Sicherheitslücke bei Facebook ermöglichte Werbekunden Telefonnummernzugriff
5000 Dollar Bug Bounty brachte einem europäischen Forscherteam das Aufspüren einer diffizilen Datenschutzlücke bei Facebook ein.
Facebook-Europazentrale in Dublin. Im ersten Quartal stieg der Umsatz des weltgrößten Online-Netzwerks im Jahresvergleich um 42 Prozent.
(Bild: dpa, Jessica Binsch)
Ende Mai 2017 fanden Forscher aus den USA, Deutschland und Frankreich heraus, wie sich Werbekunden unautorisierten Zugriff auf die Telefonnummern von Facebook-Nutzern verschaffen können. In ihrem Forschungsbericht stellen sie dar, wie man das Marketing-Tool für Werbetreibende trickreich missbrauchen konnte.
Laut Facebooks Datenschutz-Policy ist die Weitergabe persönlicher Daten wie der Telefonnummer an Anzeigenkunden verboten. Die Telefonnummer soll nur der Zwei-Faktor-Autorisierung dienen oder den Zugang bei verloren gegangenen Anmeldedaten wieder freischalten.
Extrem mächtiges Marketing-Tool
Doch das Marketing-Tool von Facebook ermöglichte das Hochladen anonymisierter Telefonnummern und E-Mailadressen, um zu prüfen, wie viele Teilnehmer in dieser Zielgruppe zu erwarten wären. Da das Tool keine gerundeten Werte, sondern eine exakte Zahl auswarf, konnte man durch geschicktes Eingrenzen und Erzeugen von Überlappungen einzelne Telefonnummern rekonstruieren. Ähnlich funktionierte dies mit den Daten von Tracking-Pixeln.
Beide Möglichkeiten sollen Ende Dezember 2017 beseitigt worden sein. Facebook hat versichert, dass seiner Kenntnis nach diese Lücken nie ausgenutzt wurden. Die Einschätzung ist nachvollziehbar, denn das von den Forschern eingesetzte Verfahren ist äußerst aufwändig.
Doch Krishna Gummadi vom Max Planck Institute für Software Systems, der an der Erarbeitung des Datenschutz-Exploits beteiligt war, gab gegenüber Wired seinen grundsätzlichen Bedenken Ausdruck. Das Interface für Werbekunden sei so mächtig und die Datensammlung so komplex, dass weitere Lücken wahrscheinlich seien. (js)
