Sicherheitslücke bei Facebook: Falscher Google-Boss sucht Freunde

Der bekannte Tech-Blogger Michael Arrington hat sich einen Spaß erlaubt: Er legte ein Facebook-Profil für Google-Chef Eric Schmidt an. Darauf fielen selbst Netzgrößen herein.

Reingelegt mit Facebook: Eric Schmidt. Bild: dapd

Eric Schmidt hat keinen Facebook-Zugang. Ob das ein Zeichen dafür ist, dass der Google-Boss seine Privatsphäre mehr schätzt, als er sie möglicherweise seinen Suchmaschinenkunden zugesteht, ist nicht überliefert - seine bisherige Verweigerungshaltung dem weltgrößten sozialen Netzwerk gegenüber ist in der Techszene jedenfalls weitläufig bekannt.

Am vergangenen Sonntag änderte sich das plötzlich - jedenfalls sah es danach aus: Ein neues Profil von Schmidt tauchte auf Facebook auf, inklusive freundlichem Bild und korrektem Geburtsdatum. Schnell fanden sich erste prominente Freunde ein - Chad Hurley beispielsweise, seines Zeichens Gründer von YouTube oder Elliot Schrage, oberster Öffentlichkeitsarbeiter bei Facebook. Ein Nutzer, der das mitbekam, mockierte sich in einer E-Mail an das vielgelesene Web 2.0-Blog "Techcrunch", Schmidt habe doch nur sechs Freunde. "Zum Schießen."

Die Ironie der Angelegenheit: Techcrunch selbst hatte, in Person seines Gründers Michael Arrington, Schmidts Profil angelegt und bekannte Web-Größen damit hereingelegt, seine "Freunde" zu werden.

Fake-Profile sind in dem sozialen Netzwerk an sich nichts Neues, da Facebook frische Nutzer ja nicht mit einer Kopie ihres Personalausweises abgleichen kann - so kam es in den letzten Jahren regelmäßig zu Imitationen von Promis in dem sozialen Netzwerk. Allerdings muss man gefälschte E-Mail-Adressen einsetzen, was schnell zum Warnmerkmal werden kann und beim Aussieben hilft. Twitter reagierte beispielsweise auf das gleiche Problem, indem der Kurznachrichtendienst für bekannte Nutzer ein "Verifizierter Account"-Logo samt Überprüfung einführte.

Arrington ging deutlich geschickter vor: Er nahm einfach die Original-E-Mail-Adresse von Schmidt, der sein Postfach offenbar an Wochenenden nicht genau zu überprüfen scheint, sonst hätte er die Nachricht der Kontoeröffnung wohl gesehen. Jedenfalls blieb das neue Facebook-Profil aktiv. Um kein Risiko einzugehen, drehte Arrington dann auch noch alle sonst bei Facebook aktiven E-Mail-Benachrichtigungen ab, so dass sichergestellt war, dass Schmidt tatsächlich nur die eine Kontoeröffnungsnachricht erhielt.

Der Grund, warum Arringtons Aktion überhaupt funktionierte, ist simpel: Facebook lässt bislang aus unerfindlichen Gründen einige zentrale Funktionen ohne Überprüfung der E-Mail-Adresse zu, die man bei anderen Diensten zunächst per Mausklick bestätigen muss. So kann man ohne Bestätigung Facebook-"Freunde" akquirieren, neue "Freunde" akzeptieren, Status-Nachrichten "mögen" (Like-Knopf) sowie private Nachrichten senden und empfangen. Das reichte Arrington schon, um seine Köder auszulegen.

Ein weiteres Feature macht die fehlende E-Mail-Überprüfung besonders problematisch: Facebook hat mittlerweile eine gigantische E-Mail-Datenbank in seinem System, weil Nutzer etwa der offiziellen iPhone-App ganze Adressbücher hochladen. So macht Facebook Nutzern erstaunlich genaue Vorschläge für passende "Freunde". Der falsche Schmidt kam dank der richtigen E-Mail-Adresse so schnell auf den Schirm anderer prominenter Nutzer, die von Facebook automatisch Schmidt als neuen "Freund" vorgeschlagen bekamen. Ebenso erhielt auch Schmidt alias Arrington interessante Vorschläge.

Die Lösung für das Problem ist simpel, meint Arrington: Facebook dürfe es nicht mehr erlauben, dass irgendeine Aktion in dem sozialen Netzwerk ohne Bestätigung der E-Mail-Adresse möglich ist. Zwar haben auch andere Dienste ähnliche Probleme. "Doch Facebook gibt einem sofort Zugriff auf einen ziemlich robusten sozialen Graphen."

"Social Graph" nennt Facebook-Boss Mark Zuckerberg das Vernetzungsprofil seiner Nutzer - also wer wen kennt und wer mit wem in Verbindung steht. Es sei Facebooks Aufgabe, diesen so "rein wie möglich" zu halten, sagte Zuckerberg erst neulich, der diese Daten nicht nur hinter vorgehaltener Hand für Facebooks wichtigsten Geschäftsvorteil hält.