Guten Tag. Nach langer Pause schreibe ich hier mal wieder einen „kleine“ Artikel.
Es geht um Seiten die vorgeben deinen letzten Profil-Viewer auf Facebook anzeigen zu können.
Prinzipiell ist dies möglich. Doch gesamt haben alle diese Seiten 1 großes Problem. Sie klauen deine Logindaten.
Hier behandeln wir mal die Seite http://conocemimarca.com/
Problem 1
Alle dieser Seiten können durch den Aufbau von Facebook nicht als „Plugin“ oder Externe Seite mit „Login over Facebook“ bedient werden.
Es gibt also keine so schöne blaue Login Buttons, die ein Popup aufmachen und dir erlauben deine Logindaten sicher bei der Domain facebook.com einzugeben.
Sondern du „musst“ deine Logindaten auf der externen Domain eingeben (sollte man niemals nie auch nur darüber nachdenken.)
Problem 2
Bis jetzt habe ich noch keine Seite gefunden die dieses „Feature“ bieten würde und auch nur annähernd vertraulich aussieht.
Unsere Beispielseite, hat kein Impressum, keine Kontaktmöglichkeit und nicht mal ein SSL Zertifikat. Sieht man an dem „Nicht sicher Tag“ oben in der Adresszeile des Browsers.
Ohne HTTPS Login Daten irgendwo einzugeben ist neben den anderen „No-Go“ (Falsche Domain) eine absolut schlechte Idee und sollte unter keinen Umständen erwogen werden. Wir werden es später trotzdem machen und anschließend unsere Daten sofort ändern 🙂
Seitenanalyse
Also sehen wir uns mal die Seite genauer an. SSL Zertifikat können wir uns nicht ansehen da ja Nichtmal vorhanden.
Whois Anfrage bringt auch wenig, da die Seite über PrivacyGuardian.org gekauft wurde bei namesilo.com. Billige Domain über einen Verschleierungsdienst. Wirkt jetzt nicht grade einladend nicht über den Ersteller sagen zu können.
Die IP-Adresse 167.172.185.169 führt uns zumindest mal nach Deutschland zu Digital Ocean. Also wieder nicht direkt Deutschland, da nur Dort der Server des Cloud-Anbieters steht.
Bleibt und nur noch der Quellcode übrig. Zur leichteren Zuordnung ihrer „Opfer“ erstellt die Seite subdomains.
Es ist aber völlig egal über welche Domain wir zum Anbieter gehen, die 57 letzten Freunde stehen mal sofort auf der Seite.
Beim Lesen des Codes auf conocemimarca.com/go/tavo.php kriegt man eindeutig Kopfschmerzen. War ja auch irgendwie klar das hier nur ein Script zusammengeschustert wurde, das keiner lesen will. Ein paar Details darin fallen mir jedoch schon direkt auf.
Der Code wurde nicht von einem Menschen geschrieben und speichert sich zur Sicherheit auch gleich ein paar Daten wie „wo kommst du her“ und „welchen Browser verwendest du“ ab.
Probieren wir mal banale Dinge aus, wie „Passwort zurücksetzen“ gibt ja den schönen Link, wenn man sein Passwort falsch eingibt. Schade funktioniert natürlich nicht. Hätte gerne eine E-Mail von deren Server bekommen aber dazu fehlt der Mail Server.
Loggen wir uns Doch einfach mal ein. Och, wieder Kacke. Funktioniert ja nicht. deren Script kennt nur ….
Mann. Leider muss ich die Analyse hier abbrechen.
Es war schon jemand schneller als Ich und hat die Seite überschrieben. Statt dem Unleserlichen Script. Gibts jetzt nur noch BBC Homepage zu sehen.
Screenshots wären manchmal doch besser als live Links.
Ich hoffe der nette Herr, hat auch die Datenbank Einträge mit den Passwörtern überschrieben. Aber auch dann ist es für jeden ehemaligen Nutzer der Seite klug, sein Facebook Passwort zu ändern und vor allem auf gar keinen Fall dasselbe Passwort für den E-Mail-Account zu verwenden. Denn dort kann man schädlichere Dinge als auf Facebook anrichten. Vor allem, wenn dieselbe E-Mail auch bei Sachen wie z.b. PayPal verwendet wird.
Fazit
Immer die Augen offen halten, wo und wie man sein Passwort eingibt. Ein Facebook Passwort darf nur auf der Seite facebook.com eingegeben werden und das Passwort des E-Mail-Accounts sollte IMMER ein anderes als auf den Seiten, die damit verknüpft sind sein.
Wer wirklich so ein starkes „Stalker Syndrom“ hat und rausfinden will, wer als Letztes auf Seiner Facebook Seite war, wird das bald (in der Apple App schon möglich) können, wenn Facebook das will. Alle anderen Methoden lesen nur zufällig eure Freundesliste oder eure Benutzerinteraktionen mit diesen Freunden aus. Es wird euch da also niemals ein Unbekannter angezeigt, sondern nur Personen, von denen Ihr schonmal Beiträge geliket, im Chat geschrieben oder in Kommentaren erwähnt habt aus.
Ein lustiger Blog Eintrag dazu, wie eure Daten von Facebook verarbeitet werden, findet ihr auf dem Signal Blog.
Sorry für den schnellen Artikel und der fehlenden Formatierung. Hab die Lust daran verloren, nachdem ein Anderer schneller war in Script überschreiben. Wenn ich sowas wieder Poste, dann mit Screenshots.
Trotzdem Danke an den Typen für das Defacement 🙂
Update:
Huch, ihr Streitet euch ja gerade nett, welches Script geladen werden sollte. So lange der Typ aber kein anderes Script verwendet, kannst du ja die BBC Seite immer wieder reinladen. Bin gespannt was bleibt 😛
Liebe Grüße
Simon