Bis zu 6,8 Millionen Betroffene Dritt-Apps konnten auf nie veröffentlichte Facebook-Bilder zugreifen

Facebook meldet erneut eine Datenpanne mit potenziell Millionen Betroffenen: Externe Apps, die auf Fotos im Facebook-Account zugreifen durften, hatten zeitweise viel zu weit gehende Rechte.

Facebook-Logo auf Smartphone
DPA

Facebook-Logo auf Smartphone


Manchmal ist es sinnvoll, Drittanbieter-Apps auf die eigenen Facebook-Fotos zugreifen zu lassen: etwa, weil man seine dort hochgeladenen Motive ohnehin auf mehreren Plattformen präsentieren will. Oder weil man für eine Dating-Plattform schnell mal ein Bild braucht, auf dem man noch jünger aussieht. Eine neue Meldung von Facebook jedoch dürfte Nutzer mit Blick auf die Zukunft eher davon abschrecken, einer Dritt-App solch einen Zugriff zu erlauben.

Üblicherweise nämlich bekommen externe Programme nur jene Facebook-Fotos freigegeben, die Nutzer in ihre Chronik gepostet haben. Zwischen dem 13. September und dem 25. September 2018 jedoch war das anders: Facebook zufolge sorgte ein mittlerweile beseitigter technischer Fehler dafür, dass Apps potenziell auch auf für andere Zwecke eingesetzte oder gespeicherte Facebook-Fotos Zugriff hatten. So sollen beispielsweise Bilder abrufbar gewesen sein, die eigentlich nur für Facebook-Dienste wie Marketplace und Facebook Storys gedacht waren.

Noch pikanter: Die Zugriffsrechte erstreckten sich laut Facebook sogar auf Bilder, die jemand hochgeladen, aber letztlich doch nicht gepostet hat. "Wenn zum Beispiel jemand ein Foto auf Facebook hochlädt, aber die Veröffentlichung noch nicht zu Ende gebracht hat - vielleicht weil er den Empfang verloren hat oder in ein Meeting gegangen ist - speichern wir eine Kopie dieses Fotos", schreibt Facebook dazu, "damit die Person es hat, wenn sie die App wieder aufmacht, um ihren Beitrag abzuschließen."

Es gibt auch verfänglichere Beispiele

Das Beispiel ist natürlich mit Absicht unverfänglich gewählt. Praktisch dürfte nach dieser Logik zum Beispiel auch der Zugriff auf erotische Aufnahmen möglich gewesen sein, die letztlich doch nicht gepostet wurden. Oder auf Bilder, bei denen man erst beim zweiten Blick zu dem Schluss kam, dass man darauf so unvorteilhaft aussieht, dass man sie doch lieber nicht verwendet.

Von der Panne betroffen sein könnten nach Facebooks erster öffentlicher Schätzung bis zu 6,8 Millionen Nutzer. Zu weit gehenden Zugriff auf Bilder könnten demnach bis zu 1500 Apps von 876 Anbietern gehabt haben. Alle Apps, die dieser Bug betreffen könne, seien solche, denen Facebook den Zugriff auf seine Foto-Schnittstelle gewährt habe, stellt das Unternehmen noch klar. Zudem hätten in den jeweiligen Fällen grundsätzlich immer auch die Nutzer selbst den Apps den Zugriff auf die Daten erlaubt.

Das bedeutet im Umkehrschluss: Wenn Sie sich bei keinem Drittdienst mit ihrem Facebook-Login angemeldet haben und diesem dann erlaubt haben, ihre Bilder zu verwenden, betrifft Sie dieses Problem nicht.

Die nächste Panne

"Es tut uns leid, dass das passiert ist", schreibt Facebook in seinem Blogpost. Für das Unternehmen ist es bereits die zweite Panne, die zeitlich in den September 2018 fällt. Ende des Monats hatte das Unternehmen Millionen Nutzer über einen "Angriff auf unser System" informiert. Später stellte sich heraus, dass von dem Datenleck 30 Millionen Profile betroffen waren. Ob es einen Zusammenhang zwischen beiden Vorfällen gibt, geht aus Facebooks jetziger Stellungnahme nicht hervor.

