22.03.2012
Zwei britische Forscher entdeckten eine neue Möglichkeit, andere Facebook-Nutzer auszuspähen. Beim sogenannten "Deactivated Friend Attack" wird ein Account vorübergehend unsichtbar gemacht, bevor die Daten im großen Stil automatisiert abgegriffen werden. Zudem treten in den USA ab heute die neuen Nutzungsbedingungen von Facebook in Kraft, die massive Auswirkungen auf den Datenschutz haben.
Die beiden Wissenschaftler Shah Mahmood und Yvo Desmedt vom University College London erläutern in der Zusammenfassung ihres Berichts, wie die Sicherheitslücke ausgenutzt werden kann. Entwarnung können sie zumindest all denjenigen Anwendern geben, die ihre Kontaktanfragen eingehend prüfen. Ohne eine bestätigte Freundschaftsanfrage kann ihnen nichts passieren. Die Vorgehensweise beim Angriff ist relativ simpel: Über einen vorgetäuschten Account erfolgt eine Freundschaftsanfrage. Wird diese bestätigt, wird der Fake-Account vorübergehend deaktiviert. Da Facebook keine Accounts löscht, bleiben alle Daten vorhanden. In der Liste aller Freunde sind inaktive Accounts aber nicht sichtbar und können somit auch nicht nachträglich entfernt werden. Bei Testläufen konnten die britischen Forscher so 4300 Freunde gewinnen. In den frühen Morgenstunden erfolgte dann die kurzfristige Reaktivierung des Accounts. Danach wurden alle verfügbaren Daten der bestätigten Kontakte eingesammelt. Bevor die Nutzer am nächsten Tag ihren Rechner angeschaltet haben, war schon alles zu späte. Der Fake-Account wurde dann wieder in den Ruhezustand versetzt und war somit erneut unsichtbar. Shah Mahmood und Yvo Desmedt empfehlen, alle Freunde eingehend zu prüfen. Sollten manche ihren Account häufiger deaktivieren und reaktivieren, sollte man sie lieber entfernen. Facebook könnte das Problem lösen, indem auch inaktive Kontakte in der Freundesliste angezeigt werden. Anderenfalls wäre es noch eine Option, die Accounts wie bei anderen sozialen Netzwerken tatsächlich zu löschen. Facebook löscht nicht, weil man wahrscheinlich auf keinerlei Daten verzichten möchte.
Weitaus mehr Aufsehen dürfte aber die am 15. März angekündigte Änderung der "Erklärung der Rechte und Pflichten" erregen. Lediglich die Fans der Governance-Seite haben von der Ankündigung etwas mitbekommen und wurden aufgefordert, die Änderungen zu kommentieren. Bei mehr als 7000 negativen Kommentaren wollte man den Nutzern mehrere Alternativen zur Wahl stellen. Es kamen aber zur Stunde nur 42 deutsche und 575 englischsprachige Kommentare zusammen. Aufgrund der mangelnden Beteiligung treten die neuen Nutzungsbedingungen in den USA ab heute in Kraft. In Deutschland wird es in 30 Tagen soweit sein. Den Begriff Datenschutz ersetzte man durch eine neue Datenverwendungsrichtlinie ("Data Use Policy"). Kritiker bemängeln, das Unternehmen gebe noch nicht einmal mehr vor, die Daten der User schützen zu wollen. Vielmehr gehe es nur noch darum, wie man die Informationen verwenden könne.
Auf eine in Deutschland gesetzlich geregelte obligatorische Vorabinformation aller Anwender wird verzichtet. Wer bei Facebook aktiv bleibt, hat folglich automatisch zugestimmt. Dabei spielt es keine Rolle, ob man von der Änderung der Nutzungsbedingungen gehört hat oder nicht. Auch Updates der Software sollen künftig automatisch und ohne weitere Zustimmung der Nutzer erfolgen. Auch hier soll auf eine Vorabinformation der User verzichtet werden.
