Diesen Mai feierte Mark Zuckerberg seinen 35. Geburtstag. Wir gratulieren nachtr\u00e4glich! Leider schaffte es Zuckerberg nicht, diesen Meilenstein ohne Hindernisse zu erreichen. Stattdessen sieht er sich derzeit mit einer bundesstaatlichen Ermittlung konfrontiert, in der nach M\u00f6glichkeiten gesucht wird, ihn f\u00fcr die Fehlverwaltung privater Nutzerdaten zur Rechenschaft zu ziehen, w\u00e4hrend Facebook-bezogene Skandale weiterhin eifrig Schlagzeilen machen. In diesem Beitrag haben wir die zehn gr\u00f6\u00dften Fehler von Facebook f\u00fcr Sie zusammengefasst, bei denen es um Datenmissbrauch geht.<\/p>\n
Alles begann mit dem bekannten Cambridge-Analytica-Skandal. Im vergangenen Jahr 2018 haben wir alle mit 100%iger Sicherheit zum ersten Mal davon erfahren, dass die Daten und Meinungen, die wir \u00fcber Facebook teilen, ohne unsere Zustimmung von Dritten verwendet werden k\u00f6nnen. Die Datenernte von rund 50 Millionen Facebook-Nutzern durch Cambridge Analytica und die Verwendung dieser Daten f\u00fcr politische Werbezwecke haben vor gut einem Jahr die Welt ersch\u00fcttert; Doch das war nur der Anfang. In diesem Beitrag<\/a> erfahren Sie mehr zu diesem Thema.<\/p>\n Nur ein halbes Jahr sp\u00e4ter wurde Facebook von einem weiteren Skandal heimgesucht: Dieses Mal konnten Hijacker mehrere Schwachstellen in Facebook ausnutzen und die Zugriffstoken (die im Grunde genommen digitalen Schl\u00fcsseln entsprechen und daf\u00fcr sorgen, dass Nutzer auf der Plattform angemeldet bleiben) von Millionen Facebook-Nutzern entwenden.<\/p>\n Insgesamt konnten Token von 30 Millionen Nutzern gestohlen werden. Dabei waren die Kriminellen in 15 Millionen F\u00e4llen dazu in der Lage, die Namen und Kontaktdetails der Nutzer einzusehen; In 14 Millionen F\u00e4llen konnten die Angreifer einen Blick auf detailliertere Informationen und Nutzeraktivit\u00e4ten auf Facebook erhaschen; Nur die verbleibende Million blieb von dem Lupenblick der Hijacker verschont. Sp\u00e4testens zu diesem Zeitpunkt wurde allen Facebook-Nutzern bewusst, dass jegliche Konten in Massen gestohlen werden k\u00f6nnen, ohne dass der Inhaber selbst \u00fcberhaupt etwas falsch gemacht hat.<\/p>\n\n Der n\u00e4chste Vorfall involvierte gleich Hunderte von Millionen Facebook- und Instagram-Nutzer. Anfang 2019 machte uns Facebook darauf aufmerksam, dass die internen sicherheitsbezogenen Unternehmensprozesse alles andere als perfekt sind. Das Unternehmen gab zu, einen Teil der Passw\u00f6rter f\u00fcr Facebook- und Instagram-Konten im Klartext gespeichert<\/a> zu haben. Dabei bestand Facebook darauf, dass diese Passw\u00f6rter lediglich f\u00fcr Mitarbeiter sichtbar gewesen waren und dass niemand ihre Zugriffsberechtigungen missbraucht hatte.<\/p>\n Zu diesem Zeitpunkt konnte die genaue Anzahl der betroffenen Nutzer noch nicht preisgegeben werden. Zun\u00e4chst belief sich die Anzahl der betroffenen Nutzer laut Facebook auf Hunderte Millionen Facebook-Lite-Nutzer, mehrere zehn Millionen regul\u00e4re Facebook-Nutzer und Zehntausende Instagram-Nutzer. Einen Monat sp\u00e4ter gab das Unternehmen ein weiteres Statement zu dem Vorfall, in dem die Anzahl der betroffenen Instagram-Nutzer auf mehrere Millionen berichtigt wurde.