Facebook Messenger: Dritte haben Zugriff auf geteilte Links

„It’s not a bug, it’s a feature!“

Allgemein

„It's not a bug, it's a feature!“ – so beschreibt Facebook die Tatsache, dass über eine private Nachricht geteilte Links von Entwicklern ausgelesen werden können.

Das Facebook seit jeher als „Datenkrake“ bezeichnet wird, ist in manchen Fällen zwar etwas überzeichnet, in diesem jedoch recht passend. Während das Unternehmen in den letzten Jahren daran gearbeitet hat, dass für den Nutzer offensichtlicher wird, von wem seine auf Facebook geteilten Beiträge und Informationen gesehen werden können, fehlt in diesem Beispiel ein Hinweis auf den Umgang mit über den Messenger geteilten Links.

Denn wer Links über Chats bei Facebook teilt, macht diese unter Umständen für neugierige Entwickler sichtbar. So wie auch das soziale Netzwerk beim erstmaligen Teilen eines Links in der Chronik Informationen wie Link-Name, Bild und Beschreibung von der Webseite abruft und dann in einer Datenbank intern abspeichert, um das erneute Teilen des Links (beispielsweise durch andere Nutzer) deutlich schnell und performant bewerkstelligen zu können, wird das ebenso bei über den Messenger mit Kontakten geteilten Links gehandhabt. Sprich: Privaten Unterhaltungen fernab jeder Facebook-Pinnwand und Öffentlichkeit.

Facebook-Messenger: Entwickler können privat geteilte Links auslesen

Auf dieses Dokument sollten nur Firmen-Mitarbeiter haben. Entwickler mit üblen Absichten haben ihn jedoch auch.

Auf dieses Dokument sollten nur Firmen-Mitarbeiter haben. Entwickler mit üblen Absichten haben ihn jedoch auch. | Bild: https://medium.com/@intideceukelaire/why-you-shouldnt-share-links-on-facebook-f317ba4aa58b

Dies klingt im Großen und Ganzen wenig problematisch. Würden die Links in der internen Datenbank von Facebook wie auch die öffentlich geteilten Links abgespeichert werden, wäre dies wenig bedenklich, da Nutzer erst eben jenen Link teilen müssten, damit die entsprechenden Informationen sichtbar werden. Doch so einfach ist es leider nicht: Entwickler können über die in der Datenbank erfasste Objekt-ID Links aus der Datenbank abfragen und diese auch gewollt abfangen – ein Skript könnte diese Arbeit effektiv übernehmen. Ein solches Skript hat Inti De Ceukelaire geschrieben, wie er in seinem Blogeintrag auf Medium beschreibt.

So hat er über oben beschriebenen Weg einen Link zu einem selbst erstellten Textdokument und weitere private Links abgreifen können. In dem zu Demonstrationszwecken erstelltem Dokument legte er fiktive interne Firmen-Passwörter ab, auf die er dann Zugriff hatte. Über den von De Ceukelaire beschriebenen Weg können Entwickler Zugriff auf nur mit Freunden geteilte Bilder erhalten: Häufig werden nicht die Timeline-Bilder mit den entsprechenden Links privat geteilt, sondern die Direktlinks zu den Bildern, die man in Googles Browser Chrome zum Beispiel mit einem Rechtsklick auf ein Facebook-Bild und „Bildadresse kopieren“ erhält. Mit einem solchen Direktlink umgeht man sozusagen die Privatsphäreeinstellungen des jeweiligen Bildes, das auf dem sozialen Netzwerk veröffentlicht wurde – und sie sind für alle, die über den Link verfügen, sichtbar.

Facebook: Möglichkeit zum Auslesen privat geteilter URLs gewollt

Facebook durchsucht auch eure geteilten Links | Foto: Facebook.com

Facebook durchsucht auch eure geteilten Links | Foto: Facebook.com

Facebook beschreibt den beschriebenen Vorgang als gewollt und versichert, einen Missbrauch wie beispielsweise durch ein Skript, das im großen Stil Links abgreift, zu erkennen. Allerdings reichen auch bereits einige wenige URLs, um unter Umständen sensible Daten abgreifen zu können. Wir raten euch dazu, private Dokumente nicht über Facebook, sondern zum Beispiel per Mail zu verschicken. Zudem sollte jeder, der Dokumente wie etwa von Google Docs verwaltet, die Privatsphäreeinstellungen so festlegen, dass nur angemeldete und freigegebene Nutzer auf die entsprechenden Dokumente zugreifen können. Denn auch sicher geteilte Dokumente können von jedem weitergeleitet werden.

via Mobilegeeks

E-Mail an die Redaktion

Für Anmerkungen zu diesem Artikel oder Rückfragen schreib uns gerne eine E-Mail.

Empfohlene Artikel

Schreibe den ersten Kommentar zu diesem Thema

Dieses Thema enthält 0 Antworten und 1 Teilnehmer. Es wurde zuletzt aktualisiert von   Martin Malischek vor 1 Jahr, 4 Monate.

Mehr zu Facebook liest privat geteilte Links aus

Produkte in unserem Shop

Array ( )