Nutzer-Tracking: Facebook-Login gibt Nutzerdaten an Dritte weiter
Spätestens seit dem Cambridge-Analytica-Skandal stehen viele Menschen Facebook skeptisch gegenüber. Wie Forscher nun herausgefunden haben können beim "Login mit Facebook" Skripte von Drittfirmen die Facebook-Identität des Besuchers nachverfolgen.
(Bild: Pixabay)
Wenn ein Internet-Nutzer auf einer Webseite die Funktion "Login mit Facebook" verwendet, gibt er der Webseite, auf der er sich befindet, unter Umständen Zugriff auf sein öffentliches Facebook-Konto. Forscher der Princeton-Universität in den USA warnen nun davor, dass auf dieser Webseite eingebettete Skripte von Dritten ebenfalls Zugriff auf diese Daten haben. Laut den Forschern sammeln Tracker so die Informationen der Webseitenbesucher – in den meisten Fällen wohl ohne dass die betroffene Webseite davon Kenntnis hat. Derartige Scripte fanden sie auf 434 der eine Million meistbesuchten Seiten im Netz.
Die meisten der Dritt-Skripte fragen den Facebook-Namen und die E-Mail-Adresse des Besuchers ab, der sich über Facebook auf der Seite anmeldet. Zwar ist die ID, welche die Skripte abgreifen, erst einmal auf die Anmelde-Routine der besuchten Webseite beschränkt; wie die Forscher zeigen, lassen sich darüber allerdings die öffentlichen Facebook-Informationen des Besuchers extrahieren. Dazu gehört dessen Facebook-Name und sein Profilbild.
Nutzer bleiben im Dunkeln
Bei der Anmeldung über Facebook auf der Ausgangsseite wird dem Nutzer eine Meldung angezeigt, die ihn darauf hinweist, dass diese Seite die genannten Informationen auslesen kann. Das irreführende für den Nutzer ist, dass ihm meist nicht klar ist, welche Dritt-Skripte auf der Seite mitgeladen werden und dass diese ebenfalls Zugriff auf diese Informationen haben. Im Zuge des Cambridge-Analytica-Datenskandals sind Nutzer nun viel stärker für solche Datenlecks sensibilisiert als noch vor ein paar Monaten.
Gesammelt werden die Information vor allem von Tracking-Firmen. Mithilfe der Facebook-ID der Besucher können sie auf der Ausgangsseite zum Beispiel gezielte Werbung platzieren. In ihrer Untersuchung nennen die Forscher sieben verschiedene Anbieter: OnAudience, Augur, Lytics, ntvk1.ru, ProPS, Tealium und Forter. OnAudience sammelt diese Informationen aktuell nicht mehr, nachdem die Princeton-Forscher zuvor über andere Tracking-Methoden der Firma berichtet hatten.
Tealium teilte gegegenüber heise online mit, dass man Facebook-Daten nicht auf die von den Forschern beschriebene Art nutze. "Tealiums Software wird von Unternehmen genutzt, die damit ihre eigenen Nutzerdaten verwalten. Tealium selbst verwendet diese Daten auf keine Weise weiter und kauft, teilt oder verkauft diese Daten auch nicht", so eine Vertreterin der Firma.
Schattenseite von Single-Sign-On
Single-Sign-On-Lösungen, wie die von Facebook und auch von Kontrahenten wie Google angebotenen, sollen Nutzer davor bewahren, sich für jede neue Webseite ein eigenes Konto mit dazugehörigem Passwort anlegen zu müssen. Im Gegensatz zu Standards wie OAuth sollten sich Nutzer allerdings darüber im Klaren sein, dass sie hier bei der Nutzung diesen Netzwerken Daten übermitteln. Und nicht nur Facebook und Google sammeln darüber Informationen – wie der vorliegende Fall deutlich macht, haben die anfallenden Daten die Angewohnheit, auch bei Dritten zu landen.
tipps+tricks zum Thema:
- Facebook: "Kontakte synchronisieren" deaktivieren
- Facebook: Daten schützen durch Deaktivieren der App-Integration
- Facebook: Datenspuren entfernen
Update (20.04.2018, 11:47 Uhr): Statement von Tealium eingefügt. (fab)
