Internet- / Tec-Blog

Trends und interessante Nachrichten online

Datenleck: Facebook nutzte mehr Telefonnummern als bekannt

Die Handynummer genügt – und schon kann man bei Facebook den dazugehörigen Namen und das komplette Profil abrufen. Der US-Konzern gibt Fehler bei der sogenannten Rückwärtssuche zu und verspricht Besserung. Allerdings dürften nicht alle Nutzer von der Neuregelung profitieren.

Hamburg – Facebook ermuntert Kunden seit langem, dem Unternehmen ihre Mobilfunknummer zu verraten. So kann man zusätzliche Sicherheitsfunktionen nutzen, zum Beispiel die sogenannte Zwei-Faktoren-Authentifizierung. Dabei wird eine SMS mit einem speziellen Code ans eigene Mobiltelefon geschickt, wenn man sich an einem bislang nicht genutzten Gerät bei Facebook anmeldet. Diesen Code muss man dann zusätzlich zum Passwort eingeben, um sich anmelden zu können. Profilklau soll auf diese Weise erschwert werden.

Doch diese Telefonnummern nutzt Facebook bislang aber auch für ganz andere Zwecke. Allein mit der Telefonnummer oder E-Mail-Adresse eines Facebook-Mitglieds kann jedermann dort zusätzliche Informationen recherchieren. Standardmäßig sind das: der volle Name, Geschlecht, Profilbild, Profilkennung und Netzwerke (zum Beispiel Schulen, Universitäten oder ehemalige Arbeitgeber) des Mitglieds mit dieser Telefonnummer. Fürs Telefonmarketing dürften solche Details ein guter Rohstoff zur Profilbildung sein.

Dass die für Sicherheitsfunktionen gesammelten Nummern auch zur Rückwärtssuche freigegeben wurden, hat Facebook jetzt eingeräumt. Eine Sprecherin des Unternehmens bestätigt, dass man diese Nutzung der Nummern inzwischen unterbunden habe. Derzeit werde ein Verfahren entwickelt, bei dem Facebook-Mitglieder auswählen können, ob ihre für Sicherheitsfunktionen gespeicherten Telefonnummern auch zur Rückwärtssuche genutzt werden dürfen. Details dazu, wie dieses Verfahren aussehen wird, nannte Facebook nicht.

Bislang hat Facebook standardmäßig alle Nummern und E-Mail-Adressen für die Telefonnummer-Rückwärtssuche durch jedermann freigegeben. Ein Facebook-Sprecher verteidigt diese laxe Standardeinstellung: “Das ist so beabsichtigt, das ist kein Fehler.” Man könne diese Einstellung ja jederzeit ändern (wie das geht, zeigt unsere Fotostrecke).

Der Hamburgische Beauftragte für Datenschutz Johannes Caspar kritisiert das Vorgehen der Firma. Die Nutzer würden nicht informiert, ihnen würde durch die Standardvorgaben keine echte Wahl ermöglicht: “Facebook unterstellt, dass die Beibehaltung der Standardeinstellungen für die Privatsphäre durch die Nutzer als positive Zustimmung für eine weitergehende Datenverarbeitung durch das Netzwerk zu werten ist.” Schon bei der Einführung der automatisierten Gesichtserkennung sei das der Fall gewesen. Facebook hatte im September die zuvor standardmäßig aktivierte Gesichtserkennung in der EU abgeschaltet, nachdem Datenschützer rechtliche Schritte eingeleitet hatten.

Zehntausend Datensätze in einem Durchlauf abrufbar

Und nun die Sache mit den Telefonnummern. Ein Entwickler hatte enthüllt, dass bei Facebook massenhafte Abrufe zufällig generierter Handynummern möglich waren. Der unter dem Namen Suriya Prakash auftretende Autor hat eigenen Angaben zufolge zehntausend Datensätze in einem Anlauf abgefragt, sein Skript probierte Zufallsnummern durch. Wenn Facebook zu einer dieser Nummern ein Profil ausgab, speicherte das Programm den bei Facebook gespeicherten Namen zu der Nummer.

Prakash erstellte eigenen Angaben zufolge mit diesem simplen Werkzeug eine Liste von 850 Namen mit entsprechenden Telefonnummern. Facebook hat dieser Darstellung nicht widersprochen, das Unternehmen versprach neue Sicherheitsmechanismen.

Kein Hinweis in den Datenschutz-Informationen

Facebook weist die Nutzer nicht darauf hin, dass es ratsam ist, die Rückwärtssuche einzuschränken. Es erfolgt kein Hinweis auf diese Suchfunktion, wenn man die Zwei-Faktor-Authentifikation aktiviert oder eine Nummer für die Passwortbenachrichtigung angibt.

In den Datenschutzhinweisen verschweigt Facebook zudem, dass die für Sicherheitsfunktionen angegebenen Telefonnummern für die Rückwärtssuche freigeschaltet sind. Der Text suggeriert, es seien lediglich im Profil eingegebene Kontaktinformationen betroffen: “Wenn du deine Telefonnummer in deinem ‘Info’-Bereich angegeben hast, kann man dich in der Suche darüber finden.”

Der irische Datenschutzbeauftragte (Facebooks Europa-Zentrale befindet sich in Dublin) prüft den Fall, man sei in “Gesprächen mit Facebook”, teilte eine Sprecherin mit.

Erstmalig veröffentlicht auf: http://www.spiegel.de

,