Wer bei Facebook angemeldet ist, kann bei dem Social Network auch seine Handynummer hinterlegen. Eine Maßnahme, die an und für sich empfehlenswert ist, denn sie ermöglicht einen alternativen Weg, um wieder Zugriff auf das eigene Konto zu erhalten, wenn man etwa sein Passwort nicht mehr weiß.

Allerdings, so fand der Blogger James Martindale heraus, ist dies gleichzeitig auch eine Schwachstelle, über die Unbekannte fremde Konten kapern können. Und Facebook hat derzeit nicht vor, hier nachzubessern.

Login mit Handynummer einfach möglich

Das Risiko kommt dann zu tragen, wenn man die eigene Handynummer wechselt und dabei vergisst, die neue Nummer anstelle der alten bei Facebook einzutragen. Denn nach einer gewissen Wartezeit vergeben Provider ungenutzte Rufnummern in der Regel neu.

Landet nun die eigene, alte Handynummer bei einer fremden Person, so kann diese potenziell damit den Facebook-Account übernehmen. Möglich ist das, weil Facebook auch einen Login mit der Handynummer anstelle der E-Mail-Adresse erlaubt, ohne dabei weitere Daten abzufragen. Es wird lediglich ein Code per SMS verschickt, der in Kombination mit der Nummer reicht, um sich einzuloggen. Somit kann ein Angreifer auch das Passwort zurücksetzen lassen und die Kontrolle übernehmen.

Glückstreffer per Gratis-SIM oder Nummernwechsel

Weiter gedacht wäre ein Szenario denkbar, in dem Angreifer versuchen, über das Sammeln von Gratis-SIM-Karten, wie sie von manchen Anbietern immer wieder ausgegeben werden, per Glückstreffer Facebook-Accounts zu kapern, um etwa deren eigentlichen Besitzer zu erpressen oder Phishing-Links an Freunde auf der Plattform zu schicken.

Martindale nennt als mögliches Szenario auch Anbieter, die für einen geringen Betrag einen Rufnummerwechsel ermöglichen und dabei gleich eine Reihe freier Nummern zur Auswahl bieten. Diese ließen sich durchprobieren, bis man eine mit zugeordnetem Facebook-Konto findet, und anschließend einfach "kaufen". Erschwerend kommt hinzu, dass Facebook selber SMS-Erinnerungen verschickt, wenn sich ein Nutzer länger nicht anmeldet – die dann an den neuen Besitzer der Nummer gehen. So war Martindale erst auf das Problem aufmerksam geworden.

Nummern aktuell halten

Vermeidbar ist ein solcher Angriff auf das eigene Konto nur indem man die eigenen Handynummern auf Facebook stets aktuell hält. Das Netzwerk selbst erklärt gegenüber The Register lediglich, dass die eigene Praxis jener anderer Anbieter entspricht. Es gebe zudem ein System zur Entdeckung "verdächtiger Logins". Dieses hat bei Martindale offenbar nicht angeschlagen. Eine zusätzliche Absicherung für die Wiederherstellung von Accounts per SMS ist nicht geplant. (gpi, 14.8.2017)