/Big Data

Facebook-Bug öffnete Telefonnummern für Firmen

WIRED Staff 08.01.2018 Lesezeit 2 Min

Sicherheitsforscher aus Deutschland, Frankreich und den USA haben aufgedeckt, wie Facebooks Werbekunden unberechtigterweise Zugriff auf die Telefonnummern von Nutzern erlangen könnten. Das soziale Netzwerk hat bereits reagiert und die Sicherheitslücke geschlossen.

Die Forscher hatten Facebook Ende Mai 2017 über einen Fehler im unternehmenseigenen Marketing-Tool informiert. Der Bericht mit dem Titel Privacy Risks with Facebook’s PII-based Targeting: Auditing a Data Broker’s Advertising Interface ist online einsehbar. WIRED US weist darauf hin, dass ein Zugriff durch Dritte auf persönliche Daten wie Telefonnummern gegen die Datennutzungspolitik von Facebook verstößt. Darin heißt es: „Wir teilen keine Informationen, die Sie persönlich identifizieren […] mit Werbe- oder Analysepartnern, es sei denn, Sie erteilen uns die Erlaubnis.“

Über das Marketing-Tool für die Werber auf Facebook konnte ein Upload anonymisierter Telefonnummern und E-Mail-Adressen zwecks Zielgruppenanalyse durchgeführt werden — über einen Umweg wäre laut dem Forscherteam auf diese Weise auch das Ermitteln einzelner Telefonnummern möglich gewesen. Für den Fund hat Facebook eine Belohnung von 5000 Dollar ausgezahlt. Ein Missbrauch der Schwachstelle soll laut dem Unternehmen nicht stattgefunden haben. Facebooks Werbe-Vizechef Rob Goldman erklärte: „Wir sind den Forschern dankbar, dass sie ihre Erkenntnisse über das Bug-Bounty-Programm geteilt haben. Obwohl wir keinen Missbrauch dieser komplizierten Technik feststellen konnten, haben wir am Produkt Änderungen vorgenommen, um Derartiges zu verhindern.“

Krishna Gummadi, Leiter der Networked Systems Research Group am Max Planck Institute for Software Systems, hält eine Entwarnung allerdings für verfrüht: „Wenn ich darauf wetten müsste, würde ich sagen, dass da noch weitere Bugs drin sind. […] Facebook besitzt Daten von unzähligen Menschen und macht sie Werbetreibenden über sehr mächtige Anwendungen verfügbar.“