Facebook-Bug gab Werbekunden die Telefonnummern von Nutzern preis

Durch mehrere „Filterungsvorgänge“ konnten die Forscher Nutzer ausspähen. Gemeinfrei-ähnlich freigegeben durch unsplash.com

Eine Schwachstelle in der Werbe-Schnittstelle von Facebook hat es Forschern ermöglicht, sich persönliche Daten von Nutzern zu verschaffen. Neben dem bekannten Microtargeting nach Kategorien wie Arbeiter, Mittelklasse oder Oberschicht steht Werbetreibenden auf der Plattform noch ein weiterer Weg zum gezielten Werben und Überzeugen zur Verfügung. Sie können Facebook Tabellen mit persönlichen Daten von Kunden, Sympathisanten oder Wählern zur Verfügung stellen. Die Plattform gleicht diese mit den Profilen von Nutzern ab und zeigt ihnen, der „Custom Audience“, dann Werbebanner an.

Die Forscher hatten die Schwachstelle bereits im Dezember beim Unternehmen gemeldet und dafür eine Belohnung von 5000 US-Dollar bekommen. Facebook schloss die Schwachstelle für den Upload von Kundendaten am 22. Dezember und erklärte, es gäbe keine Hinweise darauf, dass sie von Angreifern ausgenutzt wurde. Zur Schwachstelle schreibt Wired:

In einem Beispiel brachten die Forscher Facebook dazu, die Telefonnummern von 19 Freiwilligen aus Boston und Umgebung sowie Frankreich preiszugeben. Sie hatten den Forschern die mit ihrem Facebook-Account verbundenen E-Mail-Adressen gegeben. [Eigene Übersetzung]

Ende Februar trat ein Mitglied des Forschungsteams bei der PrivacyCon der US-amerikanischen Federal Trade Commission auf. Im zehnminütigen, sehenswerten Vortrag (Video, ab 01:02:30) beschrieb er ihren Angriff als eine Art Suchanfrage an die umfangreichen Datenbanken des „Datenhändlers des 21. Jahrhunderts“. Sie luden verschiedene Tabellen mit jeweils unterschiedlichen persönlichen Informationen hoch. Facebook errechnete die gesammelte Größe des Publikums. Durch die Überschneidungen konnten die Forscher dann schrittweise, durch weitere Anfragen mit modifizierten Tabellen, die Telefonnummern ermitteln. Dafür mussten sie nicht bezahlen, da sie nicht wirklich Werbung kauften.

 

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten.

Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

 

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten.

Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

Dann unterstütze uns hier mit einer Spende.

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.