Monitor: Im Visier von Facebook

Die ARD-Sendung Monitor at festgestellt, dass bei Facebook unverschlüsselt Passwörter übertragen werden: Im Visier von Facebook: Das Ende der Privatheit. Was offensichtlich ist, wenn man Facebook über https aufruft und dann schnell bei http landet. Aber thematisiert wird auch eine andere Sache, die vielen auf die Nerven geht: Viele geben einfach ihr ganzes Adressbuch für Facebook frei und dann landen auch persönliche Mailadressen in der Facebook-Datenbank, auf die man keine Lust hat.

Das Video steht schon auf Youtube:

In diesem Fenster soll ein YouTube-Video wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an YouTube. Wir verhindern mit dem WordPress-Plugin "Embed Privacy" einen Datenabfluss an YouTube solange, bis ein aktiver Klick auf diesen Hinweis erfolgt. Technisch gesehen wird das Video von YouTube erst nach dem Klick eingebunden. YouTube betrachtet Deinen Klick als Einwilligung, dass das Unternehmen auf dem von Dir verwendeten Endgerät Cookies setzt und andere Tracking-Technologien anwendet, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen.

Zur Datenschutzerklärung von YouTube/Google

Zur Datenschutzerklärung von netzpolitik.org

Pressemitteilung von Monitor: Facebook versendet unverschlüsselte Passwörter.

Das weltweit größte soziale Internet-Netzwerk „Facebook“ überträgt Passwörter zum Teil unverschlüsselt im Internet. Das berichtet das ARD-Magazin MONITOR in seiner heutigen Sendung (Das Erste, 20.5.2010, 22.00 Uhr). Dabei geht es um Passwörter, die Nutzer eingeben müssen, wenn sie von Facebook aus auf ihren E-Mail-Account zugreifen wollen.

Experten des Institutes für Internet-Sicherheit der Fachhochschule Gelsenkirchen haben für MONITOR diese Datenflüsse sichtbar gemacht. Gemeint ist die Funktion „Freunde suchen“, die häufig genutzt wird. Dabei haben die Informatiker festgestellt, dass Facebook die Zugangsdaten zu Skype, Instant Messenger- oder E-Mail-Diensten unverschlüsselt überträgt. „Damit sind kriminelle Organisationen in der Lage, mein Password mitzulesen und sich Zugang zu meinem E-Mail-Account zu verschaffen,“ sagt Professor Norbert Pohlmann von der Fachhochschule Gelsenkirchen gegenüber MONITOR. „Das ist fahrlässig. Facebook muss sofort reagieren.“ Eigentlich verspricht Facebook in seinen Datenschutzrichtlinien seinen weltweit 400 Millionen Nutzern: „Wenn Du vertrauliche Daten, wie z.B. Kreditkartennummern und Passwörter, eingibst, werden diese Informationen mithilfe der SSL-Technologie (Secure Socket Layer) von uns verschlüsselt.“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

37 Ergänzungen

  1. Tja, die Jungs vom „Institutes für Internet-Sicherheit der Fachhochschule Gelsenkirchen“ müssen ja auch saudumm sein. Natürlich überträgt Facebook Passwörter per SSL, einmal Quelltext angeschaut und man sieht: https! (Eine Kontrolle via Firebug würde dies auch bestätigen) Nur wechselt Facebook nachdem der Vorgang abgeschlossen ist zurück auf http, weil die Seiten so schneller aufgebaut werden können. Können die Jungs ja nicht wissen.

    Ach, bei Facebook gibt es einen Aufschrei wegen des Scannes der Kontaktbücher aber wie wäre es bei XING, Twitter, studiVZ, meinVZ, Wer-kennt-Wen?, und der ganze Rotz. Aber Facebook ist ja böse. Tja.

  2. Der Test mit dem CSV-Upload ist jetzt technisch gesehen eher peinlich für die \Experten\ (nicht nur das \das Adressbuch, das wir bei einem E-Mail-Anbieter haben\ -> lokales Outlook?!) – sondern was soll Facebook denn dagegen tun, dass Outlook diese Daten (\sehr geschwätzig\) nun mal exportiert?

