www.hadley.de

Was ich da durch Zufall entdeckt hatte, verschlug mir dann doch den Atem. Ich hatte vor Jahren einen anonymen Emaildienst, der sehr gut lief bis irgendwelche Spitzbuben meine verwendeten Domains als Spam-Absenderadressen verwendet hatten, dann wurde mir der Dienst vom Hoster gekündigt. Was ich nicht nachvollziehen kann, da mein Dienst selbst gar keine Emails gesendet, sondern nur empfangen hat, aber das soll hier jetzt nicht das Thema sein.

Ich habe dann alle Webseiten zu dem Dienst gelöscht, das Catch4All-Postfach hatte ich aber vergessen. Daran wurde ich erst erinnert, als mir gemeldet wurde, das Postfach wäre voll. Was alleine schon der Hammer ist, da hatten sich fast eine Million Emails angesammelt in ein paar Monaten. Ich habe nicht lange drüber nachgedacht und einfach alle Mails gelöscht. Aus welchem Grund auch immer, ich weiß es nicht mehr, hab ich das Postfach aber offen gelassen und innerhalb weniger Tage sammelten sich wieder fast 20.000 Emails an. Mir war schon klar, dass mein anonymer Emaildienst erfolgreich war, wie erfolgreich, sah ich aber jetzt erst. Er wurde tausende Male verwendet, um sich anonym bei irgendwelchen Diensten anzumelden, unter anderem eben auch bei Facebook.

Benachrichtigungen von Facebook

Eine solche Mail von Facebook hab' ich dann mal angeklickt. Da dies alles Fake-Accounts sind, hatte ich da auch keine Bedenken, ist ja auch meine Emailadresse, also was soll's:

Ich selbst war nicht in Facebook eingeloggt, als ich auf den Link klickte. Und zu meinem kompletten Erstaunen passierte das hier, damit hätte ich niemals gerechnet:

Was macht man da? Man klickt natürlich auf Weiter:

Und dann nochmal auf Ich stimme zu geklickt und das Unfassbare war passiert: Ich war in einem völlig fremden Account:

Alle Accounts, die ich angeklickt haben, waren "nagelneu", einmal eingerichtet und dann nicht benutzt, sodass mein Verdacht aufkam, dass diese Anmeldungen von einem BOT oder einem automatischen Skript erstellt wurden. Es waren keine Informationen eingefügt, keine Bilder, keine Texte geschrieben. Das Aktivitätenprotokoll war leer. Es gab zu 99% auch keine Profilbilder, keine Telefonnummer, keine alternativen Emailadressen, nichts. Das hat mich schon gewundert, warum erstellt jemand Hunderte von Accounts und benutzt sie dann gar nicht? Aber das war ja nicht das Schlimmste, denn das Resultat dieser Aktion ist:

Fremder Account mit einem Klick

Wenn jemand Zugriff auf ein Postfach hat, in welches Nachrichten von Facebook auflaufen, kann er sich, ohne Benutzername und Kennwort zu wissen, mit nur einem Klick auf den Link, in den entsprechenden Account einloggen. Ohne Probleme. Ich hab' das Dutzende Male gemacht mit verschiedenen Accounts, das hat immer geklappt. Immer!

Wissen Sie, was das bedeutet? Jeder Betreiber eines anonymen Emaildienstes hat Zugriff auf die dort angemeldeten Facebook-Account! Das geht in die Millionen! Die großen Anbieter wie Trash-Mail können nicht nur theoretisch, sondern auch in der Praxis auf alle FB-Accounts zugreifen, die User mit dem Dienst erstellt haben. Diesen Zugriff hat natürlich auch jeder, der auf welche Weise auch immer auf fremde Email-Accounts zugreifen kann. Was ja gar nicht ausgeschlossen ist wenn man sieht, wie oft heutzutage solche Accounts gehackt werden.

Meldung an Facebook

Ich habe diese Sicherheitslücke natürlich an Facebook gemeldet, auch in der Hoffnung ein paar Dollars abzugreifen. Doch zu meiner absoluten Verwunderung bekam ich das hier zurück:

We're sorry, but this issue doesn't qualify for a reward via the bug bounty program. In order to ensure that you have the best experience possible when you click an email or SMS notification we may log you in to the account that the notification was generated for. This behavior ensures that you are able to see the content that the notification was telling you about. We will only authenticate you when we have reason to believe that you are the person clicking on the link in the notification.

Since these links are only sent to contact points that you control, a malicious individual has no way to gain access to them directly. If a malicious person compromises your email account or phone they can potentially access the links, but such an individual could also reset the password on your account to get the same level of access. If you forward a notification to a third-party they would then have access to the link, but if we have reason to believe that they are not the account owner we will not authenticate them.

Es tut uns leid, aber dieses Problem ist nicht für eine Belohnung über das Bug-Bounty-Programm qualifiziert. Um sicherzustellen, dass Sie beim Klicken auf eine E-Mail- oder SMS-Benachrichtigung das bestmögliche Erlebnis haben, melden wir uns möglicherweise bei dem Konto an, für das die Benachrichtigung erstellt wurde. Dieses Verhalten stellt sicher, dass Sie den Inhalt anzeigen können, über den Sie in der Benachrichtigung informiert wurden. Wir werden Sie nur dann authentifizieren, wenn wir Grund zu der Annahme haben, dass Sie die Person sind, die auf den Link in der Benachrichtigung klickt.

Da diese Links nur an von Ihnen kontrollierte Kontaktpunkte gesendet werden, haben böswillige Personen keine Möglichkeit, direkt auf sie zuzugreifen. Wenn eine bösartige Person Ihr E-Mail-Konto oder Ihr Telefon gefährdet, kann sie möglicherweise auf die Links zugreifen. Eine solche Person kann jedoch auch das Kennwort Ihres Kontos zurücksetzen, um dieselbe Zugriffsstufe zu erhalten. Wenn Sie eine Benachrichtigung an einen Dritten weiterleiten, haben diese Zugriff auf den Link. Wenn wir jedoch Grund zu der Annahme haben, dass sie nicht der Kontoinhaber sind, werden wir sie nicht authentifizieren.

Ja, Sie lesen da richtig: Dies ist keine Sicherheitslücke in Facebook, sondern ein Service! Ich dachte, ich traue meinen Augen nicht! Auch der Hinweise, dass alle Betreiber von anonymen Emaildiensten die Möglichkeit haben auf diese Accounts zuzugreifen, lies Facebook kalt.

Auch der Absatz:

Wir werden Sie nur dann authentifizieren, wenn wir Grund zu der Annahme haben, dass Sie die Person sind, die auf den Link in der Benachrichtigung klickt.

ist in meinen Augen Blödsinn, denn ich habe mich in Dutzende Accounts völlig ohne Probleme eingeloggt, ich wurde nicht einmal von der Software aufgehalten. Es hat immer geklappt.