SocialNetworkStrategien Crowdsourcing, Communities, Communitymanagement und Social Media Marketing

23Mrz/11Off

Hackerangriff bei Facebook-Gruppen? Hier die Antwort

Autor des Artikels: Matias Roskos

[Ein Gastbeitrag von Felix Angermüller]

Kürzlich habe ich im Netz Headlines wie „Hackerangriff bei Facebook-Gruppen!“ und ähnliche gefunden. Bei solchen Meldungen werde ich immer besonders hellhörig, denn grundsätzlich halte ich Facebook für sehr gut abgesichert. Warum? Würden bei Facebook entsprechende Lücken bestehen, hätte sich aufgrund der großen Attraktivität schon längst ein Angriff ergeben.

Also doch gar kein Hackerangriff? Die eindeutige Antwort: Jein!

Ein richtiger Hackerangriff konzentriert sich in erster Linie auf meist noch unbekannte / nicht direkt sichtbare Schwachstellen in Computernetzen und -software. Es gehört also schon eine Menge KnowHow dazu, damit man tatsächlich von einem Hacker sprechen kann. Auf ein paar Knöpfchen rumklicken ist kein Talent, und erst recht kein Hacking.

Die „Lücke“, die sich aktuell bei den Facebook Gruppen auftut, ist meiner Ansicht nach eher eine unglückliche Fehlkonstruktion im Sinne von einem auf der Beifahrerseite angebrachten Blinker-Hebel im Auto. Auch wenn das Auto-Beispiel an dieser Stelle zugegebenermaßen etwas schwer vorstellbar erscheint, so hat Facebook an verschiedenen Stellen eine „Mail-to-Content“-Funktion integriert.

Mail-to-Content – sinnvolle Alternative und Ergänzung

Gleich vorweg: der Name „Mail-to-Content“ ist meines Wissens kein offizieller Name für das zugrundeliegende Feature, mehr eine spontane Worterfindung von mir. ;-)

Worum geht es also? Wie sicherlich viele Facebook-Nutzer schon mal hier und da mitbekommen haben, bietet Facebook verschiedene Benachrichtigungsoptionen via Email an. Erhält man beispielsweise eine neue private Nachricht oder einen Kommentar auf ein Statusupdate, bekommt man je nach persönlich gewählten Benachrichtigungseinstellungen eine Mail-Benachrichtigung von Facebook zugesendet. In vielen dieser Benachrichtigungsemail setzt Facebook einen Hinweis, dass man, um eine Antwort zu verfassen, auch direkt auf die Benachrichtigungsemail antworten kann. Die Email wird dann an eine meist sehr kryptisch wirkende Empfängeradresse ins Facebook-System geschickt. Facebook ordnet anschließend automatisch anhand der Absenderadresse und der Empfängeradresse die Email dem richtigen Content zu.

Zur Veranschaulichung ein kleines Beispiel:

1) Marta Meier schickt Max Muster über Facebook eine private Nachricht.
2) Max Muster ist gerade unterwegs und bekommt eine Benachrichtigungsemail über die neue private Nachricht auf sein Smartphone. In dieser Email ist auch gleich der Nachrichtentext enthalten, den Marta Meier ihm geschickt hat.
3) Da Max Muster momentan in schlechter Netzabdeckung unterwegs ist, nutzt er direkt das „Mail-to-Content“-Feature, d.h. er sendet seine Antwort als Email-Antwort. (hier zeigt sich übrigens ein großer Vorteil dieses Features: durch die schlechte Netzabdeckung würde es mitunter mehrere Minuten dauern, bis die Facebook-Seite auf Max‘ Smartphone geladen ist; eine Email mit wenigen Kilobyte ist da doch deutlich schneller, weil kleiner)
4) Facebook bekommt die Email von Max an eine meist sehr kryptisch wirkende Adresse wie „notification+y2yem(…)@facebook.com“ und kann sie so dem richtigen Nachrichten-Stream zwischen Marta Meier und Max Muster zuordnen. Nun schaut sich Facebook noch die Absender-Emailadresse an und wird feststellen, dass das die von Max bei Facebook hinterlegte Adresse ist.
5) Jetzt wo die automatisierte Zuordnung abgeschlossen ist, erstellt das System bei Facebook automatisch einen Post im Namen von Max Muster im entsprechenden Nachrichten-Stream zwischen Marta und Max. Durch dieses Feature konnte Max also seine Antwort an Marta ladezeitenoptimiert als Email zunächst an Facebook senden, Facebook hat die Nachricht „übersetzt“ bzw. zugeordnet und im Namen von Max eine Antwort erstellt.

