Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Fabian A. Scherschel 37

Facebook-Konten über alte Telefonnummern angreifbar

Facebook

Bild: dpa, Daniel Reinhardt

Haben Facebook-Nutzer eine Telefonnummer als Recovery-Möglichkeit hinterlegt, kann nach einem Nummernwechsel der neue Besitzer der Nummer das Konto kapern. Facebook will dagegen allerdings nichts unternehmen.

Facebook empfiehlt seinen Nutzern, eine Telefonnummer zu hinterlegen, damit sie die Kontrolle über ihr Konto wiedererlangen können, falls sie ihr Passwort vergessen haben. Versäumen Nutzer, diese Nummer zu sperren, kann nach einem Nummernwechsel deren neuer Besitzer auch das Facebook-Konto übernehmen. Wie einfach das geht, hat Facebook-Nutzer James Martindale anschaulich demonstriert. Auf eine Anfrage der englischen Nachrichtenseite The Register hin bestätigte Facebook Martindales Erkenntnisse und gab zu Protokoll, dass die Lücke nicht gestopft werden soll.

Facebook beruft sich darauf, dass "andere Online-Dienste" ähnlich mit Rufnummern umgingen, wenn es um das Zurücksetzen von Passwörtern geht. Allerdings ist das angesichts der Größe von Facebook und der damit verbundenen Angriffsfläche der möglichen Nutzer vielleicht nicht die beste Begründung. Zwar können über die Lücke in Facebooks Recovery-System nur zufällig Accounts übernommen werden – es kommt schließlich ganz darauf an, welche Rufnummer der Nutzer vom Provider zugeteilt bekommt – aber gerade Spammer und Kriminelle, die Konten für Phishing-Angriffe suchen, wird das egal sein. Ihnen reichen auch wahllose Konten aus, um deren Kontakte mit dubiosen Links zuzuspammen.

Microsoft und Google sind strenger

Facebook unterscheidet sich auch dadurch von anderen Diensten, dass es dem Nutzer mehrere Recovery-Nummern erlaubt. Das führt dazu, dass Nutzer die alten Nummern nicht löschen, sondern nur neue hinzufügen, argumentiert Martindale. Das Konto, auf das er Zugriff erhielt, war insgesamt mit sechs Nummern verknüpft. Martindale war auf die Lücke aufmerksam geworden, weil Facebook ihm eine Erinnerungs-SMS für ein fremdes Konto geschickt hatte, nachdem er seine Rufnummer gewechselt hatte. Facebook verschickt diese SMS, wenn Nutzer sich längere Zeit nicht auf der Seite einloggen.

Im Gegensatz zu anderen Diensten wie Google reicht bei Facebook außerdem die Telefonnummer zum Einloggen. Ab da hat der Nutzer die volle Kontrolle über das Konto. Dienste von Google und Microsoft fragen zusätzlich weitere Informationen zu dem Konto ab und verlassen sich nicht allein darauf, dass der Nutzer SMS unter der angegebenen Telefonnummer empfangen kann. Wer wirklich sicher gehen will, sollte bei einem Rufnummernwechseln trotzdem die alte Nummer bei allen Webdiensten deaktivieren. (fab)

37 Kommentare

Themen:

Anzeige
  1. Facebook will Passwort-Zentrale des Internet werden

    Facebook will Passwort-Zentrale des Internet werden

    Mit dem Konzept der Delegated Recovery will Facebook den traditionellen Passwort-Reset via E-Mail ablösen – und sich selbst als unersetzlichen Mittelpunkt des Internet verankern.

  2. Verbraucherschützer verklagen WhatsApp wegen Datenweitergabe

    Facebook und WhatsApp

    Nachdem Facebook vergangenes Jahr angekündigt hat, in WhatsApp gesammelte Daten weitergeben zu wollen, hatte es viel Protest gegeben. Die Datenweitergabe wurde vorläufig gestoppt, aber um sie ganz zu verhindern, ziehen Verbraucherschützer nun vor Gericht.

  3. Googles Videotelefonie-App Duo für Android und iOS verfügbar

    Googles Videotelefonie-App Duo für Android und iOS verfügbar

    Der Video-Messenger Google Duo soll den Pendants von Facebook, Microsoft und Apple Marktanteile abknapsen.

  4. Google veröffentlicht seine Videotelefonie-App Duo

    Google veröffentlicht seine Videotelefonie-App Duo

    Google Duo soll als einfacher 1-zu-1-Messenger den Pendants von Facebook, Microsoft und Apple Marktanteile abknapsen.

  1. Besserer Schutz: Zwei-Faktor-Authentifizierung für die Apple ID

    Zwei-Faktor-Authentifizierung auf iPhone und iPad

    Die Zwei-Faktor-Authentifizierung sichert Apple ID und iCloud ab. Mac & i zeigt die Einrichtung Schritt für Schritt, nennt die Vorteile des neuen Systems und erklärt den Umstieg von der alten zweistufigen Bestätigung.

  2. Vererben und Löschen von Facebook- und Google-Accounts

    Vererben und Löschen von Facebook- und Google-Accounts

    Sie als Nutzer können bestimmen, was mit Ihren Daten und Accounts im Falle Ihres Ablebens geschehen wird. Wir zeigen, welche Einstellungen Sie bei Facebook und Google vornehmen müssen, um Ihren digitalen Nachlass zu ordnen.

  3. Nach dem NetzDG

    Alternativen zu Twitter und Facebook

  1. 18-Jähriger meldet Fehler in Budapester E-Ticketing-System – und wird festgenommen

    18-Jähriger meldet Fehler in Budapester E-Ticketing-System – und wird festgenommen

    Das neue E-Ticketing-System für den Budapester ÖPNV war offenbar mit allzu heißer Nadel gestrickt. Ein 18-Jähriger Nutzer, der einen der Fehler entdeckte und dem Budapester Verkehrsunternehmen meldete, bekam daraufhin Besuch von der Polizei.

  2. Diesel-Debatte: Ist der Stickstoffdioxid-Grenzwert sinnvoll?

    In geschlossenen Räumen darf der Anteil des Gases fast 24 Mal so hoch sein wie an Straßen - Ein Kommentar

Anzeige