Die zehn größten Facebook-Fails

10 Fehler, die sowohl die Sicherheit als auch die Privatsphäre von Facebook-Nutzern gefährdet haben.

Diesen Mai feierte Mark Zuckerberg seinen 35. Geburtstag. Wir gratulieren nachträglich! Leider schaffte es Zuckerberg nicht, diesen Meilenstein ohne Hindernisse zu erreichen. Stattdessen sieht er sich derzeit mit einer bundesstaatlichen Ermittlung konfrontiert, in der nach Möglichkeiten gesucht wird, ihn für die Fehlverwaltung privater Nutzerdaten zur Rechenschaft zu ziehen, während Facebook-bezogene Skandale weiterhin eifrig Schlagzeilen machen. In diesem Beitrag haben wir die zehn größten Fehler von Facebook für Sie zusammengefasst, bei denen es um Datenmissbrauch geht.

1. Cambridge Analytica: Wie alles begann

Alles begann mit dem bekannten Cambridge-Analytica-Skandal. Im vergangenen Jahr 2018 haben wir alle mit 100%iger Sicherheit zum ersten Mal davon erfahren, dass die Daten und Meinungen, die wir über Facebook teilen, ohne unsere Zustimmung von Dritten verwendet werden können. Die Datenernte von rund 50 Millionen Facebook-Nutzern durch Cambridge Analytica und die Verwendung dieser Daten für politische Werbezwecke haben vor gut einem Jahr die Welt erschüttert; Doch das war nur der Anfang. In diesem Beitrag erfahren Sie mehr zu diesem Thema.

2. Facebooks Tokendiebstahl

Nur ein halbes Jahr später wurde Facebook von einem weiteren Skandal heimgesucht: Dieses Mal konnten Hijacker mehrere Schwachstellen in Facebook ausnutzen und die Zugriffstoken (die im Grunde genommen digitalen Schlüsseln entsprechen und dafür sorgen, dass Nutzer auf der Plattform angemeldet bleiben) von Millionen Facebook-Nutzern entwenden.

Insgesamt konnten Token von 30 Millionen Nutzern gestohlen werden. Dabei waren die Kriminellen in 15 Millionen Fällen dazu in der Lage, die Namen und Kontaktdetails der Nutzer einzusehen; In 14 Millionen Fällen konnten die Angreifer einen Blick auf detailliertere Informationen und Nutzeraktivitäten auf Facebook erhaschen; Nur die verbleibende Million blieb von dem Lupenblick der Hijacker verschont. Spätestens zu diesem Zeitpunkt wurde allen Facebook-Nutzern bewusst, dass jegliche Konten in Massen gestohlen werden können, ohne dass der Inhaber selbst überhaupt etwas falsch gemacht hat.

3. Facebook- und Instagram-Passwörter veröffentlicht

Der nächste Vorfall involvierte gleich Hunderte von Millionen Facebook- und Instagram-Nutzer. Anfang 2019 machte uns Facebook darauf aufmerksam, dass die internen sicherheitsbezogenen Unternehmensprozesse alles andere als perfekt sind. Das Unternehmen gab zu, einen Teil der Passwörter für Facebook- und Instagram-Konten im Klartext gespeichert zu haben. Dabei bestand Facebook darauf, dass diese Passwörter lediglich für Mitarbeiter sichtbar gewesen waren und dass niemand ihre Zugriffsberechtigungen missbraucht hatte.

Zu diesem Zeitpunkt konnte die genaue Anzahl der betroffenen Nutzer noch nicht preisgegeben werden. Zunächst belief sich die Anzahl der betroffenen Nutzer laut Facebook auf Hunderte Millionen Facebook-Lite-Nutzer, mehrere zehn Millionen reguläre Facebook-Nutzer und Zehntausende Instagram-Nutzer. Einen Monat später gab das Unternehmen ein weiteres Statement zu dem Vorfall, in dem die Anzahl der betroffenen Instagram-Nutzer auf mehrere Millionen berichtigt wurde.