    Dass aber sonst die (externen) Passwörter nicht per HTTPS übertragen werden ist schon peinlich für Facebook …

    1. Hm, Dennis scheint recht zu haben – bei mir werden die Formulare, die Formulare „Importiere Kontakte von: AOL Instant Messenger“ usw. auch als POST auf https://-Adressen angezeigt …

  3. Ich habe jetzt nicht in den Facebook Quelltext geschaut, aber was die „Experten“ da wegen den Passwörtern sagen, kann schon möglich sein. Auf dem lokalen Rechner kann man (mittels dem „im Internet erhältlichen Programm (Wireshark?)) natürlich die Daten lesen (und so sieht es auch aus: Basic-Auth ist base64-kodiert, und man sieht sowohl den kodierten als auch den dekodierten String im Video). Der lokale Rechner ist ja ein Endpunkt der SSL-verschlüsselten Verbindung. Das dies nun von einem fatalen Fehlverständnis von SSL seitens der „Experten“ zeugt, ist eine andere Geschichte…

  4. Na, sieh mal einer an – Facebook hat schnell reagiert (12h nach Pressemitteilung haben sie’s umgestellt), noch um 23:30 am 20.05.2010 habe ich ’nem einem Kumpel das im Klartext im Wireshark gezeigt, da war alles noch http:// … da sieht man mal wie nachlässig Facebook war und wie leicht der „Fehler“ ja zu beheben war. *gg*

  5. @Jan Kohnert: Gefährliches Halbwissen was Du da von Dir gibst ;-) Schalt doch mal Wireshark bei ner lokalen SSL-Session an – was siehst Du?

  6. @Jan Kohnert: …und wurde/wird HTTP-Auth / Basic-Auth bei Facebook verwendet? Guck ruhig mal genauer nach. *g*

  7. Gibt es im Netz nicht die Grundregel, Login-Daten und Passwörter nie an Dritte weiterzugeben?

    Also manchmal wundere ich mich schon.

  8. Ich bin wirklich froh, daß überhaupt mal endlich so ein brisantes Thema im TV aufgearbeitet wurde. Vielleicht überdenken jetzt einige, was sie öffentlich machen und was doch lieber nicht.

  9. Datenschutz ist natuerlich unbedingt wichtig, aber wer sich jetzt wundert, dass fb daten an firmen weitergibt…hallo?!!
    Klar macht sich das fb sehr einfach macht und schiebt die verantwortung zu 150% dem nutzer zu. Vielleicht hier ein gutes beispiel auch mal die AGB´s wirklich vor dem klick zu lesen…Was ist die alternative: mehr medienpaedagogik schon von schueller.cc angefangen?alle user als dumm und einfaeltig einzustufen? der outlook import ist ein aktiver vorgang des users, das abschliessen von einstellung bedarf halt auch der aktivitaet des users, das ist aber bei jedem handy auch so…
    Ich fand den bericht bei M daher schon etwas tendenzioes….
    Schoene Pfingsten

  10. Ich finds super, dass solche Berichte auch mal was bringen. Kaum im Fernsehen gezeigt reagiert Facebook sofort. Daran sieht man leider auch, dass es ganz einfach ist den Schutz zu erhöhen (SSL an –> alles gut), die großen Anbieter aber einfach nicht genau und sauber arbeiten und damit unsere Daten verschleudern.

    @Volker: Die Grundregel funktioniert ja bei den Nutzern auch nicht, die zum Beispiel sofortüberweisung.de Ihre Bankdaten geben…

    Traurig finde ich wie so oft einige Kommentare hier, die von sehr gefährlichem Halbwissen und mangelnder Recherche herrühren. (Bsp. Wireshark und SSL)

  11. klischnet: Der Bericht ist wichtig, wenn auch sicherlich einseitig. Erst einmal muss die Aufklärung des durchschnittlichen (dummen) Users stattfinden.

    Leider gibt es aber auch viele, die mit den Daten Dritter fahrlässig umgehen, obwohl sie es eigentlich besser wissen müssten. Ein sehr großer Teil von Datenschutzvergehen wird von Privatpersonen begangen. Und das oft mit eigentlich guter Absicht. Ich stimme dir zu, dass das Thema bisher nicht wirklich genug Beachtung findet.

  12. Mich nervt als Nicht-Facebook-Nutzer, dass die höchstwahrscheinlich auf meiner eMail-Adresse und Telefonnummer (und evtl. noch Geburtstdatum und Anschrift) hocken, obwohl ich mit denen kein Vertragsverhältnis habe.

    Und das, weil jemand, der meine Daten hat, die da hochgeladen haben könnte.

    Wenn man FB ’ne eMail schickt und fragt (Auskunftsersuchen gem. BDSG) bekommt man eine nichtssagende Antwort mit Verweis auf so’ne FAQ-Seite. Per Briefpost hab ich’s noch nicht versucht, weil die nur so’ne Adresse in den USA angeben…

    Fazit für mich: Ich komme an MEINE Daten bei Facebook nur mit großer Mühe ran. Schade.