Facebook Gruppen Hack

Der Design-Fehler bei Gruppen

Bei Gruppen ist genau das gleiche Vorgehen wie oben möglich. Texte, die an die entsprechende Facebook-Emailadresse geschickt werden, werden dann einfach als Post innerhalb der Gruppe, aber eben im Namen des Absenders der Email veröffentlicht.

Wer schon mal eine Gruppe eröffnet hat, weiß, dass man Freunde direkt und ohne deren Zustimmung beim Anlegen der Gruppe hinzufügen kann. Max Muster könnte also beispielsweise eine Gruppe „Wir finden unseren Chef total doof!“ anlegen und Marta Meier direkt in die Gruppe mit aufnehmen. Momentan ist es sogar so, dass man allein keine Gruppe gründen kann! Man muss zwingend mindestens einen Freund hinzufügen. Hintergrund dazu wird wohl sein, dass eine Gruppe allein kaum Sinn macht. An dieser Stelle zeigt sich aber aktuell schon der erste Design-Fehler in der Umsetzung des Gruppenmoduls. Ohne dass ein Nutzer es weiß, kann er durch das Handeln eines Freundes automatisch Gruppenmitglied werden. Aus diesem Grund ist es ratsam, immer genau zu prüfen, zu welcher Gruppe man hinzugefügt wurde und ggf. auch die Emailbenachrichtigung darüber zu aktivieren.

Und wo ist jetzt das Problem?

Wie oben erwähnt, kann man auch statt über die Facebook-Seite über eine spezielle Email Content innerhalb der Gruppe posten. Dazu müssen genau zwei Voraussetzungen erfüllt sein:
1) Die korrekte Empfangsadresse bei Facebook, die der jeweiligen Gruppe zugeordnet ist, muss bekannt sein.
2) Die Absenderadresse muss der eines Gruppenmitglieds entsprechen.

Es ist KEIN (paralleler) Login bei Facebook nötig. Die korrekte Authentifizierung und Zuordnung zur richtigen Gruppe erfolgt einzig und allein auf Basis der beiden genannten Punkte!

Ist es normalerweise bei Nachrichten, Kommentaren usw. schwierig bis nahezu unmöglich die kryptische Empfangsadresse richtig zu erraten, spielt bei Gruppen ein weiterer Design-Fehler eine Rolle. Als Gruppen-Admin kann man eine individuell wählbare Emailadresse unter der Domain „@groups.facebook.com“ festlegen. Diese ist noch dazu für alle Gruppenmitglieder sichtbar! Emails, die an diese Adresse geschickt werden, werden automatisch in einen Gruppen-Post im Namen des jeweiligen Email-Absenders umgesetzt. Punkt 1) ist somit erledigt.

Jetzt kommt der eigentliche „Hack“. Wie Eingangs schon erwähnt, liegt hier meinem Empfinden nach mehr ein grundlegender Design-Fehler vor, als das besondere Hacking Skills notwendig wären. Der ganze Trick besteht nämlich jetzt nur noch darin, die bei Facebook hinterlegte Emailadresse eines Gruppenmitglieds herauszufinden und mit ein paar Code-Zeilen kann nahezu jeder Programmier-Anfänger eine Email verschicken, die als Absenderadresse die Emailadresse der „Zielperson“ enthält. Inhalt kann beliebiger Natur sein, von Spaß bis übler Nachrede.

