Social Media

Unglaublich und von Facebook gewollt: Deine privat im Messenger geteilten Links kann jeder abrufen

Facebook Messenger
geschrieben von Tobias Gillen

Datenschutz ist ein abstraktes Wort, weil du all die Daten, die du im Netz hinterlässt, in aller Regel nur schwer greifen kannst. Eine gewollte Funktion im Facebook Messenger macht erlebbar, wie schnell sensible Daten in die falschen Hände fallen können. Das ist aber auch der einzige Vorteil daran. Eine Rekonstruktion.

Inti De Ceukelaire ist 21 Jahre jung, stammt aus Aalst in Belgien und bezeichnet sich selbst als Hacker der guten Seite. Er sucht also nach Bugs und Sicherheitslücken, um sie dann zu melden statt sie auszunutzen. Vor einigen Tagen stolpert er im Entwickler-Bereich bei Facebook über eine Funktion, die er wenig später bei Facebook als Bug meldet. Als die aber erwidern, dass das so gewollt sei, nehmen die Dinge ihren Lauf.

Es geht um Links. Und zwar um die, die wir tagtäglich auf Facebook teilen. Um das Problem zu verstehen, muss man zunächst verstehen, was bei Facebook im Hintergrund passiert, wenn wir einen Link zum ersten Mal teilen. Facebook crawlt die Seite dann, schaut sich also den Titel, die Meta-Beschreibung sowie das Thumbnail-Bild an.


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Home Office
Senior Social Media Manager:in im Corporate Strategy Office (w/d/m)
Haufe Group SE in Freiburg im Breisgau
Senior Communication Manager – Social Media (f/m/d)
E.ON Energy Markets GmbH in Essen

Alle Stellenanzeigen


Facebook Links Crawler

Beim ersten Share speichert Facebook Link, Beschreibung und Bild zwischen

Zu jedem Objekt gehört eine ID

Zudem definiert Facebook zu jedem Link (genauso wie zu jedem Bild, Profil, Status, …) eine einzigartige und nicht-chronologische Identifikationsnummer (ID). Wird jetzt in Zukunft dieser Link wieder geteilt, muss Facebook nicht erneut alle Infos abgrasen, sondern zieht sie sich mit Hilfe der ID einfach aus seiner Datenbank. So weit, so unproblematisch.

Über den Graph API Explorer im Entwickler-Bereich bei Facebook können Entwickler (also eigentlich jeder, der sich dort anmeldet), nun die Objekte anhand ihrer IDs abrufen. Als Beispiel: id: 4 entspricht dem Profil von Mark Zuckerberg. Dabei wird allerdings darauf geachtet, dass der Entwickler nur die Infos finden kann, die auch für ihn bestimmt sind. Wenn ich ein privates Posting mit meinen Freunden teile, kann der Entwickler es nicht sehen.

Links im Facebook Messenger

Anders verhält es sich allerdings mit Links, selbst mit denen, die ich privat per Facebook Messenger teile. Über den Graph API Explorer kann ich mir Links auslesen lassen. Die id: 1126698827392537 entspricht dem Google-Dokument „BASIC thinking Zugang“ und wurde von Facebook gestern gegen 13:19 Uhr während unseres Tests erstmalig registriert.

Facebook Crawler Link

Die ID gehört zu einem Google-Dokument

Hänge ich an diese Abfrage noch die Forderung nach dem Link, also ?fields=url, liefert mir Facebook – ihr habt es erraten – die URL dazu. Das ist grundsätzlich noch kein Problem. Zum Problem wird es aber mit der Tatsache, dass ich diesen Link niemals öffentlich geteilt habe, sondern nur per Facebook Messenger. Sobald er dort angeklickt wird (13:19 Uhr), grast Facebook die oben genannten Infos ab, speichert den Link mit ID in der Datenbank und macht ihn so für alle Welt abrufbar.

URL Abfrage Graph API Explorer

Die URL zu meinem „geheimen“ Google-Dokument.

