Berlin. Facebook erfasst Daten geteilter Inhalte in einer zentralen Datenbank – auch die des privaten Messenger. Das deckte ein Blogger auf.

Private Nachrichten auf Facebook sind offenbar weniger privat als bislang angenommen. Das beschreibt der Sicherheitsexperte Inti De Ceukelaire in einem Beitrag mit dem Titel „Warum wir keine Links auf Facebook posten sollten“. Er schreibt von einem Fehler, Facebook hingegen spricht von einem Feature. Fakt ist: Im privaten Messenger geteilte Links zu Dokumenten im Netz und auch Fotos speichert Facebook in einer zentralen Datenbank – auf die theoretisch jeder Zugriff hat.

Der Blogger erklärt in seinem Post eine Funktion, die Facebook den Umgang mit Links erleichtert. Wenn ein Link zum ersten Mal in dem sozialen Netzwerk geteilt wird – sei es privat oder öffentlich –, speichert das Netzwerk den Link samt Daten wie Vorschaubild und Kurzbeschreibung in seiner Datenbank und vergibt eine sogenannte Identifikationsnummer. Wird der Link noch einmal verwendet, werden die Daten direkt über die zuvor generierte ID abgerufen.

Facebook: Keine Sicherheitslücke

Zugriff auf die Daten ermöglicht das Werkzeug „Graph API Explorer“, das für Software-Entwickler bestimmt ist. Theoretisch kann sich jedoch jeder Nutzer als Entwickler registrieren. Über das Tool lassen sich über die IDs diverse sensible Informationen in einer Datenbank aufrufen: Darunter Google-Docs, Namen, Bilder und Anhänge. Der Blogger De Ceuklaire hat ein kleines Programm geschrieben, das rasend schnell zufällige IDs testet und so auf die Informationen zugreift. Allerdings ohne, dass diese eindeutig einem Facebook-Nutzer zugeordnet werden können.

Facebook argumentiert, dass diese zentrale Erfassung kein Sicherheitsrisiko darstelle. Sobald es zu einer ungewöhnlich hohen Abfrage von Daten komme, sperre das Unternehmen den Entwickler. Wann das genau geschehe, bleibt aber unklar. (les/jei)