Samstag, 22. Juni 2013

Facebook: Versehentlich Telefonnummern verraten


Hamburg - Durch eine Panne sind private Informationen von rund sechs Millionen Facebook-Nutzern unbefugt weitergegeben worden. Eine Facebook-Sprecherin sagte SPIEGEL ONLINE, die Sicherheitslücke sei mittlerweile geschlossen worden. Sie fügte hinzu: "Wir haben die Aufsichtsbehörden in den USA, Kanada und Europa informiert. Wir sind dabei, die betroffenen Nutzer per E-Mail zu informieren."


Die Datenpanne verriet einem Blog-Eintrag auf der Facebook-Security-Seitezufolge bei den Betroffenen "zusätzliche E-Mail-Adressen oder Telefonnummern für ihre Kontakte oder Leute, mit denen sie anderweitig in Verbindung stehen". Die Panne soll "weit unter einem Prozent" der weltweiten Facebook-Nutzerschaft betreffen, so die Sprecherin. Die absolute Zahl liegt aber im Bereich von etwa sechs Millionen.Private Informationen bekamen durch den Fehler nur Nutzer, die ihr Adressbuch - etwa vom Handy - zu Facebook hochgeladen hatten. Wenn sie dann außerdem das Werkzeug "Lade eine Kopie deiner Facebook-Daten herunter" benutzten, enthielt der so heruntergeladene Datensatz in einigen Fällen Kontakt-Informationen, auf die der Nutzer eigentlich gar nicht zugreifen durfte.


Gewaltige, aber fehleranfällige Datenbank

Ein Beispiel: Nutzer X hat von Nutzer Y nur die E-Mail-Adresse. Weil er sein Adressebuch zu Facebook hochgeladen hat, weiß Facebook das auch. Nun lädt Nutzer X seinen Datensatz von Facebook herunter. Der enthält nun nicht nur die E-Mail-Adresse von Y - sondern auch dessen Telefonnummer oder weitere E-Mail-Adressen. Diese zusätzlichen Kontaktinformationen stammten von anderen Facebook-Nutzern, die in ihren eigenen Adressbüchern mehr oder andere Kontaktdaten von Nutzer Y gespeichert hatten.
Zustande gekommen sei der Software-Fehler im Zusammenhang mit einem System, das Freundschaftsempfehlungen generiert, teilte Facebook mit. Das Problem sei dem Unternehmen von einem externen Software-Fachmann im Rahmen des "White Hat Program" mitgeteilt worden. Daraufhin habe man das Werkzeug zum Informationsdownload zunächst sofort abgeschaltet und anschließend den Fehler behoben.


Facebook gibt an, die meisten Telefonnummern und E-Mail-Adressen seien auf diese Weise nur an jeweils eine Person weitergegeben worden. Es gebe keine Anzeichen dafür, dass der Fehler aktiv ausgenutzt worden sei. Man habe keine Auffälligkeiten feststellen können."Die praktischen Auswirkungen" des Vorfalls seien vermutlich "minimal", findet Facebook, denn die Betroffenen hätten ja nur Informationen über Menschen bekommen, mit denen sie ohnehin bereits im Kontakt standen. Dennoch zeigt der Fall zwei Dinge:

  • Facebook führt die Daten aus den hochgeladenen Adressbüchern seiner Nutzer im Hintergrund zu einer großen Adressdatenbank zusammen - vermutlich einer der größten, die die Welt je gesehen hat. Facebook hat nach eigenen Angaben derzeit über 1,1 Milliarden monatlich aktive Nutzer.
  • Diese Datenbank ist fehleranfällig.
Man sei "bestürzt und beschämt", heißt es im Security-Blog-Eintrag, und werde alles tun, "um sicherzustellen, dass etwas Derartiges nie mehr geschieht".