# taz.de -- Sicherheitslücke bei Facebook: Falscher Google-Boss sucht Freunde
       
       > Der bekannte Tech-Blogger Michael Arrington hat sich einen Spaß erlaubt:
       > Er legte ein Facebook-Profil für Google-Chef Eric Schmidt an. Darauf
       > fielen selbst Netzgrößen herein.
       
 (IMG) Bild: Reingelegt mit Facebook: Eric Schmidt.
       
       Eric Schmidt hat keinen Facebook-Zugang. Ob das ein Zeichen dafür ist, dass
       der Google-Boss seine Privatsphäre mehr schätzt, als er sie möglicherweise
       seinen Suchmaschinenkunden [1][zugesteht], ist nicht überliefert - seine
       bisherige Verweigerungshaltung dem weltgrößten sozialen Netzwerk gegenüber
       ist in der Techszene jedenfalls weitläufig bekannt.
       
       Am vergangenen Sonntag änderte sich das plötzlich - jedenfalls sah es
       danach aus: Ein neues Profil von Schmidt tauchte auf Facebook auf,
       inklusive freundlichem Bild und korrektem Geburtsdatum. Schnell fanden sich
       erste prominente Freunde ein - Chad Hurley beispielsweise, seines Zeichens
       Gründer von YouTube oder Elliot Schrage, oberster Öffentlichkeitsarbeiter
       bei Facebook. Ein Nutzer, der das mitbekam, mockierte sich in einer E-Mail
       an das vielgelesene Web 2.0-Blog "Techcrunch", Schmidt habe doch nur sechs
       Freunde. "Zum Schießen."
       
       Die Ironie der Angelegenheit: Techcrunch selbst hatte, in Person seines
       Gründers Michael Arrington, Schmidts Profil angelegt und bekannte
       Web-Größen damit hereingelegt, seine "Freunde" zu werden.
       
       Fake-Profile sind in dem sozialen Netzwerk an sich nichts Neues, da
       Facebook frische Nutzer ja nicht mit einer Kopie ihres Personalausweises
       abgleichen kann - so kam es in den letzten Jahren regelmäßig zu Imitationen
       von Promis in dem sozialen Netzwerk. Allerdings muss man gefälschte
       E-Mail-Adressen einsetzen, was schnell zum Warnmerkmal werden kann und beim
       Aussieben hilft. Twitter reagierte beispielsweise auf das gleiche Problem,
       indem der Kurznachrichtendienst für bekannte Nutzer ein "Verifizierter
       Account"-Logo samt Überprüfung einführte.
       
       Arrington ging deutlich geschickter vor: Er nahm einfach die
       Original-E-Mail-Adresse von Schmidt, der sein Postfach offenbar an
       Wochenenden nicht genau zu überprüfen scheint, sonst hätte er die Nachricht
       der Kontoeröffnung wohl gesehen. Jedenfalls blieb das neue Facebook-Profil
       aktiv. Um kein Risiko einzugehen, drehte Arrington dann auch noch alle
       sonst bei Facebook aktiven E-Mail-Benachrichtigungen ab, so dass
       sichergestellt war, dass Schmidt tatsächlich nur die eine
       Kontoeröffnungsnachricht erhielt.
       
       Der Grund, warum Arringtons Aktion überhaupt funktionierte, ist simpel:
       Facebook lässt bislang aus unerfindlichen Gründen einige zentrale
       Funktionen ohne Überprüfung der E-Mail-Adresse zu, die man bei anderen
       Diensten zunächst per Mausklick bestätigen muss. So kann man ohne
       Bestätigung Facebook-"Freunde" akquirieren, neue "Freunde" akzeptieren,
       Status-Nachrichten "mögen" (Like-Knopf) sowie private Nachrichten senden
       und empfangen. Das reichte Arrington schon, um seine Köder auszulegen.
       
       Ein weiteres Feature macht die fehlende E-Mail-Überprüfung besonders
       problematisch: Facebook hat mittlerweile eine gigantische E-Mail-Datenbank
       in seinem System, weil Nutzer etwa der offiziellen iPhone-App [2][ganze
       Adressbücher] hochladen. So macht Facebook Nutzern erstaunlich genaue
       Vorschläge für passende "Freunde". Der falsche Schmidt kam dank der
       richtigen E-Mail-Adresse so schnell auf den Schirm anderer prominenter
       Nutzer, die von Facebook automatisch Schmidt als neuen "Freund"
       vorgeschlagen bekamen. Ebenso erhielt auch Schmidt alias Arrington
       interessante Vorschläge.
       
       Die Lösung für das Problem ist simpel, meint Arrington: Facebook dürfe es
       nicht mehr erlauben, dass irgendeine Aktion in dem sozialen Netzwerk ohne
       Bestätigung der E-Mail-Adresse möglich ist. Zwar haben auch andere Dienste
       ähnliche Probleme. "Doch Facebook gibt einem sofort Zugriff auf einen
       ziemlich robusten sozialen Graphen."
       
       "Social Graph" nennt Facebook-Boss Mark Zuckerberg das Vernetzungsprofil
       seiner Nutzer - also wer wen kennt und wer mit wem in Verbindung steht. Es
       sei Facebooks Aufgabe, diesen so "rein wie möglich" zu halten, sagte
       Zuckerberg erst neulich, der diese Daten nicht nur hinter vorgehaltener
       Hand für Facebooks wichtigsten Geschäftsvorteil hält.
       
       12 Oct 2010
       
       ## LINKS
       
 (DIR) [1] /1/netz/netzpolitik/artikel/1/die-fettnaepfchen-des-eric-s/
 (DIR) [2] http://www.guardian.co.uk/technology/blog/2010/oct/06/facebook-privacy-phone-numbers-upload
       
       ## AUTOREN
       
 (DIR) Ben Schwan
       
       ## ARTIKEL ZUM THEMA