Facebook: Neues Datenleck betrifft 3 Millionen Nutzer
Jahrelang waren persönliche Daten von 3 Millionen Facebook-Nutzern öffentlich zugänglich – darunter auch intime Informationen. Gesammelt wurden die Daten mit der App "myPersonality" von der Uni Cambridge.
(Bild: dpa, Oliver Berg)
Der Facebook-Datenskandal um die Analysefirma Cambridge Analytics ist fast vergessen, da kommt ein neues Datenleck ans Licht: Das Wissenschaftsmagazin New Science berichtet, dass persönliche Daten von 3 Millionen Facebook-Nutzern ins Netz gelangt sind. Gesammelt wurden sie über die App myPersonality, ein Persönlichkeits-Quiz der University of Cambridge. Die Forscher hatten die gesammelten Informationen offenbar auf einer unsicheren Webseite anderen Forschern zugänglich gemacht. Sich dort Zugang zu verschaffen, war für Unberechtigte "relativ einfach", schreibt das Wissenschaftsmagazin. Die britische Datenschutzbehörde Information Commissioner's Office (ICO) untersuche den Fall nun. Die Uni Cambridge erklärte, dass die App keinen internen Genehmigungsprozess durchlaufen habe.
Hüter der Datensätze sind David Stillwell und Michal Kosinski, die im Psychometrics Centre der Uni Cambridge arbeiten. Auch Alexandr Kogan, der durch den Skandal um Cambridge Analytica bekannt wurde, soll bis zum Sommer 2014 an dem myPersonality-Projekt beteiligt gewesen sein. Facebook hat die App am 7. April 2018 suspendiert, weil sie gegen die Datenschutz-Regeln verstieß. In einer großen Aktion hatte das soziale Netzwerk tausende Apps überprüft und anschließend rund 200 Apps gesperrt.
Sensible Informationen offen zugänglich
Die myPersonality-Datensätze seien höchst sensibel und enthielten persönliche Details zu Facebook-Nutzern, darunter auch Antworten auf intime Fragen. Mehr als 6 Millionen Menschen haben den Psycho-Test abgeschlossen. Die Hälfte davon erlaubte der App, auf ihre Facebook-Informationen zuzugreifen. Die Daten wurden gesammelt, die Namen entfernt und dann auf einer Webseite veröffentlicht. In den Bedingungen räumten die Forscher das Recht ein, die Daten in anonymer Form zu nutzen und weiterzuverbreiten. Die Informationen sollten sich eigentlich nicht auf einzelne Nutzer zurückführen lassen – doch die Informationen sind offenbar recht leicht zu entanonymisieren, schreibt New Scientist. Jeder Datensatz verfügt über eine einzigartige ID. Sie und die persönlichen Angaben erlauben eben doch Rückschlüsse auf einzelne Nutzer.
Um auf die Daten zuzugreifen, mussten sich Interessenten registrieren; mehr als 280 Personen und 150 Institutionen haben dies getan, darunter Unternehmen wie Facebook, Google und Microsoft, schreibt New Scientist. Wer Zugang bekam, musste versichern, die Daten nicht zu entanonymisieren. Auch Werbetreibende waren an den Daten interessiert, sie durften mit ihnen aber keine direkten Gewinne erzielen. Auch Cambridge Analytica wollte 2013 Zugriff auf die Daten haben, erklärte David Stillwell. Der Antrag wurde wegen der politischen Ambitionen des Unternehmens aber abgelehnt, versichert der Forscher. Facebook hätte seit langer Zeit von dem Projekt gewusst. Es sei deshalb ein wenig seltsam, dass seine App plötzlich gegen die Richtlinien verstößt, findet Stillwell.
Zugangsdaten auf GitHub
Für Unbefugte gab es eine Hintertür zu den Daten: In den vergangenen vier Jahren war ein funktionierender Nutzernamen samt Passwort im Netz zugänglich, "nur eine Web-Suche entfernt". Jeder, der Zugang zu den Daten der Quiz-App wollte, hat "den Schlüssel in weniger als einer Minute gefunden". Offenbar hatte ein Dozent die Zugangsdaten im Rahmen eines Kursprojekts seinen Studenten überlassen. Irgendwie landeten sie dann offenbar auf GitHub. Auf diese Weise waren Daten von 3,1 Millionen Facebook-Nutzern frei zugänglich, außerdem 22 Millionen Status-Updates von 150.000 Nutzern sowie Details zu Geschlecht, Beziehungsstatus und Alter von rund 4,5 Millionen Nutzern. Die offene Frage: Wer hatte Zugriff auf diese Daten? (dbe)