Die Infos stecken in den Links

In diesem Fall habe ich die ID des Links über den Open Graph Debugger herausgefunden. Im Normalfall kann man nicht gezielt auf den Link einer speziellen ID zugreifen, die man nicht kennt – klar. Was aber geht, das hat Inti De Ceukelaire im nächsten Schritt getestet, ist, mit einem Script diverse IDs abzurufen und auszuprobieren. Das Ergebnis ist erschreckend: Google-Docs, Namen, Instagram-Bilder, Spiele-Informationen, Bilder und Anhänge, Beta-Umgebungen oder andere sensible Informationen.

Facebook Links Script

Über ein Script kann man diverse sensible Infos abgrasen (Unkenntlichmachung von uns)

Facebook selbst findet das nicht problematisch. Im Gegenteil: Auf Nachfrage des Entwicklers bestätigt man, dass es sich hierbei um eine gewollte Funktion handele. Um zu verhindern, dass nun ein Hacker im großen Stil die Abfragen betreibt, hat Facebook eine Sperre eingebaut, die eben das verhindert. Laut Inti De Ceukelaire keine große Hürde für jemanden, der es wirklich will und mit mehreren Accounts, Access Tokens und VPN arbeitet.

Private Links gehören nicht auf Facebook

Immerhin ist kein gezielter Angriff möglich, dadurch, dass man die Links nicht einem Facebook-Profil zuweisen kann. Man kann also nicht alle Objekte vom Nutzer „Tobias Gillen“ abfragen lassen. Über die Links, die man extrahiert, kann man aber sehr wohl – sofern ich sensible Links geteilt hätte – daraus Rückschlüsse auf meine Identität ziehen oder sogar in Dokumenten stöbern, die nur für den kleinen Kreis gedacht waren („BASIC thinking Zugang“).

Das ist unschön, weil die Nutzer eben nicht wissen, dass URLs aus Facebook-Chats extrahiert und in einer Objekt-Datenbank abgelegt werden. Bevor man künftig also private Links über den Facebook Messenger teilt, sollte man sich mehrfach überlegen,  ob es nicht vielleicht doch andere Wege gibt, die Informationen zu teilen.

Facebook ist nicht alleine

Dass die großen Internet-Konzerne im Hintergrund gerne mitlesen, ist leider die Regel. 2013 kam etwa heraus, dass URLs, die Skype-Nutzer im privaten Chat teilen, von Skype (bzw. dessen Inhaber Microsoft) mitgelesen und abgerufen werden. Hier allerdings werden die Informationen zumindest nicht wie bei Facebook der Öffentlichkeit zugänglich gemacht.

Aus technischer Sicht dürfte es Facebook nicht schwerfallen zu prüfen, ob der (Entwickler-)Account zum Abruf der Informationen berechtigt ist (so wie man es etwa bei Bildern macht). Wobei sie vermutlich so eine Authentifizierung nicht einfach nachträglich aufschalten können, weil sie bislang wohl nicht gespeichert haben, dass die URL aus einem Chat zwischen Bob und Marie stammt. Das müssten sie aber wissen, um lediglich Bob und Marie Zugriff auf dieses Objekt zu gestatten.

Mitarbeit: Dennis Hüggenberg, Thomas D.

Über den Autor

Tobias Gillen

Tobias Gillen ist Geschäftsführer der BASIC thinking GmbH und damit verantwortlich für BASIC thinking und BASIC thinking International. Seit 2017 leitet er zudem die Medienmarke FINANZENTDECKER.de. Erreichen kann man ihn immer per Social Media.

3 Kommentare

  • >>>Bevor man künftig also private Links über den Facebook Messenger teilt, sollte man sich mehrfach überlegen, ob es nicht vielleicht doch andere Wege gibt, die Informationen zu teilen.

    Nein, man sollte stattdessen eher sein irriges Verständnis von »privaten Links« überdenken. Ein Link wird privat, indem man den Zugriff zu ihm auf Seiten des beherbergenden Servers schützt (z.B. durch ein Passwort). Ein öffentlich erreichbarer Link wird dagegen nicht privat, nur weil man meint, man könne kontrollieren, wem man den Link mitteilt. Der öffentlich zugängliche Link ist und bleibt öffentlich und eben nicht privat. Hat man das einmal verstanden, ist die oben beschriebene Funktionalität von Facebook auch in keiner Weise »unglaublich«.