4. Instagram-Passwörter erneut veröffentlicht

Tatsächlich war dies nicht das erste Mal, dass Instagram-Nutzer davon erfuhren, dass ihre Passwörter für Außenstehende zugänglich gemacht worden waren. Einige Monate zuvor kam nämlich heraus, dass Instagrams Feature „Download Your Data“ eine Sicherheitslücke aufwies (die mittlerweile gepatcht wurde), durch die Instagram-Passwörter versehentlich offenbart werden konnten. Bei der Eingabe der Anmeldeinformationen zur Nutzung des Features, wurde das Passwort des jeweiligen Nutzers in einer URL im Webbrowser eingefügt und dann – erneut – im Klartext auf den Servern von Facebook gespeichert.

5. Facebook verlangt E-Mail-Passwörter und sammelt Kontakte

Facebook sammelte die E-Mail-Kontakte von 1,5 Millionen Nutzern ohne deren Zustimmung. Tatsächlich ist das Ganze allerdings noch ein wenig komplizierter. Folgendes ist passiert: Facebook bat eine Teilgruppe neuer Nutzer darum, durch die Bereitstellung der Passwörter ihrer E-Mail-Konten ihre Identität zu bestätigen. Als diese News die Runde machten, gingen viele aus gegebenem Anlass davon es, dass dies nur ein Aprilscherz sei. Leider handelte es sich hierbei nicht, wie zuvor angenommen, um einen schlechten Scherz und viele Nutzer gaben ihre Passwörter tatsächlich preis.

Facebook bestand in seiner Stellungnahme darauf, nicht auf die E-Mail-Inhalte der Nutzer zugegriffen, sondern lediglich – und selbstverständlich ungewollt – die E-Mail-Kontakte der Betroffenen gesammelt zu haben. Insgesamt wurden die Adressbücher von 1,5 Millionen Nutzern abgeerntet, doch angesichts der Tatsache, dass die Kontaktlisten vieler Nutzer aus Hunderten von Kontakten bestehen können, kann die endgültige Anzahl der Personen, deren Kontaktdetails auf diese Weise erhalten wurden, durchaus im zweistelligen Millionenbereich liegen. Das Unternehmen gab an, die Daten zum verbesserten Ad-Targeting, dem Aufbau des Facebook-Netzwerks und der Empfehlung neuer Freunde für Benutzer verwendet zu haben.

6. 2FA mit Facebook – ein Tool für Werbetreibende

Selbstverständlich möchten wir unsere Konten so gut es geht schützen und die Zwei-Faktor-Authentifizierung scheint die ideale Möglichkeit zu sein. Doch auch hier können potenzielle Probleme auftreten. So wird beispielsweise die Telefonnummer, die Sie beim Aktivieren der 2FA für Ihr Facebook-Konto angeben, automatisch mit Ihrem Profil verknüpft. Auf diese Weise kann jeder, völlig unabhängig davon, ob er/sie selbst ein Konto besitzt, anhand dieser Telefonnummer nach Ihrem Nutzerprofil suchen. Darüber hinaus könnte Facebook die verknüpfte Handynummer dazu verwenden, Nutzern spezifische Werbung zukommen zu lassen.

7. Facebook ist schuld daran, dass Ihre Kontakte von Werbetreibenden belästigt werden

Wie wir bereits zuvor erwähnt haben, gewährten sowohl Facebook als auch Instagram Werbetreibenden Zugriff auf Kontaktinformationen, die die Nutzer noch nicht einmal auf Facebook selbst gespeichert hatten. Mit anderen Worten: Werbetreibende haben (und tun es wahrscheinlich immer noch) Nutzer also nicht nur aufgrund ihrer angegebenen E-Mail-Adressen und Telefonnummern, sondern auch basierend auf anderen Daten gezielt mit Werbeanzeigen belästigt.

