Eigentlich habe ich ja was ganz anderes gesucht und das hatte nicht mal was mit Facebook zutun, aber wie der Zufall es nun mal so will, bin ich auf ein eventuelles Datenleck bei Facebook gestoßen. Facebook hat mindestens einen 2. Server und auf dem wird sehr viel gespiegelt oder halt einfach nur abgelegt. Besonders weil private Fotos, PGP Keys und private Mails zu lesen sind. Eine Datei die ich da gefunden habe, hatte über 300 Mail Adressen gespeichert. Sollte also keinen wundern wenn Facebook zur Spamschleuder wird…
Ebenso erhält man einen Einblick in die Serverstruktur und weiß welche Programme da so laufen. Mit dem nötigen Wissen dürfte es für Hacker ein leichtes zu sein, Facebook zu knacken. Denn wer die Patches und Updates der Server kennt, der kann auch die Sicherheitslücken ausnutzen…
Hier mal ein paar screenies der Daten die ich gefunden habe. Ich habe alle Dateien verfremdet, damit mir hier keiner hinterher rumheult 
[UPDATE 1]
Ob man damit jetzt nun den Server hacken kann oder nicht kann ich hier nicht beurteilen. Da bin ich kein Experte drin. Fakt ist aber das zig Mail Adressen und scheinbar auch Mitarbeiter Fotos in diversen Ordnern liegen. Neben vielen Public PGP Keys, die dort auch rumflattern, sollte Facebook aber bestrebt sein, Spammern keine Mail Adressen zu liefern oder gar persönliche Mails auf dem Server zu lagern.
[UPDATE 2]
Also die PGP Keys die dort lagern sind öffentliche Keys und die gehören da auch wohl hin, wie ich erfahren habe. Anscheinend ist es auch üblich das Serveradmins private Fotos hosten und das gewollt Mail Adressen öffentlich zugänglich sind. Wie ich aus den ein oder anderen Kommentaren und Gesprächen heraus gehört habe, sollte ich mich hier lächerlich gemacht haben und den Artikel doch schnell wieder löschen. Das mache ich aber nicht, weil ich es nicht für richtig halte das private Fotos, eventuell ohne das Wissen der dort abgebildeten Personen gespeichert werden. Gerade weil ich täglich Kunden dazu habe, die genau solche Fotos gelöscht haben möchten. Wenn einige Serveradministratoren das so handhaben, meinetwegen…
Mir ist auch bewußt das es auf anderen Servern und öffentlichen Portalen wie Flickr z.B. Sauffotos gibt, aber wer selber einmal ungewollt irgendwo gespeichert wird und das nicht weiß oder gar will, der meckert dann nicht herum. Einigen ist es halt egal und anderen ist es schon wichtig was mit ihren Daten/Fotos passiert.
Ich habe hier auch jeden einzelnen Kommentar zugelassen und keinen gelöscht oder zensiert! Wie ich oben schon schrieb habe ich im Artikel extra “eventuell” geschrieben und auch das es dadurch “eventuell möglich” sei einen Server zu hacken, da ich es von Anfang an nicht genau wußte und um mich nicht zuweit aus dem Fenster zu lehnen…
22 KOMMENTARE ZUM Artikel
Oben die ersten Fotos sind Fotos von Mitarbeitern auf Saufgelage. Da gibt es auch noch zig Fotos von diversen Messen (Cebit) Zwar schon etwas älter aber saufende Facebook Mitarbeiter, naja ich weiß nicht ob die dahin gehören
soweit ich sehen kann, bin ich nicht mit drauf
du könntest den leuten noch einen schwarzen balken über die augen malen.
und was nun? gibst den gesichtsbüchlern einen hinweis?
Du solltest die Anonymisierung nochmal überarbeiten. PGP-KEys lassen sich ohne große Probleme lesen und die Personen auf den Fotos sind gar nicht verfremdet.
[...][2. UPDATE] 18.02.2009:
Offenbar verfügt Facebook über ein richtig großes Datenleck über welches es möglich sein soll, an viele sensiblen Daten heran zu kommen.[...]
Wird ja immer besser…
Schöne Grüße!
zum schieflachen… ich habs schon geschrieben udn verlinkt.. tnx für die story
Schicke Kostproben an Heise und Golem, die werden es gerne aufgreifen.
Ein Fettnäppchen nach dem anderen für Facebook
Zumindest macht das einem mal wieder deutlich, dass man sich immer der Gefahren im Internet bewusst sein muss. Wer persönliche Daten, Fotos, etc. preis gibt, muss auch im schlimmsten Fall mit der ungewollten Verbreitung rechnen.
Richtig sicher ist man halt nur, wenn man die beiden Kupferdrähte, die den PC mit der Außenwelt verbinden, trennt. Relativ sicher ist man, wenn man sich stets überlegt, was man im WWW tut oder eben besser lässt. Diese Facebook-Panne sollte als Warnung verstanden werden für all die, welche sich kaum Gedanken darüber machen.
Danke Carsten für den Report
LOL digger, was genau hast Du an dem Wort MIRROR jetzt nicht verstanden?