<\/p>\n Tats\u00e4chlich war dies nicht das erste Mal, dass Instagram-Nutzer davon erfuhren, dass ihre Passw\u00f6rter f\u00fcr Au\u00dfenstehende zug\u00e4nglich gemacht worden waren. Einige Monate zuvor kam n\u00e4mlich heraus, dass Instagrams Feature \u201eDownload Your Data<\/em>\u201c eine Sicherheitsl\u00fccke<\/a> aufwies (die mittlerweile gepatcht wurde), durch die Instagram-Passw\u00f6rter versehentlich offenbart werden konnten. Bei der Eingabe der Anmeldeinformationen zur Nutzung des Features, wurde das Passwort des jeweiligen Nutzers in einer URL im Webbrowser eingef\u00fcgt und dann \u2013 erneut \u2013 im Klartext auf den Servern von Facebook gespeichert.<\/p>\n Facebook sammelte die E-Mail-Kontakte von 1,5 Millionen Nutzern ohne deren Zustimmung. Tats\u00e4chlich ist das Ganze allerdings noch ein wenig komplizierter. Folgendes ist passiert: Facebook bat<\/a> eine Teilgruppe neuer Nutzer darum, durch die Bereitstellung der Passw\u00f6rter ihrer E-Mail-Konten ihre Identit\u00e4t zu best\u00e4tigen. Als diese News die Runde machten, gingen viele aus gegebenem Anlass davon es, dass dies nur ein Aprilscherz sei. Leider handelte es sich hierbei nicht, wie zuvor angenommen, um einen schlechten Scherz und viele Nutzer gaben ihre Passw\u00f6rter tats\u00e4chlich preis.<\/p>\n Facebook bestand<\/a> in seiner Stellungnahme darauf, nicht auf die E-Mail-Inhalte der Nutzer zugegriffen, sondern lediglich \u2013 und selbstverst\u00e4ndlich ungewollt \u2013 die E-Mail-Kontakte der Betroffenen gesammelt zu haben. Insgesamt wurden die Adressb\u00fccher von 1,5 Millionen Nutzern abgeerntet, doch angesichts der Tatsache, dass die Kontaktlisten vieler Nutzer aus Hunderten von Kontakten bestehen k\u00f6nnen, kann die endg\u00fcltige Anzahl der Personen, deren Kontaktdetails auf diese Weise erhalten wurden, durchaus im zweistelligen Millionenbereich liegen. Das Unternehmen gab an, die Daten zum verbesserten Ad-Targeting, dem Aufbau des Facebook-Netzwerks und der Empfehlung neuer Freunde f\u00fcr Benutzer verwendet zu haben.<\/p>\n Selbstverst\u00e4ndlich m\u00f6chten wir unsere Konten so gut es geht sch\u00fctzen und die Zwei-Faktor-Authentifizierung scheint die ideale M\u00f6glichkeit zu sein. Doch auch hier k\u00f6nnen potenzielle Probleme auftreten. So wird beispielsweise die Telefonnummer, die Sie beim Aktivieren der 2FA f\u00fcr Ihr Facebook-Konto angeben, automatisch mit Ihrem Profil verkn\u00fcpft. Auf diese Weise kann jeder, v\u00f6llig unabh\u00e4ngig davon, ob er\/sie selbst ein Konto besitzt, anhand dieser Telefonnummer nach Ihrem Nutzerprofil suchen<\/a>. Dar\u00fcber hinaus k\u00f6nnte Facebook die verkn\u00fcpfte Handynummer dazu verwenden, Nutzern spezifische Werbung<\/a> zukommen zu lassen.<\/p>\n Wie wir bereits zuvor erw\u00e4hnt haben, gew\u00e4hrten sowohl Facebook als auch Instagram Werbetreibenden Zugriff auf Kontaktinformationen<\/a>, die die Nutzer noch nicht einmal auf Facebook selbst gespeichert hatten. Mit anderen Worten: Werbetreibende haben (und tun es wahrscheinlich immer noch) Nutzer also nicht nur aufgrund ihrer angegebenen E-Mail-Adressen und Telefonnummern, sondern auch basierend auf anderen Daten gezielt mit Werbeanzeigen bel\u00e4stigt.<\/p>\n Zu diesen Daten kann beispielsweise die Telefonnummer, die Sie f\u00fcr 2FA-Zwecke angegeben haben, oder auch die Junk-E-Mail-Adresse, die Sie f\u00fcr Rabatte oder heimliche Online-Eink\u00e4ufe nutzen, geh\u00f6ren. Auch wenn einer Ihrer Kontakte seine<\/em> Kontakte mit Facebook teilt (\u201esynchronisiert\u201c) oder sein Adressbuch bei Facebook hochl\u00e4dt, um \u201eFreunde zu finden\u201c, und diese Kontaktliste enth\u00e4lt Ihre Telefonnummer, k\u00f6nnen Werbetreibende Sie unter Verwendung dieser Telefonnummer mit Anzeigen bombardieren.