Ein fremdes Facebook Profil unter die Lupe nehmen – so gehts!

Der Graph Search von Facebook wurde am 06. Juni 2019 abgeschaltet bzw. stark eingeschränkt.
Nur weil ein fremdes Facebook Profil augenscheinlich nichts verrät, heißt es nicht, dass man mit ein paar Tricks nicht trotzdem an kritische Informationen kommt, die Tür und Tor für Phishing Mails, Fake Anrufe oder Social Engineering öffnen. Jeder der noch bei Facebook aktiv ist – und in der Vergangenheit war – der sollte deshalb über einen Ausstieg nachdenken.

Mithilfe des Search Graphs lässt sich ein beliebiges, fremdes Facebook Profil analysieren und es bringt keine Vorteile!

Die erweiterte Suchfunktion wurde vom größten sozialen Netzwerk bereits 2013 ins Leben gerufen. Damit ließen sich so Suchanfragen alá „Zeige mir Freunde von Marcel, die Thomas heißen und Eiskunstlauf mögen“ formulieren. Was auf den ersten Blick harmlos und vor allem nutzlos aussieht, entpuppt sich seit längerem als Datenschutz-Disaster und dient als Rückwärtssuche für Likes und Aktivitäten von Nutzern und Nutzerinnen.

Vorwarnung & Disclaimer zur Nutzung der Tools

Facebook ist die Datensammelmaschine schlechthin. Jedes Like, jedes Foto, jeder besuchte Ort, jedes besuchte Profil, jedes angeklickte Video usw. füttern den Giganten weiter mit Informationen. Dessen sind sich viele Benutzer nicht bewusst.

Generell gilt jedoch: Unwissenheit schützt vor Strafe nicht. Und auch wenn das Profil augenscheinlich nichts Preis gibt – sehen wir gleich, dass das nicht stimmt. Spätestens dann, wenn der peinliche Augenblick kommt in dem es heißt:

„Sag mal, warum likest du denn so viele leichtbekleidete Teenager? Sind die nicht zu jung für dich?“

Ist die Generalausrede „Ich habe doch nichts zu verstecken“ passé.

Ein fremdes Facebook Profil untersuchen – So gehts!

Es sind Tools, die von Facebook selbst bereit gestellt werden. Um Search Graph zu nutzen muss man die URL um diverse Suchoperatoren ergänzen. Grundsätzlich lässt sich auf den Search Graph über:

https://www.facebook.com/search/

zugreifen. Um Profile analysieren zu können, sind die ID’s der Accounts nötig. Du willst wissen welche Fotos von Mark Zuckerberg geliked hat? Die ID hinter dem CEO ist die „4“. Die URL zum Anfordern lautet:

https://www.facebook.com/search/4/photos-liked

Angezeigt werden alle öffentlich, einsehbaren Likes auf Fotos.Die Syntax ist dabei immer gleich.

Welche Videos von Arnold Schwarzenegger geliked worden sind? Anstatt die 4 von Zuckerberg durch 9269711759 von der Fan-Seite von Arnold ersetzen, „videos-liked“ anhängen und voilá.

Fremdes Facebook Profil analysieren
Das hat die Fan-Seite von Arnold Schwarzenegger in der Vergangenheit an Videos geliekd.
Quelle: Screenshot facebook.com

Jeder Nutzer der etwas liked, kommentiert, teilt oder sich markieren lässt, gibt Informationen für jeden Preis!

Neben den Fotos, Beiträgen und Videos die in der Vergangenheit geliked worden sind, lassen sich auch die Fotos oder Beiträge anzeigen, die kommentiert worden sind oder von einem selber stammen. Der Operator für diese Anfrage ist „/photos-commented“ bzw. „/stories-commented“. Auf welche Beiträge jemand verlinkt worden ist? Mit dem Operator „stories-tagged“ kein Problem!

Bei allen angezeigten Informationen handelt es sich um öffentliche Informationen. Mit diesem Grad an Profilbezug lassen sie sich jedoch nur über den Search Graph finden!

So findest du die ID hinter jedem Account raus!

Um den Search Graph ausnutzen zu können, braucht ihr die ID des Benutzers. Zahlreiche Website ermitteln die ID für euch. Eine einfache Google-Suche listet euch zahlreiche Möglichkeiten auf. Falls ihr auf keinen externen Dienst zurückgreifen wollt, klickt einfach auf das Profilbild des Nutzers, von dem ihr die ID haben wollt. Die Zahl vor dem „&type“ ist eure ID.

https://www.facebook.com/photo.php?
fbid=xxxxxxxxxxxxxxxx&set=a.xxxxxxxxxxxxxxx.xxxxx.HierStehtEureID&type=3&theater

Zwei beispielhafte Suchoperatoren:

Zeige mir Freunde von Person A die für das Unternehmen B arbeiten:

https://www.facebook.com/search/261199903908113/employees/present/100001539665978/friends/friends/intersect

Zeige mir Personen die in Stadt X leben und Fanseite Y geliked haben:

https://www.facebook.com/search/str/tim/users-named/119247191494953/residents/present/69116329538/likers/intersect

Die URL anzupassen ist dir zu kompliziert? Stalkscan erleichtert die Bedienung!

Wem das Anpassen der URL zu kompliziert ist, der kann den Dienst Stalkscan in Anspruch nehmen. Die Website von Inti De Ceukelaire, einem belgischem Hacker, soll darauf aufmerksam machen das viele private und intime Informationen über Umwege doch öffentlich zugänglich sind.

Ein fremdes Facebook Profil lässt sich mit Stalkscan unheimlich einfach untersuchen
Stalkscan macht es für jeden möglichst einfach, Informationen über Facebook Accounts in Erfahrung zu bringen. Quelle: Screenshot stalkscan.com

Stalkscan greift dabei ebenfalls auf den Graph Search zurück. Das umständliche anpassen der URL ist mit der Website nicht mehr nötig. Zeitweise ist der Dienst jedoch nicht verfügbar – aufgrund hoher Anfragen.

Ein fremdes Facebook Profil mit dem Graph Search unter die Lupe nehmen – meine Meinung dazu!

Bereits im August wurden zahlreiche Gründe aufgezählt, warum man sich von Facebook abmelden sollte. Der Graph Search ist seit 2013 eine Möglichkeit ein Blick auf die Spitze des Eisbergs der Informationen zu werfen welche Facebook über einen speichert.

Da das ganze auch bei Facebook Accounts funktioniert, die augenscheinlich abgeschottet sind, sind große Teile des Datenschutzes und der Privatsphäre hinfällig. Es lassen sich öffentliche Gruppen einsehen, denen die Accounts beigetreten sind. Aber auch verteilte Likes auf Fotos und Videos öffnen Tür und Tor für Social Engineering Angriffe. Auch das Schreiben von Mails, bei denen man vermutet, dass diese seriös sein müssen, da das Wissen nur Insider haben können, ist möglich.

Das Problem ist der Graph Search, die Datensammelwut von Facebook und das mangelnde Bewusstsein für Privatsphäre und Datenschutz. Das einzige Heilmittel dagegen ist:

Melde dich von Facebook ab!

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.