Zu diesen Daten kann beispielsweise die Telefonnummer, die Sie für 2FA-Zwecke angegeben haben, oder auch die Junk-E-Mail-Adresse, die Sie für Rabatte oder heimliche Online-Einkäufe nutzen, gehören. Auch wenn einer Ihrer Kontakte seine Kontakte mit Facebook teilt („synchronisiert“) oder sein Adressbuch bei Facebook hochlädt, um „Freunde zu finden“, und diese Kontaktliste enthält Ihre Telefonnummer, können Werbetreibende Sie unter Verwendung dieser Telefonnummer mit Anzeigen bombardieren.

8. Facebook teilt Daten mit Werbetreibenden

Wie durchgesickerte interne Dokumente zeigten, nutzte Facebook Nutzerdaten, um Partnerunternehmen zu unterstützen – selbstverständlich nicht, ohne dabei selbst Vorteile zu erzielen. So konnte beispielsweise das Unternehmen Amazon.com, das beträchtliche Summen in Facebook-Ads investierte, auf exklusive Nutzernamen und -E-Mail-Adressen zugreifen (ebenso wie Sony, Microsoft und viele andere).

Die Suchmaschine Bing von Microsoft durfte beispielsweise die Namen praktisch all unserer Facebook-Freunde ohne unsere (oder deren) Zustimmung einsehen. Netflix, Spotify und die Royal Bank of Canada erhielten sogar die Berechtigung, private Nachrichten zu lesen, zu schreiben und zu löschen und alle Teilnehmer eines Threads anzuzeigen. Apple-Geräte hatten Zugriff auf die Kontaktnummern und Kalendereinträge, selbst von Personen mit eingeschränkten Account-Einstellungen.

9. Facebook Marketplace offenbart exakten Standort der Verkäufer

Ein (mittlerweile gepatchter) Fehler auf Facebooks digitalem Marketplace enthüllte die exakten Standorte der Verkäufer (genaue Längen- und Breitengradkoordinaten) und ihrer Waren. Um den Standort anzuzeigen, war nicht einmal ein Facebook-Konto erforderlich, was einige Forscher dazu veranlasste, den Dienst als „Einkaufsliste für Diebe“ zu bezeichnen. Dies bereitete insbesondere denjenigen Sorgen, die teure Fahrräder verkauften, da diese bei Kriminellen besonders beliebt sind und Marketplace den Standort der wertvollen Drahtesel ohne Weiteres offenbarte.

10. Nutzerdaten von Drittparteien veröffentlicht

Im öffentlichen Netz wurden zwei Datenbanken mit im Klartext gespeicherten Informationen/Daten von Facebook-Nutzern gefunden, die so gut wie jeder nach Lust und Laune einsehen und herunterladen konnte. Einer dieser Datensätze stammte von einer Facebook-Spiele-App namens „At the Pool“, die bereits seit langer Zeit nicht mehr verwendet wird. Der zweite Datensatz, mit mehr als 540 Millionen Einträgen, war im Besitz von Cultura Colectiva, einem mexikanischen Medienunternehmen, das in ganz Lateinamerika tätig ist. Beide Datenbanken enthielten die Namen und E-Mail-Adressen der Nutzer sowie ihre Freundeslisten, Vorlieben, Kommentare und jegliche Details, die bei der Analyse von Vorlieben und Interessen hilfreich sind.

Obwohl es sich hierbei nicht um ausdrücklich sensible Informationen handelte und Facebook selbst nichts mit der Offenlegung zu tun hatte, stellte dieser Vorfall erneut die Art und Weise infrage, auf die Facebook Nutzerdaten mit Drittparteien teilt.

Wenn Sie nach diesem Artikel die Nase voll von Facebooks Spielereien haben, erklären wir Ihnen in diesem Blog-Beitrag, wie Sie Ihren Account löschen können. Selbstverständlich liegt diese Entscheidung ganz bei Ihnen.

Tipps

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.