"Welche Disney-Prinzessin bist du?", "Wirst du Ende 2018 single, verheiratet oder schwanger sein?", "Was sagt ein Mund über dich aus?" – Antworten auf Fragen, die offenbar viele Facebook-Nutzer beschäftigt, bietet die Plattform NameTests. Sie hat rund 120 Millionen Nutzer.

Nutzer erhalten allerdings nicht nur Auskünfte, sondern dazu auch ein Sicherheitsproblem, berichtet Hacker Inti De Ceukelaire auf Medium. Die Quizzes sollen die Daten ihrer Nutzer unsicher gespeichert und so öffentlich abrufbar gemacht haben – auch nachdem die User die entsprechende App gelöscht hatten.

Daten für andere Webseiten abrufbar

Startet man ein NameTests-Quiz, dann ruft dieses eine Reihe von Daten aus dem eigenen Facebook-Profil ab: Voller Name, Geburtsdatum, Sprache, Region, Geschlecht und User-ID. Dazu auch ein Token, eine Art Zugangsschlüssel, der je nach vorhandenen Berechtigungen auch den Zugang zu Postings, Freundesliste oder Fotos erlauben kann. Hinterlegt werden diese im Klartext in einer Javascript-Datei, die auch von anderen Webseiten über den Browser des Nutzers abgerufen werden kann.

De Ceukelaire entdeckte das Problem schon Ende April und setzte Facebook mehrfach in Kenntnis. Das Unternehmen teilte ihm mehrfach mit, die Angelegenheit untersuchen zu wollen. Erst vor wenigen Tagen stellte er schließlich fest, dass die Quizbetreiber das Leck geschlossen hatten.

Angeblich kein Missbrauch

Gegenüber Techcrunch erklärt Social Sweethearts, dass man keine Hinweise darauf gefunden hat, dass von fremder Seite auf die Daten zugegriffen oder diese auf irgendeine andere Art missbraucht worden wären. Man würde jedoch weitere Schritte setzen, um etwaige Risiken in Zukunft auszuschließen.

Facebook selbst hat dem Hacker 4.000 Dollar an Belohnung über sein Bug Bounty-Programm zugesagt. Da sich De Ceukelaire entschloss, es einem guten Zweck zukommen zu lassen, wurde der Betrag verdoppelt und an die Freedom of the Press Foundation gespendet.

Infolge der Affäre rund um Cambridge Analytica hat Facebook versichert, mehr gegen Datenmissbrauch durch Dritte zu unternehmen. Im Mai gab das Netzwerk bekannt, den Zugang für mehr als 200 Apps gekappt zu haben, bei denen es in dieser Hinsicht Auffälligkeiten gegeben haben soll. (red, 29.06.2018)