Quelle: gulli
Zwei britische Forscher entdeckten eine neue Möglichkeit, andere Facebook-Nutzer auszuspähen. Beim sogenannten "Deactivated Friend Attack" wird ein Account vorübergehend unsichtbar gemacht, bevor die Daten im großen Stil automatisiert abgegriffen werden. Zudem treten in den USA ab heute die neuen Nutzungsbedingungen von Facebook in Kraft, die massive Auswirkungen auf den Datenschutz haben.
Die beiden Wissenschaftler Shah Mahmood und Yvo Desmedt vom University College London erläutern in der Zusammenfassung ihres Berichts, wie die Sicherheitslücke ausgenutzt werden kann. Entwarnung können sie zumindest all denjenigen Anwendern geben, die ihre Kontaktanfragen eingehend prüfen. Ohne eine bestätigte Freundschaftsanfrage kann ihnen nichts passieren. Die Vorgehensweise beim Angriff ist relativ simpel: Über einen vorgetäuschten Account erfolgt eine Freundschaftsanfrage. Wird diese bestätigt, wird der Fake-Account vorübergehend deaktiviert. Da Facebook keine Accounts löscht, bleiben alle Daten vorhanden. In der Liste aller Freunde sind inaktive Accounts aber nicht sichtbar und können somit auch nicht nachträglich entfernt werden. Bei Testläufen konnten die britischen Forscher so 4300 Freunde gewinnen. In den frühen Morgenstunden erfolgte dann die kurzfristige Reaktivierung des Accounts. Danach wurden alle verfügbaren Daten der bestätigten Kontakte eingesammelt. Bevor die Nutzer am nächsten Tag ihren Rechner angeschaltet haben, war schon alles zu späte. Der Fake-Account wurde dann wieder in den Ruhezustand versetzt und war somit erneut unsichtbar. Shah Mahmood und Yvo Desmedt empfehlen, alle Freunde eingehend zu prüfen. Sollten manche ihren Account häufiger deaktivieren und reaktivieren, sollte man sie lieber entfernen. Facebook könnte das Problem lösen, indem auch inaktive Kontakte in der Freundesliste angezeigt werden. Anderenfalls wäre es noch eine Option, die Accounts wie bei anderen sozialen Netzwerken tatsächlich zu löschen. Facebook löscht nicht, weil man wahrscheinlich auf keinerlei Daten verzichten möchte.
Weitaus mehr Aufsehen dürfte aber die am 15. März angekündigte Änderung der "Erklärung der Rechte und Pflichten" erregen. Lediglich die Fans der Governance-Seite haben von der Ankündigung etwas mitbekommen und wurden aufgefordert, die Änderungen zu kommentieren. Bei mehr als 7000 negativen Kommentaren wollte man den Nutzern mehrere Alternativen zur Wahl stellen. Es kamen aber zur Stunde nur 42 deutsche und 575 englischsprachige Kommentare zusammen. Aufgrund der mangelnden Beteiligung treten die neuen Nutzungsbedingungen in den USA ab heute in Kraft. In Deutschland wird es in 30 Tagen soweit sein. Den Begriff Datenschutz ersetzte man durch eine neue Datenverwendungsrichtlinie ("Data Use Policy"). Kritiker bemängeln, das Unternehmen gebe noch nicht einmal mehr vor, die Daten der User schützen zu wollen. Vielmehr gehe es nur noch darum, wie man die Informationen verwenden könne.
Auf eine in Deutschland gesetzlich geregelte obligatorische Vorabinformation aller Anwender wird verzichtet. Wer bei Facebook aktiv bleibt, hat folglich automatisch zugestimmt. Dabei spielt es keine Rolle, ob man von der Änderung der Nutzungsbedingungen gehört hat oder nicht. Auch Updates der Software sollen künftig automatisch und ohne weitere Zustimmung der Nutzer erfolgen. Auch hier soll auf eine Vorabinformation der User verzichtet werden.
Quelle: gulli
