Das macht Facebook nicht

Bei Facebook hat man ja die Möglichkeit, sich Freunde vorschlagen zu lassen, indem man Zugangsdaten zu seinem E-Mailaccount dort angibt. Damit hat Facebook genau die Möglichkeiten des Zugriffs auf meine Mails, die ich hier skizziere, wenn ich einen IMAP-Account verwende. IMAP ist  eine Technologie zur Verwaltung von Mails auf einem Server. Wenn Ihr von verschiedenen Orten auf verschiedenen Endgeräten Zugriff auf eure Mails habt und dazu keinen Browser verwendet, nutzt ihr zu 98% IMAP.

Was die meisten Menschen kennen, sind Klickibunti E-Clients („IPhone-Apps“, Outlook, Thunderbird…),  die  man einmal einrichtet und die dann alles für einen tun (z.B. Ordner anlegen usw.). Man kann mit seinem Mailserver aber auch ganz „freakig“ über die Kommandozeile via telnet reden, verschlüsselt geht das auch, etwa über openssl. Dazu braucht es lediglich ein Login und ein Passwort für den E-Mailaccount (den hat Facebook ja dann). Dabei wandern die Daten ruckizucki. Ich habe einmal Daten markiert, die etwas über meine Person aussagen. Fett sind die notwendigen Kommandos in der Bash gedruckt.

Ich habe einmal meinen Server (riecken.de) genommen – erstmal sagen wir „Hallo!“:

telnet riecken.de 143

Trying 217.79.182.34…                                                                                                                                                                                                                                                                                    Connected to riecken.de.

Escape character is ‚^]‘.
* OK [server string]

Mittels GeoIP kann ich herausbekommen, wo mein Mailserver steht, genau bei welchem Provider in in welchem Rechenzentrum. Mit den Zugangsdaten können wir uns einloggen – lt. Protokoll braucht es dafür einen Identifier, hier A00001 –  und dann nachschauen, welche Ordner es gibt:

A00001 login account@server.tld passwort

A00001 OK LOGIN Ok.

A00001 list „“ „*“
* LIST (\HasNoChildren) „.“ „INBOX.ordner1
* LIST (\HasNoChildren) „.“ „INBOX.ordner2
* LIST (\HasNoChildren) „.“ „INBOX.ordner3
* LIST (\HasNoChildren) „.“ „INBOX.ordner4
* LIST (\HasNoChildren) „.“ „INBOX.ordner5
* LIST (\HasNoChildren) „.“ „INBOX.ordner6
* LIST (\HasNoChildren) „.“ „INBOX.ordner7
* LIST (\HasNoChildren) „.“ „INBOX.ordner8
* LIST (\HasNoChildren) „.“ „INBOX.ordner9
* LIST (\HasNoChildren) „.“ „INBOX.Drafts“
* LIST (\HasNoChildren) „.“ „INBOX.Trash“
* LIST (\HasNoChildren) „.“ „INBOX.Sent“
* LIST (\Unmarked \HasChildren) „.“ „INBOX“
A00001 OK LIST completed

Dadurch sind die Ordnerstruktur und die Namen der Ordner bekannt. Auch lässt das zusammen mit den GeoIP-Daten genauere Rückschlüsse auf meine Muttersprache zu. Weiter geht es:

A00001 examine INBOX.ordner5
* FLAGS (\Draft \Answered \Flagged \Deleted \Seen \Recent)
* OK [PERMANENTFLAGS ()] No permanent flags permitted
* 44 EXISTS
* 0 RECENT
* OK [UIDVALIDITY 1221923312] Ok
* OK [MYRIGHTS „acdilrsw“] ACL
A00001 OK [READ-ONLY] Ok

Im Ordner5 befinden sich also 44 Nachrichten. Das könnte man theoretisch für jeden Ordner abfragen und in ein Verhältnis setzen zu den versandten Nachrichten im Systemordner INBOX.sent. Das sind ja alles zunächst statische Daten (die aber jedes automatische Scan-Script für seine Tätigkeit braucht). Jetzt wechseln wir einmal in einen Ordner und schauen uns eine Mail (die erste, also 1) an – zur Ermittlung von „Freunden“ ist dabei der Mailheader von besonderem Interesse, den holen wir uns:

