Datenschutz ist ein abstraktes Wort, weil du all die Daten, die du im Netz hinterlässt, in aller Regel nur schwer greifen kannst. Eine gewollte Funktion im Facebook Messenger macht erlebbar, wie schnell sensible Daten in die falschen Hände fallen können. Das ist aber auch der einzige Vorteil daran. Eine Rekonstruktion.
Inti De Ceukelaire ist 21 Jahre jung, stammt aus Aalst in Belgien und bezeichnet sich selbst als Hacker der guten Seite. Er sucht also nach Bugs und Sicherheitslücken, um sie dann zu melden statt sie auszunutzen. Vor einigen Tagen stolpert er im Entwickler-Bereich bei Facebook über eine Funktion, die er wenig später bei Facebook als Bug meldet. Als die aber erwidern, dass das so gewollt sei, nehmen die Dinge ihren Lauf.
Es geht um Links. Und zwar um die, die wir tagtäglich auf Facebook teilen. Um das Problem zu verstehen, muss man zunächst verstehen, was bei Facebook im Hintergrund passiert, wenn wir einen Link zum ersten Mal teilen. Facebook crawlt die Seite dann, schaut sich also den Titel, die Meta-Beschreibung sowie das Thumbnail-Bild an.
Du willst nicht abgehängt werden, wenn es um KI, Green Tech und die Tech-Themen von Morgen geht? Über 10.000 Vordenker bekommen jeden Tag die wichtigsten News direkt in die Inbox und sichern sich ihren Vorsprung.
Nur für kurze Zeit: Anmelden und mit etwas Glück Apple AirPods 4 gewinnen!
Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung. Beim Gewinnspiel gelten die AGB.
Zu jedem Objekt gehört eine ID
Zudem definiert Facebook zu jedem Link (genauso wie zu jedem Bild, Profil, Status, …) eine einzigartige und nicht-chronologische Identifikationsnummer (ID). Wird jetzt in Zukunft dieser Link wieder geteilt, muss Facebook nicht erneut alle Infos abgrasen, sondern zieht sie sich mit Hilfe der ID einfach aus seiner Datenbank. So weit, so unproblematisch.
Über den Graph API Explorer im Entwickler-Bereich bei Facebook können Entwickler (also eigentlich jeder, der sich dort anmeldet), nun die Objekte anhand ihrer IDs abrufen. Als Beispiel: id: 4 entspricht dem Profil von Mark Zuckerberg. Dabei wird allerdings darauf geachtet, dass der Entwickler nur die Infos finden kann, die auch für ihn bestimmt sind. Wenn ich ein privates Posting mit meinen Freunden teile, kann der Entwickler es nicht sehen.
Links im Facebook Messenger
Anders verhält es sich allerdings mit Links, selbst mit denen, die ich privat per Facebook Messenger teile. Über den Graph API Explorer kann ich mir Links auslesen lassen. Die id: 1126698827392537 entspricht dem Google-Dokument „BASIC thinking Zugang“ und wurde von Facebook gestern gegen 13:19 Uhr während unseres Tests erstmalig registriert.
Hänge ich an diese Abfrage noch die Forderung nach dem Link, also ?fields=url, liefert mir Facebook – ihr habt es erraten – die URL dazu. Das ist grundsätzlich noch kein Problem. Zum Problem wird es aber mit der Tatsache, dass ich diesen Link niemals öffentlich geteilt habe, sondern nur per Facebook Messenger. Sobald er dort angeklickt wird (13:19 Uhr), grast Facebook die oben genannten Infos ab, speichert den Link mit ID in der Datenbank und macht ihn so für alle Welt abrufbar.
Die Infos stecken in den Links
In diesem Fall habe ich die ID des Links über den Open Graph Debugger herausgefunden. Im Normalfall kann man nicht gezielt auf den Link einer speziellen ID zugreifen, die man nicht kennt – klar. Was aber geht, das hat Inti De Ceukelaire im nächsten Schritt getestet, ist, mit einem Script diverse IDs abzurufen und auszuprobieren. Das Ergebnis ist erschreckend: Google-Docs, Namen, Instagram-Bilder, Spiele-Informationen, Bilder und Anhänge, Beta-Umgebungen oder andere sensible Informationen.
Facebook selbst findet das nicht problematisch. Im Gegenteil: Auf Nachfrage des Entwicklers bestätigt man, dass es sich hierbei um eine gewollte Funktion handele. Um zu verhindern, dass nun ein Hacker im großen Stil die Abfragen betreibt, hat Facebook eine Sperre eingebaut, die eben das verhindert. Laut Inti De Ceukelaire keine große Hürde für jemanden, der es wirklich will und mit mehreren Accounts, Access Tokens und VPN arbeitet.
Private Links gehören nicht auf Facebook
Immerhin ist kein gezielter Angriff möglich, dadurch, dass man die Links nicht einem Facebook-Profil zuweisen kann. Man kann also nicht alle Objekte vom Nutzer „Tobias Gillen“ abfragen lassen. Über die Links, die man extrahiert, kann man aber sehr wohl – sofern ich sensible Links geteilt hätte – daraus Rückschlüsse auf meine Identität ziehen oder sogar in Dokumenten stöbern, die nur für den kleinen Kreis gedacht waren („BASIC thinking Zugang“).
Das ist unschön, weil die Nutzer eben nicht wissen, dass URLs aus Facebook-Chats extrahiert und in einer Objekt-Datenbank abgelegt werden. Bevor man künftig also private Links über den Facebook Messenger teilt, sollte man sich mehrfach überlegen, ob es nicht vielleicht doch andere Wege gibt, die Informationen zu teilen.
Facebook ist nicht alleine
Dass die großen Internet-Konzerne im Hintergrund gerne mitlesen, ist leider die Regel. 2013 kam etwa heraus, dass URLs, die Skype-Nutzer im privaten Chat teilen, von Skype (bzw. dessen Inhaber Microsoft) mitgelesen und abgerufen werden. Hier allerdings werden die Informationen zumindest nicht wie bei Facebook der Öffentlichkeit zugänglich gemacht.
Aus technischer Sicht dürfte es Facebook nicht schwerfallen zu prüfen, ob der (Entwickler-)Account zum Abruf der Informationen berechtigt ist (so wie man es etwa bei Bildern macht). Wobei sie vermutlich so eine Authentifizierung nicht einfach nachträglich aufschalten können, weil sie bislang wohl nicht gespeichert haben, dass die URL aus einem Chat zwischen Bob und Marie stammt. Das müssten sie aber wissen, um lediglich Bob und Marie Zugriff auf dieses Objekt zu gestatten.
Mitarbeit: Dennis Hüggenberg, Thomas D.
