Facebook-Bug gab Werbekunden die Telefonnummern von Nutzern preis

Durch mehrere „Filterungsvorgänge“ konnten die Forscher Nutzer ausspähen.

Eine Schwachstelle in der Werbe-Schnittstelle von Facebook hat es Forschern ermöglicht, sich persönliche Daten von Nutzern zu verschaffen. Neben dem bekannten Microtargeting nach Kategorien wie Arbeiter, Mittelklasse oder Oberschicht steht Werbetreibenden auf der Plattform noch ein weiterer Weg zum gezielten Werben und Überzeugen zur Verfügung. Sie können Facebook Tabellen mit persönlichen Daten von Kunden, Sympathisanten oder Wählern zur Verfügung stellen. Die Plattform gleicht diese mit den Profilen von Nutzern ab und zeigt ihnen, der „Custom Audience“, dann Werbebanner an.

Die Forscher hatten die Schwachstelle bereits im Dezember beim Unternehmen gemeldet und dafür eine Belohnung von 5000 US-Dollar bekommen. Facebook schloss die Schwachstelle für den Upload von Kundendaten am 22. Dezember und erklärte, es gäbe keine Hinweise darauf, dass sie von Angreifern ausgenutzt wurde. Zur Schwachstelle schreibt Wired:

In einem Beispiel brachten die Forscher Facebook dazu, die Telefonnummern von 19 Freiwilligen aus Boston und Umgebung sowie Frankreich preiszugeben. Sie hatten den Forschern die mit ihrem Facebook-Account verbundenen E-Mail-Adressen gegeben. [Eigene Übersetzung]

Ende Februar trat ein Mitglied des Forschungsteams bei der PrivacyCon der US-amerikanischen Federal Trade Commission auf. Im zehnminütigen, sehenswerten Vortrag (Video, ab 01:02:30) beschrieb er ihren Angriff als eine Art Suchanfrage an die umfangreichen Datenbanken des „Datenhändlers des 21. Jahrhunderts“. Sie luden verschiedene Tabellen mit jeweils unterschiedlichen persönlichen Informationen hoch. Facebook errechnete die gesammelte Größe des Publikums. Durch die Überschneidungen konnten die Forscher dann schrittweise, durch weitere Anfragen mit modifizierten Tabellen, die Telefonnummern ermitteln. Dafür mussten sie nicht bezahlen, da sie nicht wirklich Werbung kauften.

 

0 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.