A00001 fetch 1 rfc822.header
* 1 FETCH (RFC822.HEADER {1270}
Return-Path: <max.mustermann@mailserver_einliefernd.tld>
Delivered-To: ich@mailserver.tld
Received: by mein mailserver.tld (Postfix, from userid 65534)
id 8811C8B361; Mon, 21 Jul 2008 22:56:45 +0200 (CEST)
X-Spam-Checker-Version: SpamAssassin 3.1.7-deb (2006-10-05) on
mailserver.de
X-Spam-Level:
X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00 autolearn=ham
version=3.1.7-deb
Received: from mail.gmx.net (mail.gmx.net [213.165.64.20])
by mailserver.de (Postfix) with SMTP id DCF5F8B350
for <ich@mailserver.tld>; Mon, 21 Jul 2008 22:56:23 +0200 (CEST)
Received: (qmail invoked by alias); 21 Jul 2008 20:57:28 -0000
Received: from dialin-clp-80-228-63-012.ewetel.net (EHLO [192.168.0.7]) [80.228.63.12]
by mail.gmx.net (mp001) with SMTP; 21 Jul 2008 22:57:28 +0200
X-Authenticated: #4143484
X-Provags-ID: V01U2FsdGVkX1+onux4d8eoxsOGsuvLjSdZB9Rc+6xkaDisRD3qgG
0yURUYm3p/ketQ
Message-ID: <4884F835.6080303@mailserver_einliefernd.tld>
Date: Mon, 21 Jul 2008 22:57:25 +0200
From: Max Mustermann <max.mustermann@mailserver_einliefernd.tld>
User-Agent: Thunderbird 1.5.0.10 (X11/20070403)
MIME-Version: 1.0
To:  ich@mailserver.tld
Subject: Einfach mal so..
Content-Type: text/plain; charset=ISO-8859-15; format=flowed
Content-Transfer-Encoding: 8bit
X-Y-GMX-Trusted: 0
X-FuHaFi: 0.63

)
A00001 OK FETCH completed.

Total cool. Folgende Fragen sind jetzt beantwortet:

  • Wie lautet der Name/Nick- oder Spitzname desjenigen, der mir eine Mail geschrieben hat?
  • Wann hat er sie geschrieben? (Wenn zu alt, lohnt sich die Suche nicht)
  • Über welchen Anbieter und Einwahlknoten war er beim Versenden eingewählt? (Zuordnung der Wohngegend)
  • Welches E-Mailprogramm nutzt er?
  • Welche Spamschutz und Virensoftware nutzt Maiks Mailserver? (Wie muss ich Mails an Maiks Server formatieren, damit sie durchkommen?)
  • War das Spam oder kein Spam? (Ist diese Nachricht für eine Auswertung relevant)
  • Wenn der Sender die Mail per cc-Feld an mehrere Leute geschrieben hat, kenne ich auch diese Adressen!

Facebook und Co. machen das nicht per Bash, sondern direkt per Script. Auf diese Weise lassen sich in kürzester Zeit alle Mails eines Accounts scannen inkl. eventueller Dateianhänge. Das macht Facebook natürlich nicht (fullscan). Da geht es primär um E-Mailadressen, die gibt’s wahrscheinlich am ehesten durch eine Headeranalyse.

Aber es wird klar, warum Facebook auf „so faszinierende Art und Weise“ Freunde für mich findet – wenn ich Zugriff auf mein Mailkonto in dieser Weise gestatte. Und das entscheidet jeder selbst, der weiß, was damit verbunden ist.

Aber da ich meine Zugangsdaten freiwillig herausgegeben habe, könnte Facebook jetzt alles scannen, auch den Inhalt der Mail, weil diese Daten für Facebook damit  öffentlich sind.

Meine Daten sind meine Daten. Was damit geschieht, habe ich zu verantworten. Schlimm finde ich, dass durch die Hintertür die Möglichkeit besteht, auch Daten über meine Mailkontakte herauszubekommen, die vielleicht ganz bewusst nicht Facebooker sind. Und von denen weiß ich nicht, ob sie das wollen. Das meine ich damit, wenn ich sage, dass Daten innerhalb sozialer Netzwerke nicht kontrollierbar sind. Was einer meiner „Freunde“ macht, weiß ich halt nicht. Suggeriert wird aber oft etwas anderes.

„Wenn es etwas gibt, von dem Sie nicht wollen, dass es irgendjemand erfährt, sollten Sie es vielleicht ohnehin nicht tun.“ (Eric Schmidt, Chef von Google)

Also los. Alle Daten ins Netz. Wir können es eh nicht verhindern.

Facebook Like

2 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.