Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Fabian A. Scherschel 37

Facebook-Konten über alte Telefonnummern angreifbar

Facebook

Bild: dpa, Daniel Reinhardt

Haben Facebook-Nutzer eine Telefonnummer als Recovery-Möglichkeit hinterlegt, kann nach einem Nummernwechsel der neue Besitzer der Nummer das Konto kapern. Facebook will dagegen allerdings nichts unternehmen.

Facebook empfiehlt seinen Nutzern, eine Telefonnummer zu hinterlegen, damit sie die Kontrolle über ihr Konto wiedererlangen können, falls sie ihr Passwort vergessen haben. Versäumen Nutzer, diese Nummer zu sperren, kann nach einem Nummernwechsel deren neuer Besitzer auch das Facebook-Konto übernehmen. Wie einfach das geht, hat Facebook-Nutzer James Martindale anschaulich demonstriert. Auf eine Anfrage der englischen Nachrichtenseite The Register hin bestätigte Facebook Martindales Erkenntnisse und gab zu Protokoll, dass die Lücke nicht gestopft werden soll.

Anzeige

Facebook beruft sich darauf, dass "andere Online-Dienste" ähnlich mit Rufnummern umgingen, wenn es um das Zurücksetzen von Passwörtern geht. Allerdings ist das angesichts der Größe von Facebook und der damit verbundenen Angriffsfläche der möglichen Nutzer vielleicht nicht die beste Begründung. Zwar können über die Lücke in Facebooks Recovery-System nur zufällig Accounts übernommen werden – es kommt schließlich ganz darauf an, welche Rufnummer der Nutzer vom Provider zugeteilt bekommt – aber gerade Spammer und Kriminelle, die Konten für Phishing-Angriffe suchen, wird das egal sein. Ihnen reichen auch wahllose Konten aus, um deren Kontakte mit dubiosen Links zuzuspammen.

Facebook unterscheidet sich auch dadurch von anderen Diensten, dass es dem Nutzer mehrere Recovery-Nummern erlaubt. Das führt dazu, dass Nutzer die alten Nummern nicht löschen, sondern nur neue hinzufügen, argumentiert Martindale. Das Konto, auf das er Zugriff erhielt, war insgesamt mit sechs Nummern verknüpft. Martindale war auf die Lücke aufmerksam geworden, weil Facebook ihm eine Erinnerungs-SMS für ein fremdes Konto geschickt hatte, nachdem er seine Rufnummer gewechselt hatte. Facebook verschickt diese SMS, wenn Nutzer sich längere Zeit nicht auf der Seite einloggen.

Im Gegensatz zu anderen Diensten wie Google reicht bei Facebook außerdem die Telefonnummer zum Einloggen. Ab da hat der Nutzer die volle Kontrolle über das Konto. Dienste von Google und Microsoft fragen zusätzlich weitere Informationen zu dem Konto ab und verlassen sich nicht allein darauf, dass der Nutzer SMS unter der angegebenen Telefonnummer empfangen kann. Wer wirklich sicher gehen will, sollte bei einem Rufnummernwechseln trotzdem die alte Nummer bei allen Webdiensten deaktivieren. (fab)

37 Kommentare

Themen:

Anzeige
  1. Facebook will Passwort-Zentrale des Internet werden

    Facebook will Passwort-Zentrale des Internet werden

    Mit dem Konzept der Delegated Recovery will Facebook den traditionellen Passwort-Reset via E-Mail ablösen – und sich selbst als unersetzlichen Mittelpunkt des Internet verankern.

  2. Verbraucherschützer verklagen WhatsApp wegen Datenweitergabe

    Facebook und WhatsApp

    Nachdem Facebook vergangenes Jahr angekündigt hat, in WhatsApp gesammelte Daten weitergeben zu wollen, hatte es viel Protest gegeben. Die Datenweitergabe wurde vorläufig gestoppt, aber um sie ganz zu verhindern, ziehen Verbraucherschützer nun vor Gericht.

  3. Zwei-Faktor-Authentifizierung: Bei Facebook per Stick sicherer einloggen

    Zwei-Faktor-Authentifizierung: Bei Facebook per Stick sicherer einloggen

    Internetkonten können gar nicht gut genug geschützt werden. Denn die Erfahrung, dass für sicher gehaltene Passwörter trotzdem geknackt werden, mussten schon viele Nutzer machen. Doch bei vielen Konten kann man Hackern einen zweiten Riegel vorschieben.

  4. WhatsApp führt Videoanrufe ein

    WhatsApp Videoanruf

    Die Facebook-Tochter führt in den nächsten Tagen Videotelefonate für alle Nutzer ein. Sie sollen komplett verschlüsselt werden.

  1. Hackerangriff: So schützt du deine Online-Konten

    Hacker haben es vor allem auf deine Online-Zugänge abgesehen. Wir zeigen dir, wie du deine Online-Konten vor Angriffen und Schäden schützt.

  2. Besserer Schutz: Zwei-Faktor-Authentifizierung für die Apple ID

    Zwei-Faktor-Authentifizierung auf iPhone und iPad

    Die Zwei-Faktor-Authentifizierung sichert Apple ID und iCloud ab. Mac & i zeigt die Einrichtung Schritt für Schritt, nennt die Vorteile des neuen Systems und erklärt den Umstieg von der alten zweistufigen Bestätigung.

  3. Vererben und Löschen von Facebook- und Google-Accounts

    Vererben und Löschen von Facebook- und Google-Accounts

    Sie als Nutzer können bestimmen, was mit Ihren Daten und Accounts im Falle Ihres Ablebens geschehen wird. Wir zeigen, welche Einstellungen Sie bei Facebook und Google vornehmen müssen, um Ihren digitalen Nachlass zu ordnen.

  1. Aston Martin präsentiert neuen Vantage

    Dem Aston Martin Vantage sollen eine neu konstruierte Karosserie ein V8-TwinTurbo von Mercedes-AMG und die erstmals bei der englischen Sportwagenmarke eingesetzte elektrisch gesteuerte Differenzialbremse Agilität auf Porsche 911-Niveau verleihen

  2. Mini tritt bei der Dakar-Rallye 2018 mit Allrad- und Hinterradantrieb an

    Mini

    Am 6. Januar 2018 startet in Lima die 40. Rallye Dakar. Mini wird die Rallye erstmals mit zwei konzeptionell komplett unterschiedlichen Fahrzeugtypen bestreiten. Zum Allradler kommt ein Buggy mit Hinterradantrieb

  3. Google will Content von russischen Medien im Ranking herabsetzen

    Der Medienkrieg tritt in eine neue Spirale ein. Alphabet-CEO Eric Schmidt will angeblich identifizierbare russische Desinformation von RT und Sputnik nicht zensieren, aber verschwinden lassen

  4. Apple wirft Skype aus App Store in China

    Apple in China

    Auf Anweisung des Ministeriums für öffentliche Sicherheit hat Apple eine Reihe von VoIP-Apps aus dem chinesischen App Store entfernt – dazu gehört auch Skype. Die Apps würden sich nicht an lokale Gesetze halten.

Anzeige