Eine Sicherheitslücke beim sozialen Netzwerk Facebook ermöglichte es Werbekunden, mit einigen Tricks auf die persönlichen Daten, unter anderem die Telefonnummer, von Nutzern zuzugreifen. Die Sicherheitslücke ist inzwischen behoben, Missbrauch soll es, laut Facebook, keinen gegeben haben.
Anzeige
Der Fall wurde bereits vor gut einem Jahr, Anfang 2017 von Sicherheitsforschern aus Deutschland, Frankreich und den USA aufgedeckt. Die Ergebnisse finden sich in diesem PDF-Bericht (Englisch). Die Forscher meldeten den Fehler an Facebook und konnten im Rahmen eines Bug-Bounty-Programms 5.000 US $ an Prämie kassieren.
Zum Hintergrund
Facebook gibt gegenüber seinen Nutzern an, dass die Angabe einer Mobilfunknummer im Profil dazu beiträgt, dass Facebook-Konto abzusichern. Es muss also davon ausgegangen werden, dass eine Menge Facebook-Profile solche Telefonnummern enthalten.
Schlecht, wenn diese Daten in Fremde Hände gelangen. Nach den Datenschutzrichtlinien Facebooks dürfen persönliche Daten von Facebook-Nutzern nicht an Werbekunden weiter gegeben werden. Und in Deutschland könnte das für Facebook ab Sommer 2018 richtig teuer werden. Denn die Datenschutzgrundverordnung der EU sieht empfindliche Strafen für so etwas vor.
Marketing-Tool ermöglicht Daten abzufischen
Andererseits stellt Facebook für Werbekunden ein Marketing-Tool bereits, mit dem die Werber eine Zielgruppenanalyse ausführen können. So lassen sich Telefonnummern und E-Mail-Adressen angeben und das Tool gibt die Größe der Zielgruppe an. Ein Fehler in der Software führte dazu, dass die genaue Anzahl an Nutzern einer Abfrage zurückgeliefert wurde.
Anzeige
Durch geschickte Manipulation dieser Vorgabedaten gelang es den Sicherheitsforscher, die Zielgruppe so zu reduzieren, dass in mehreren Läufen die Daten (Telefonnummern) einzelner Teilnehmer zu vorgegebenen E-Mail-Adressen ermittelt werden konnten.
Die gleiche Sicherheitslücke macht es möglich, die Telefonnummern von Facebook-Nutzern beim Besuch beliebiger Webseiten zu rekonstruieren. In Deutschland steht Facebook ja wegen seiner Datensammelwut im Fokus von Datenschützern und Kartellamt, die auch die Datenerfassung auf Fremdseiten rügen (siehe Linkliste am Artikelende)
Abschließende Bemerkungen
Die Sicherheitsforscher haben Facebook über diesen Sachverhalt informiert und über das Bug-Bounty-Programm die Prämie kassiert. Der Fehler soll durch Facebook am 22. Dezember 2017 behoben worden sein.
Facebook gibt an, dass keine Anzeigen vorliegen, dass die Sicherheitslücke missbraucht wurde – wobei ich mich frage, wie so etwas festgestellt wird. Allerdings ist das Marketing-Tool wohl so mächtig, dass die beteiligten Sicherheitsforscher nicht ausschließen, dass weitere Lücken zur Extraktion genauer Daten existieren.
Eine englischsprachige Abhandlung zum Thema hat die Site Wired gestern hier veröffentlicht und ausführlicher beleuchtet. Ein deutschsprachiger Beitrag findet sich hier bei heise.de.
Ähnliche Artikel
Bundeskartellamt setzt Facebook unter Druck
Deutsches Datenschutzrecht gilt auch für Facebook
Facebook erneut im Fokus der Datenschützer
Facebook: EU-Kommission verhängt 110 Millionen Euro Strafe
Datenschutzgrundverordnung: Firma löscht E-Mail-Datenbank
Anzeige
"Missbrauch soll es, laut Facebook, keinen gegeben haben."
Ist ja mal richtig was zum richtig ausgelassenen Lachen am Montag-Morgen, an dem die Arbeitswoche noch bevorsteht.
"Facebook" und Sicherheit passt bei einem Portal das sein Geld mit Werbung und Datenverkauf verdient doch nicht zusammen.