Facebook motiviert Nutzer zur Zweifaktor-Authentifizierung (2FA) seiner Benutzerkonten. Auf die 2FA per Telefonnummer sollte man aber besser verzichten, da Facebook diese für Werbung missbraucht und man diese Angabe nicht mehr löschen kann.
Anzeige
Zum Wochenanfang sind mal wieder einige Facebook-News fällig. Denn einige Nachrichten der letzten Tage hatte ich unter den Tisch fallen lassen. Da gab es die Info, dass Apps, die mit einem bestimmten Facebook-SDK erstellt wurden, Standortdaten oder andere, der App bekannte persönliche Daten, an Facebook senden). Das Wall Street Journal hat hier einen Artikel zu diesem Thema veröffentlicht. Oder bestimmte Nutzer bekamen Werbung für Nazi-Propaganda ausgespielt. The Guardian berichtet hier zudem über ein geleaktes Memo, das zeigt, wie Facebook 2012/2013 bei Politikern mit Drohungen und Versprechen gegen striktere Datenschutzgesetze lobbyiert hat. Bei heise.de lassen sich Details in diesem deutschsprachigen Beitrag nachlesen.
Facebook missbraucht die 2FA-Telefonnummer
Eine Zweifaktor-Authentifizierung über eine Telefonnummer eines Mobilfunkgeräts ist eigentlich eine gute Sache. Man gibt diese an und bekommt bei einer Anmeldung am Benutzerkonto eine SMS auf das Mobilfunkgerät, um die Anmeldung zu bestätigen. Das ist allemal besser als eine Anmeldung mit Benutzername und Kennwort.
Bei Facebook wird diese Methode ebenfalls angeboten und beworben. Wer aber Facebook vertraut und dort seine Telefonnummer zur 2FA angibt, kommt aber in Teufels Küche. Gut, Facebook vertrauen ist an sich schon ein Oxymoron. Sobald jemand seine Telefonnummer auf den Facebook-Seiten angibt, bleibt diese dauert dort gespeichert. Es gibt keine Möglichkeit, diesen Eintrag zu löschen.
Yep. I can no longer keep keep private the phone number that I PROVIDED ONLY FOR SECURITY to Facebook. ZERO notification of this major, risky change. For years I urged dissidents at risk to use 2FA on Facebook. They were afraid of this. @Facebook doesn't care about their safety. pic.twitter.com/lW8wjBJlfz
— zeynep tufekci (@zeynep) 3. März 2019
Anzeige
Aber es kommt noch schlimmer, wie obiger Tweet des New York Times Kolumnisten Zeynep Tufekci deutlich macht. Wenn falsche Einstellungen gesetzt sind, können Freunde oder Jeder diese Telefonnummer sehen. So werden Dissidenten über Facebook ggf. transparent, da ihre Telefonnummer eingesehen werden kann.
Bei The Verge erfährt man, dass Facebook letztes Jahr die Leute über Monate mit der Aufforderung zur 2FA per Telefonnummer genervt hat. Gleichzeitig wurde letzte Jahr bekannt, dass diese Telefonnummer, die man eigentlich nur aus Sicherheitsgründen angegeben hat, auch für Werbung missbraucht wurde. Ich hatte im Blog-Beitrag Facebook: Telefonnummern für Werbekunden einsehbar darüber berichtet. The Next Web schlägt deshalb hier vor, dass man statt einer Telefonnummer eine App zur 2FA verwenden solle.
Anzeige
Die Einstellung dient dazu das jeder der die Telefonummer hat nach einem damit suchen kann und nicht das jeder die sehen kann. Und Werbung hab ich in der ganzen Zeit bisher noch nie bekommen. Viel Rauch um nichts?
Man sollte immer prüfen, wie mit 2FA umgegangen wird.
