thema wird es sicher eine Fortsetzung geben…
Tags: Datensicherheit, Erfahrungsbericht, Facebook, Internet, Sicherheitslücke