<\/p>\n Wie durchgesickerte interne Dokumente zeigten, nutzte Facebook Nutzerdaten<\/a>, um Partnerunternehmen zu unterst\u00fctzen \u2013 selbstverst\u00e4ndlich nicht, ohne dabei selbst Vorteile zu erzielen. So konnte beispielsweise das Unternehmen Amazon.com, das betr\u00e4chtliche Summen in Facebook-Ads investierte, auf exklusive Nutzernamen und -E-Mail-Adressen zugreifen<\/a> (ebenso wie Sony, Microsoft und viele andere).<\/p>\n Die Suchmaschine Bing von Microsoft durfte beispielsweise die Namen praktisch all unserer Facebook-Freunde ohne unsere (oder deren) Zustimmung einsehen. Netflix, Spotify und die Royal Bank of Canada<\/em> erhielten sogar die Berechtigung, private Nachrichten zu lesen, zu schreiben und zu l\u00f6schen und alle Teilnehmer eines Threads anzuzeigen. Apple-Ger\u00e4te hatten Zugriff auf die Kontaktnummern und Kalendereintr\u00e4ge, selbst von Personen mit eingeschr\u00e4nkten Account-Einstellungen.<\/p>\n Ein (mittlerweile gepatchter<\/a>) Fehler auf Facebooks digitalem Marketplace enth\u00fcllte die exakten Standorte der Verk\u00e4ufer (genaue L\u00e4ngen- und Breitengradkoordinaten) und ihrer Waren. Um den Standort anzuzeigen, war nicht einmal ein Facebook-Konto erforderlich, was einige Forscher dazu veranlasste, den Dienst als \u201eEinkaufsliste f\u00fcr Diebe\u201c zu bezeichnen. Dies bereitete insbesondere denjenigen Sorgen, die teure Fahrr\u00e4der verkauften, da diese bei Kriminellen besonders beliebt sind und Marketplace den Standort der wertvollen Drahtesel ohne Weiteres offenbarte.<\/p>\n Im \u00f6ffentlichen Netz wurden zwei Datenbanken mit im Klartext gespeicherten Informationen\/Daten von Facebook-Nutzern gefunden<\/a>, die so gut wie jeder nach Lust und Laune einsehen und herunterladen konnte. Einer dieser Datens\u00e4tze stammte von einer Facebook-Spiele-App namens \u201eAt the Pool\u201c, die bereits seit langer Zeit nicht mehr verwendet wird. Der zweite Datensatz, mit mehr als 540 Millionen Eintr\u00e4gen, war im Besitz von Cultura Colectiva, einem mexikanischen Medienunternehmen, das in ganz Lateinamerika t\u00e4tig ist. Beide Datenbanken enthielten die Namen und E-Mail-Adressen der Nutzer sowie ihre Freundeslisten, Vorlieben, Kommentare und jegliche Details, die bei der Analyse von Vorlieben und Interessen hilfreich sind.<\/p>\n Obwohl es sich hierbei nicht um ausdr\u00fccklich sensible Informationen handelte und Facebook selbst nichts mit der Offenlegung zu tun hatte, stellte dieser Vorfall erneut die Art und Weise infrage, auf die Facebook Nutzerdaten mit Drittparteien teilt.<\/p>\n\n2. Facebooks Tokendiebstahl <\/strong><\/h2>\n
3. Facebook- und Instagram-Passw\u00f6rter ver\u00f6ffentlicht<\/strong><\/h2>\n
4. Instagram-Passw\u00f6rter erneut ver\u00f6ffentlicht<\/strong><\/h2>\n
5. Facebook verlangt E-Mail-Passw\u00f6rter und sammelt Kontakte<\/strong><\/h2>\n
6. 2FA mit Facebook \u2013 ein Tool f\u00fcr Werbetreibende<\/strong><\/h2>\n
7. Facebook ist schuld daran, dass Ihre Kontakte von Werbetreibenden bel\u00e4stigt werden<\/strong><\/h2>\n
8. Facebook teilt Daten mit Werbetreibenden<\/strong><\/h2>\n
9. Facebook Marketplace offenbart exakten Standort der Verk\u00e4ufer<\/h2>\n
10. Nutzerdaten von Drittparteien ver\u00f6ffentlicht<\/strong><\/h2>\n