Datenleck bei Facebook und SMS-Spam (updated)

Seit einigen Tagen erhalte ich teilweise mehrmals täglich SMS-Nachrichten, die thematisch immer den gleichen Inhalt haben:

  • Ihr Paket wird heute zugestellt.
  • Ihr Paket liegt zur Abholung bereit.
  • Ihr Paket wird in 30 Minuten zugestellt.
  • Ihr Paket wurde zum Absender zurück geschickt.

Natürlich in schlechtem Deutsch und ohne weitere Angaben. Gefolgt von einem verdächtigen Link, bei dem schon die Domain vollkommen abwegig aussieht. Hier hat sich also jemand nicht mal die Mühe gemacht, die Domains der großen Logistiker nachzuahmen. Teilweise fordern die SMS auch auf, dass man die eigenen Angaben vervollständigen müsse. Und immer: Man soll doch unbedingt auf den Link klicken.

Medienberichten zu folge betrifft dies eine Vielzahl von Handynutzern in Deutschland. Das BSI meldet, dass sich hinter dem Link in der Regel der Android-Trojaner FluBot verbirgt und man solle selbstverständlich keinesfalls den Link anklicken. Aber woher kommt diese Spam-Welle?

Nur wenige Tage zuvor wurden die Daten von 533 Millionen Facebook-Nutzern öffentlich. Neben persönlichen Informationen sind dabei auch die Telefonnummern der User veröffentlicht worden. Es ist allerdings nicht so einfach herauszufinden, ob man selbst von dem Datenleck betroffen ist. Facebook jedenfalls hat bereits mitgeteilt, dass sie NICHT die User darüber informieren möchten, ob sie betroffen sind.

Was kann man jetzt machen? Auf der Webseite https://fbleak.freddygreve.com/ kann man anhand des Links zur eigenen Facebook-Profil-Seite prüfen, ob man betroffen ist von dem Datenleck. Und nun? Kann man eigentlich wenig machen. Den Link nicht anzuklicken und die SMS zu löschen ist ja selbstverständlich. Leider hat man sonst nicht viele Möglichkeiten. Um sicherzugehen, nicht in eine Abofalle zu tappen, empfiehlt F. Greve die Drittanbietersperre beim Provider einzurichten. Problem ist dann nur, dass dann auch legitime Abbuchungen über die Mobilfunkrechnung nicht mehr möglich sind.

Den Umgang Facebooks mit dem Datenleck sehe ich kritisch. Es wirkt so, als würde es Facebook nicht im Ansatz interessieren, dass Ihnen Daten abhanden gekommen sind. Angeblich ist dies auf eine Sicherheitslücke zurückzuführen, die 2019 geschlossen wurde und damit ist der Fall für Facebook abgeschlossen. Zumindest eine umfassende Information der betroffenen User hätte ich von Facebook erwartet. Es sind schließlich nicht alle User so technik-affin und können die Fake-SMS als solche identifizieren.

Update:
Der SMS-Spam hat bei mir vor einigen Tagen plötzlich stoppt. Bisher habe ich noch keine Meldung gefunden, ob es hier ggf. ein Eingreifen der Provider gab oder was nun dafür gesorgt hat, dass die SMS aufhören.

Meine erste Bug Bounty Meldung – ausgerechnet bei Facebook

Gestern ist mir -mehr durch Zufall als durch bewusstes Suchen- ein Sicherheitsproblem bei Instagram aufgefallen, als ich jemanden helfen wollte. So beginnt meine erste Sicherheitsmeldung im Rahmen eines Bug-Bounty-Programms und dann ausgerechnet bei Facebook.

Instagram gehört zu Facebook und es gibt von Facebook ein offizielles Bug-Bounty-Programm. Weitere Infos kann man hier finden. Wenn man der Meinung ist, dass man ein Sicherheitsproblem gefunden hat, kann man dieses hier melden. Das Formular zum Melden ist relativ überschaubar. Man gibt an, was man gefunden hat, welche Auswirkungen dies hat und wie man den Fehler reproduzieren kann. Bedingung von Facebook ist, dass man das gefundene Problem nicht veröffentlicht, bis es von den Security Engineers von Facebook geprüft und behoben wurde. Im Gegenzug stellt Facebook dem Melder eine Belohnung (Bounty) in Aussicht. Laut Beschreibung mind. 500 $, kann aber je nach schwere der Sicherheitslücke auch mehr werden. Darüber hinaus wird man auf einer Art Wall of Fame namentlich genannt – ok, geschenkt. 😉

Ich denke meine gefundene Schwachstelle ist nicht extrem kritisch, trotzdem war ich überrascht, dass sie überhaupt existiert. Sobald Facebook meine Meldung geprüft hat, kann ich hier hoffentlich mehr ins Detail gehen. Gleichzeitig bin ich natürlich gespannt, wie schnell meine Anfrage bearbeitet wird von Facebook und ob diese tatsächlich als Sicherheitslücke eingestuft wird. Ich werde hier auf jeden Fall berichten, egal wie die Geschichte am Ende ausgeht.