Lösch mal lieber schnell den Post, Du machst Dich gerade lächerlich
mirror punkt *hust* facebook *hust* punkt com
i lol’d
@ Jesse
Inwiefern lächerlich? Fakt ist das dort private Fotos von irgendwelchen Messen gehostet werden und das dort zig Mail Adressen zu finden sind, ebenso PGP Keys.
Mirror hin und mirror her, ich glaube nicht das “Sauffotos” von Mitarbeitern dort hingehören oder das E-Mail Adressen dort im Klartext abgelegt werden sollten.
Alle heulen immer herum das sie vollgespamt werden mit Viagra und Co. und woher haben die dann solche Mail Adressen? Von solchen mirrors…
“ebenso PGP Keys.”
Nun, public pgp keys leben davon verfügbar zu sein?
“Inwiefern lächerlich?”
Gerade weil du es nicht verstehst, solltest du einen gang runter fahren. google mal nach “mirror.facebook.com”. Dass die auf dem freien Downloadserver ihre Firmenfotos ablecken ist kein allgemeines Datenleck. Und die Art, wie du das hier handhabst zeigt zu deutlich, dass du noch nie mit Exploits zu tun hattest oder den Codex kennst.
@Carsten:
a) Private Fotos findest Du auch auf flickr.
b) Mailadressen bekommst Du in jeder Mailingliste zu Hauf (siehe auch X-LIST-NAME Header).
c) Wer nen ordentlich aufgesetzten Mailserver/Hoster hat wird sich nicht über Spam beschweren müssen.
d) PGP Keys findest Du auch auf so genannten Keyservern. Solange da keine privaten Keys liegen (und das tun sie nicht) ist das kein Problem. Gängige Praxis eben.
e) Sauffotos findest Du auch bei flickr und sag nix gegen die “Mitarbeiter”, denn das sind FOSS Coder die meine Welt am Laufen halten.
Schau Dir mal http://www.debian.org/mirror/list an
Ohne die würde es ganz düster aussehen im Netz. Sag bitte nichts gegen Mirrors. Mit Torvalds Worten: “Real Men don’t make backups. They upload it via ftp and let the world mirror it.”
Eigentlich wäre es ein feiner zu von dir gewesen erst Facebook zu informieren und das ganze dann nachdem Facebook reagiert hat hier veröffentlichen. Aber vielleicht bin ich einfach nur zu anständig…
@ITler
Warum anonym ?
@ gr4y
Deswegen habe ich auch keine Links gepostet und es auf “eventuell” beschränkt.
@jesse
habe oben ein update dazu geschrieben
Das die E-Mail-Adressen dort im Klartext abgelegt sind, ist wirklich nicht so gut.
Die Schlüssel sind, soweit ich das gesehen habe, aber die “PGP PUBLIC KEY” und die müssen öffentlich sein. Die muß man haben um eine verschlüsselte E-Mail entschlüsseln zu können. Der “PGP PRIVATE KEY” sollte hingegen… eben privat bleiben, aber die habe ich nun nicht finden können. Siehe auch: http://de.wikipedia.org/wiki/Pretty_Good_Privacy
“Saufgelage” würde ich es nun nicht nennen, da sind halt ein paar Leute die ein Bierchen trinken. Ob die allerdings wissen das die Bilder öffentlich sind, das ist eine andere Frage.
Aber wundern tut es mich auch das der Mirror dort öffentlich ist.
@Carsten: Passt schon. Fein von Dir, dass Du nicht gelöscht hast. So tritt ein Lerneffekt ein. Ausserdem würde das Internet eh nicht vergessen
Wenn Du nochmal sowas findest poste btw auch keine Auszüge aus den Mails, denn wenn Du das mit einer Suchmaschine gefunden hast braucht nur jemand 4-5 zusammenhängende Wörter zu googlen und hätte dasselbe.
Schönen Abend noch (:
Sorry, kannst meinen Kommentar löschen, hatte dein 2tes Update übersehen.
@ Michael Schwarz
Hatte es ja aufgrund der ganzen Kommentare extra so geschrieben und kann eigentlich so bleiben. Hab ja nix zu verbergen. Kann ihn aber auch löschen wenn du möchtest…
Ausgehend von der Sachlage, die du ursprünglich geschildert hast, finde ich nicht, dass Du Dich blamiert hast. Es gehört genau genommen zu großem Mut über solche Dinge ganz offen zu diskutieren.
Gruß
Dunkelangst
@ Dunkelangst
Danke! und deswegen habe ich den Artikel auch nicht gelöscht.
@ NoName NoMail
Anonyme Kommentare mit Beleidigungen habe ich allerdings gelöscht. Sachlich diskutieren jederzeit, aber bitte mit Namen und Mail.
Also ich finde die Sache hier alles andere als lächerlich. Sorry, ob gewisse Daten öffentlich oder nicht öffentlich sein müssen. Mich würde mal die Meinung der abgebildeten Personen interessieren, ob die das auch so witzig finden.
[EDIT by Admin]
Please in Englisch or German, if you want to comment something. Thx
Ein Trackback
Facebook mit riesen Datenleck?…
Jeder weitere Tag bringt anscheinend ein weiteres Problem für Facebook. Nachdem erst gerade die ToS nach zahlreichen Protesten wieder in den ursprünglichen Zustand geändert wurden, schreibt das Social Network auch heute wieder negative Schlagzeile…