Was kann man tun?

Grundlegend kann man aktuell empfehlen, stets genau auf die Benachrichtigungen zu achten, besonders wenn man bei einer Gruppe hinzugefügt wurde. Aus uninteressanten Gruppen, die man selbst nicht nutzt, sollte man sich als Mitglied entfernen. Prinzipiell kann das Problem aber in jeder Gruppe auftreten, unabhängig von der Nutzungsintensität, also z.B. auch in eigenen Gruppen.

Weiterhin ist es ratsam, die primäre Emailadresse im eigenen Facebook-Profil NICHT anzeigen zu lassen (In den Privatsphäreeinstellungen findet sich dazu die Auswahl „nur ich“). Wie man sich aber sicherlich denken kann, werden viele Nutzer bei Facebook ihre „normale“ Emailadresse hinterlegt haben. Diese lässt sich ggf. an anderen Stellen (Impressum auf eigener Website, Kontaktbücher, andere Soziale Netzwerke etc.) ermitteln. Man ist also gut beraten, bei Facebook eine völlig unbekannte und geheime Emailadresse einzusetzen. Technisch versierten Leuten mit Hosting-Paketen mit frei konfigurierbaren Mailaccounts kann ich an dieser Stelle beispielsweise raten, eine kryptische Alias-Adresse zu verwenden, z.B. als Alias für max.muster@maxmusterdomain.de setzt man j722kdlijs84727slw@maxmusterdomain.de und verwendet diese Adresse bei Facebook. (Emails kommen trotzdem automatisch auf der max.muster@ Adresse an.)

Den technisch nicht so Versierten bzw. denen ohne Hosting-Paket kann ich eine Freemail-Adresse empfehlen, die ebenfalls nicht leicht zu erraten sein und auch nur für Facebook verwendet werden sollte. Bei vielen Freemail-Anbietern lässt sich eine Weiterleitung auf eine andere Emailadresse einrichten.

Hotmail-Ad auf FacebookSo lange die beschriebenen Design-Fehler bei Facebook nicht behoben sind, kann man sich ganz schön die Finger verbrennen. Es werden ggf. Posts in öffentlichen Gruppen, deren Mitglied man ist, im eigenen Namen erstellt und man bekommt es – wenn z.B. niemand liket oder kommentiert – überhaupt nicht mit! Ferner lässt sich kaum bis gar nicht zurückverfolgen, wer der Übeltäter ist. Denn abgesehen von einer ggf. völlig nichtssagenden IP-Adresse kann selbst Facebook als Empfänger der „bösen Emails“ den tatsächlichen, bösen Absender nicht identifizieren. Passend zu diesem Problem kam bei mir auch schon Werbung von Hotmail hoch. (siehe Bild)

Bei Fragen zu diesem komplexen Thema, gern den Kommentarbereich nutzen! Felix Angermüller wird dann versuchen, auch dort intensiv auf Fragen und Probleme einzugehen.

Über den Autor
Felix Angermüller, Jahrgang 1987, ist mit Computern und dem Internet groß geworden. Bereits zu Schulzeiten wurde mit einem Teamkollegen aus dem Schulprojekt business@school ein Unternehmen gegründet, das sich neben Computerhardware vor allem auch mit Webprogrammierung beschäftigt. Momentan baut Felix mit Nuvidian eine separate Marke auf, die sich voll und ganz dem Thema Social Media widmet.

hat dir dieser Artikel gefallen?

Dann abonniere doch diesen Blog per RSS Feed!

Autor Info's mit anzeigen Matias Roskos

Kommentare (0) Trackbacks (0)

Die Kommentarfunktion ist hier derzeit deaktiviert.

Trackbacks are disabled.