Beispiel Paypal: ich nutze 2FA und jedesmal nach dem Anmelden wird mir von paypal (NICHT vom Browser) angeboten, diesen Logon doch einfach zu speichern, damit ich dieses Prozedere nicht mehr machen muss. Ich kann dies nicht dauerhaft ablehnen. SEHR sinnvoll, Paypal! "SICHERERERER"
Beispiel ebay: ich nutze 2 FA und vergesse mein Kennwort. Wie sollte es ablaufen: Man müsste erzwungenermaßen zum Kennwortwechsel den 2. Faktor vorlegen sowie den Backupfaktor (Sicherheitsfragen/Handynummer/e-mailadresse). Wie läuft es jedoch ab? Ich kann das Kennwort alleine mit dem zweiten Faktor zurücksetzen. Grandios, ebay!
Nein. Man sollte Facebook schlicht keine Daten anvertrauen und dort kein Konto betreiben. Alles andere führt zu einer engmaschigen Vernetzung personenbezogener Daten nach dem Motto: Alles geht, solange es nicht rauskommt, und der Zwischenzeit geht schon jede Menge Neues, von dem der Nutzer noch nichts weiß. Zusätzlich sollte man einen JavaScript-Blocker nutzen und jede Website, die Script braucht und Social-Plugins fährt, als Ausnahme betrachten, die man nur nach sorgfältiger Überlegung zulässt.
Alles andere ist Oberflächenkosmetik, die nur kaschiert, dass man sich zur Ware machen lässt.
Da geht noch einer.
Wechsel der Mobilfunknummer und ein anderer Teilnehmer bekommt die alte abgelegte Nummer von einem und schon ist er unfreiwillig fast im Besitz eines Facebookkontos, wenn man diese Option zieht.
Wow, das nenne ich mal Sicherheit.
Da geht doch noch einer drauf.
Ich Trottel habe mir heute früh ein FB-Konto eingerichtet. Ging soweit alles klar. Ich konnte auch agieren. Bloß ein bissel rumgeschaut. Dann raus und dem Alltag zugetan.
So gegen halb 2 wollt ich nochmal ins FB – Und plötzlich ploppte eine Meldung auf. "Es wären ungewöhnliche Aktivitäten von meinem Konto ausgegangen" oder so in dem Sinn. Zum weitermachen wolle man mir dann den Code per SMS senden.
Die spinnen wirklich. Von mir gab's nix und so gibt es eine FB-Leiche mehr.
Hallo HerrGott; denselben Eindruck habe ich auch bei Microsoft Office-Konten; nämlich dass hier unter dem Vorwand "es hätte eine verdächtige Kontoaktion gegeben", die Handynummer "eingesammelt" mitsamt Geburtsdatum wird.
Hallo Leser1
MS Konten benutz ich schon aus Prinzip nicht. Aber klar, warum soll ausgerechnet MS da eine Ausnahme sein. Da wo nach Handynummern gefragt wird bin sofort weg.
Man braucht Facebook doch gar nicht selbst seine Telefonnummer anzugeben. Es reicht schon, wenn im lieben Bekanntenkreis nur ein einziger ist, der dort sein komplettes Adressbuch hochgeladen hat – sei es aus Unachtsamkeit oder weil er wirklich so naiv ist, das für eine ganz tolle Sache zu halten.
Sollte das bei Facebook direkt nicht klappen, dann kriegen die meine Daten eben via WhatsApp.
Es ist zum Auswachsen: Ich selbst kann diesen Laden meiden wie die Pest, andere tragen der Datenkrake meine Angaben ja doch zu. Das einzige, was Facebook noch nicht hat, ist mein Zustimmungs-Kreuzchen, das ihnen den ungenierten Missbrauch meiner Daten gestattet. Aber mir reicht der heimliche Missbrauch schon aus.
Jeder, der ein Produkt aus dem Hause Facebook benutzt, macht sich mitschuldig.
Gilt vermutlich eh nicht für den deutschen Markt, sondern ist ein Problem der USA. Deren Gesetze sind ja was Telefonwerbung angeht deutlich anders als unsere.
Was will man von einem Konzern erwarten, der bei Gründung von einer CIA-Tarnfirma finanziert wurde?