Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.699.191 Produkten

Fabian A. Scherschel 37

Facebook-Konten über alte Telefonnummern angreifbar

Facebook

Bild: dpa, Daniel Reinhardt

Haben Facebook-Nutzer eine Telefonnummer als Recovery-Möglichkeit hinterlegt, kann nach einem Nummernwechsel der neue Besitzer der Nummer das Konto kapern. Facebook will dagegen allerdings nichts unternehmen.

Facebook empfiehlt seinen Nutzern, eine Telefonnummer zu hinterlegen, damit sie die Kontrolle über ihr Konto wiedererlangen können, falls sie ihr Passwort vergessen haben. Versäumen Nutzer, diese Nummer zu sperren, kann nach einem Nummernwechsel deren neuer Besitzer auch das Facebook-Konto übernehmen. Wie einfach das geht, hat Facebook-Nutzer James Martindale anschaulich demonstriert. Auf eine Anfrage der englischen Nachrichtenseite The Register hin bestätigte Facebook Martindales Erkenntnisse und gab zu Protokoll, dass die Lücke nicht gestopft werden soll.

Anzeige

Facebook beruft sich darauf, dass "andere Online-Dienste" ähnlich mit Rufnummern umgingen, wenn es um das Zurücksetzen von Passwörtern geht. Allerdings ist das angesichts der Größe von Facebook und der damit verbundenen Angriffsfläche der möglichen Nutzer vielleicht nicht die beste Begründung. Zwar können über die Lücke in Facebooks Recovery-System nur zufällig Accounts übernommen werden – es kommt schließlich ganz darauf an, welche Rufnummer der Nutzer vom Provider zugeteilt bekommt – aber gerade Spammer und Kriminelle, die Konten für Phishing-Angriffe suchen, wird das egal sein. Ihnen reichen auch wahllose Konten aus, um deren Kontakte mit dubiosen Links zuzuspammen.

Facebook unterscheidet sich auch dadurch von anderen Diensten, dass es dem Nutzer mehrere Recovery-Nummern erlaubt. Das führt dazu, dass Nutzer die alten Nummern nicht löschen, sondern nur neue hinzufügen, argumentiert Martindale. Das Konto, auf das er Zugriff erhielt, war insgesamt mit sechs Nummern verknüpft. Martindale war auf die Lücke aufmerksam geworden, weil Facebook ihm eine Erinnerungs-SMS für ein fremdes Konto geschickt hatte, nachdem er seine Rufnummer gewechselt hatte. Facebook verschickt diese SMS, wenn Nutzer sich längere Zeit nicht auf der Seite einloggen.

Im Gegensatz zu anderen Diensten wie Google reicht bei Facebook außerdem die Telefonnummer zum Einloggen. Ab da hat der Nutzer die volle Kontrolle über das Konto. Dienste von Google und Microsoft fragen zusätzlich weitere Informationen zu dem Konto ab und verlassen sich nicht allein darauf, dass der Nutzer SMS unter der angegebenen Telefonnummer empfangen kann. Wer wirklich sicher gehen will, sollte bei einem Rufnummernwechseln trotzdem die alte Nummer bei allen Webdiensten deaktivieren. (fab)

37 Kommentare

Themen:

Anzeige
  1. Facebook will Passwort-Zentrale des Internet werden

    Facebook will Passwort-Zentrale des Internet werden

    Mit dem Konzept der Delegated Recovery will Facebook den traditionellen Passwort-Reset via E-Mail ablösen – und sich selbst als unersetzlichen Mittelpunkt des Internet verankern.

  2. Verbraucherschützer verklagen WhatsApp wegen Datenweitergabe

    Facebook und WhatsApp

    Nachdem Facebook vergangenes Jahr angekündigt hat, in WhatsApp gesammelte Daten weitergeben zu wollen, hatte es viel Protest gegeben. Die Datenweitergabe wurde vorläufig gestoppt, aber um sie ganz zu verhindern, ziehen Verbraucherschützer nun vor Gericht.

  3. Zwei-Faktor-Authentifizierung: Bei Facebook per Stick sicherer einloggen

    Zwei-Faktor-Authentifizierung: Bei Facebook per Stick sicherer einloggen

    Internetkonten können gar nicht gut genug geschützt werden. Denn die Erfahrung, dass für sicher gehaltene Passwörter trotzdem geknackt werden, mussten schon viele Nutzer machen. Doch bei vielen Konten kann man Hackern einen zweiten Riegel vorschieben.

  4. Auch Microsoft überprüft Anzeigengeschäft auf finanzierte Werbung aus Russland

    Microsoft-Logo

    Der US-Präsidentschaftswahlkampf 2016 ist noch lange nicht abgehandelt. Auch Microsoft will nun seine Anzeigengeschäfte aus der Wahlkampfzeit überprüfen. Facebook, Twitter und Google haben bereits Verknüpfungen nach Russland gefunden.

  1. Facebook: Datenspuren entfernen

    Genau wie Google ist auch Facebook ein reger Datensammler. Datenlöschung ist zwar möglich, aber nicht immer sinnvoll.

  2. Facebook-Account schützen: So sicherst du deine Daten

    Du möchtest dein Facebook-Profil vor Hackern schützen oder deine Privatsphäre-Einstellungen ändern? Dann schau dir diesen Artikel an.

  3. Hackerangriff: So schützt du deine Online-Konten

    Hacker haben es vor allem auf deine Online-Zugänge abgesehen. Wir zeigen dir, wie du deine Online-Konten vor Angriffen und Schäden schützt.

  1. Das ungekürzte Originalvideo "2 Girls 1 Cup" und andere schöne Filme

    YouTube und Co. - unsere wöchentliche Telepolis-Videoschau

  2. Verrückte Hunde: Harald Hitler, nackte Lena und Spießer-Bushido

    YouTube und Co. - unsere wöchentliche Telepolis-Videoschau

  3. Klartext: Elektrische Landlust

    Klartext

    Die Landbevölkerung hat Vorteile beim Betrieb eines elektrischen Autos: mehr Platz für eigene Ladeinfrastruktur, weniger Menschen pro Stromanschluss und fehlgeleitete Hoffnung in den deutschen Verkehrsminister. Ich wollte schon lange einen Nissan Leaf

  4. Japan - kein Wintermärchen

    Viele Häuser haben dünne, nicht isolierte Wände aus Gips- und Holzspannplatten, undichte Schiebefenster und keine nennenswerte Heizung. Tod durch Erfrieren ist keine Seltenheit

Anzeige