  13. Liebe Profis,

    natürlich ist Datenschutz unbedingt und zweifelsfrei wichtig. Habe da eine dringende Frage: Wir haben für unseren Laden ein facebookaccount angelegt, weil einige Kundinnen gern auf diese Weise über News informiert werden wollen. Auf ihre Bitte hin haben wir sie als unsere facebook-Freunde bestätigt. Merkwürdigerweise verschickt facebook wiederholt eine Freundschaftsanfrage an eine Kundin, die keinen eigenen account bei Facebook hat. Logischerweise ist sie genervt. Sie verlangt die Löschung ihrer Daten aus Facebook und dass diese „Freundschaftsmails“ eingestellt werden. Gibt man ihren Namen bei Facebook in der Suchemaske an, ist sie nicht bekannt. Gibt es eine facebook-Hotlline? Kundenservice? Oder noch besser, wie kann erreicht werden, dass diese Freundschaftsanfragen stoppen?

    Tipps?

    Beste Grüße
    Christian

  14. Tja… wie jemand mal meinte:
    Das Ende der Privatheit steht uns bevor…

    Entweder der Staat greift unsere Daten ab, oder die privatwirtschaft… oder wir sind selber so blöde / leichtsinnig / naiv unsere Daten von uns aus in’s Web zu stellen…

    Und selbst wenn man seine Daten noch so schützen würde… dann gibt sie eben irgendein Bekannter leichtfertig oder absichtlich im Web preis…

    Manchmal denke ich, es wäre besser gewesen, wenn ich nie online gegangen wäre *seufz*.

  15. „der outlook import ist ein aktiver vorgang des users, das abschliessen von einstellung bedarf halt auch der aktivitaet des users, das ist aber bei jedem handy auch so…“

    ahja sehr schön das hilft mir aber nicht wenn irgendwelche arbeitskontakte, studienkontakte oder gar firmen(!) ihre adressbücher freigeben und man so gearscht ist. dass einzige mittel gegen sowas kann nur:

    a) information der unternehmen(vor allem auch kleiner) sein. man stelle sich vor man bekommt von jedem unternehmen wo man mal online bestellt hat pro monat 2-3 facebook einladungen, gehäuft ist das allein schon ein gewaltiger spam faktor. letztlich also ein ziemlich unkontrollierbares schneeballsystem. daraus folgt-> unternehmen die es nicht juckt gezielt anschrieben und ignoranz öffentlich machen.
    b) information des umkreises. das mag vielen nervig erscheinen, aber die wenigsten scheinen diese einladungsfunktion zu durchschauen. und es ist bizarr einladungen auf privataccounts von arbeitskontakten etc. zu bekommen.

  16. Ich könnte jetzt Romane schreiben über Trottel in Kotzwerken, aber ich möchte es nicht. Ich habe einfach keine Lust mehr dazu.

    Wer sich in Kotzwerken befindet, seine Daten dem Betreiber anvertraut, der auf alles Zugriff hat, der verdient einen Tritt in den Hintern.

    Natürlich nur in den nackten Hintern.
    Denn nackt ist der Trottel sowieso.

    Man wünscht Vergnügen und gutes Gelingen.

    Digitalis

  17. blah blah blah….wenn nicht 80% der DAU’s einen button klicken würden, BEVOR sie gelesen haben, WAS sie machen…dann gäbe es halb soviele diskussionen. das ist aber, erfahrungsgemäß, sehr deutsch.

    nach dem motto: „mami, die blöde mobilfunkgesellschaft will jetzt tatsächlich die 800Euro, die ich in 4Wochen mit meinem neuen xy smartphone vertelefoniert habe. der staat(!) muß doch verbieten, das man mehr telefonieren darf, als man sich leisten kann…blah blah blah

    wer sich bei FB anmeldet, und sich da über irgend etwas zum thema datenweitergabe wundert, der wundert sich auch, das mit seiner verlorenen (geklauten) ec karte, wo die pin mit edding drauf stand, geld abgehoben wurde.

    aber dann gibts bestimmt wieder MONITOR. dessen experten uns mitteilen, wie unsicher der ganze neumodische kram ist…wie mit EC Karten geld abheben LOL

    man man man. wer zu blöd für diese welt ist, soll doch auswandern….oder sich informieren!

    wenn ein fraunhofer institut sich feiert, einen elektronischen,neuen PA entwickelt zu haben, den ein „15jähriger“ in 5Minuten kackt, dann zeigt das, was unser problem ist.

    dort arbeiten leute, die haben ihren informatik abschluss bestenfalls vor 30jahren gemacht! es ist heute ihr job, das wissen von heute haben sie längst nicht mehr. da jeder hobbycoder mehr mit herz und verstand bei der sache ist. doch diese leute bekommen ja keine chance, weil sie in chemie ne 6 haben und durchs abi rauschen…

    in diesem sinne,
    gute n8 :-)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.