Zu seinem weiteren Vorgehen schreibt das Unternehmen, dass es Anfang nächster Woche den externen App-Entwicklern Werkzeuge zur Verfügung stellen will, mit denen diese feststellen können, welche ihrer Nutzer betroffen sein könnten. "Wir werden mit diesen Entwicklern zusammenarbeiten, um die Fotos der betroffenen Nutzer zu löschen", verspricht Facebook noch.

Nutzer, denen möglicherweise Bilder abhandenkamen, will das Unternehmen auch noch persönlich informieren. Eine Benachrichtigung direkt auf Facebook werde die Nutzer in den Hilfebereich des Netzwerks führen, heißt es - dort werde man feststellen können, ob man eine der betroffenen Apps benutzt hat (die entsprechende Hilfeseite lässt sich über diesen Link auch proaktiv ansteuern). "Wir empfehlen Nutzern außerdem, sich in alle Apps, mit denen sie Facebook-Fotos geteilt haben, einzuloggen, um nachzuschauen, auf welche Fotos sie Zugriff haben", teilt Facebook noch mit.

mbö



insgesamt 11 Beiträge
Alle Kommentare öffnen
Seite 1
mbermann 14.12.2018
1. Wieder & wieder & wieder ...
... ein "Bug" ... und Mark Zuckerberg wird sich wieder entschuldigen ... und wieder wird er sagen "we will do better" ... und wieder werden netten Anzeigen geschaltet, die suggerieren sollen, dass man als FB-Nutzer doch die Kontrolle hat. Nö. Hat man nicht. Ganz ehrlich - Facebook ist eine "fucked up company". Man kann es einfach nicht mehr anders sagen.
GoaSkin 14.12.2018
2. man muss sich auch nicht für jeden Mist Apps installieren
Statt mit dem Browser eine Webseite aufzurufen, müllen die Leute als lieber ihr Smartphone mit Apps zu, die im Endeffekt auch nur Webinhalte ausgeben - und dies meist um Dinge zu tun, die auch über die Webseite des Anbieters möglich sind.
chewbakka 14.12.2018
3.
Langsam beginne ich FB zu mögen. Nachdem alle Informationen über diesen Datenräuber ja nix gefruchtet haben, geht FB das Thema Awareness jetzt endlich professionell an - Datenlecks über Datenlecks - weiter so, bis auch der letzte begriffen hat, daß FB eben kein Sozialverein ist und seinen FB Acc in die Tonne tritt.
gutmichl 14.12.2018
4. ist die Analysesoftware auch so buggy ?
Immer wieder scheint der Datenschutz durch Bugs durchlöchert. Wenn das die Softwarequalität von Facebook ist, wie steht es dann mit den teuer verkauften Profilen und Analysen über die "Nutzer" ? Sind die auch so buggy und damit wertlos ?
ctrader62 14.12.2018
5. DSGVO und doch passiert sowas, ungestraft ?
Ich bin sehr geschädigt von der DSGVO, als Datenschutzbeauftragter in einer Firma weiß ich, dass sie in der Realität nicht eingehalten werden kann, wenn man sie ernst nimmt. Sie lädt den kleinen Firmen einen unglaublichen bürokratischen Wust auf und die Großen scheinen ungeniert agieren zu können. Die sonst so lautstarken Datenschutzbeauftragten, die mit vermeintlich guten Motiven vielen technischen Fortschritt verhindern, sind hier nicht zu hören. Die Kleinen hängt man, die Großen lässt man laufen ? Marriott mit einem absoluten Daten-Super-Gau - Schweigen ! Aber wehe, in einer Datenschutzerklärung fehlt ein kleiner Absatz, dann hetzen einen die Abmahnvereine und -anwälte. Da wollte man doch etwas tun, im Juni in Berlin - das Stichwort ist wollen, Können gibt es faktisch nicht mehr. Wetten, dass es keinerlei Konsequenzen gibt ? Keine Steuern zahlen, Regeln massenhaft nicht beachten - das charakterisiert Firmen wie Facebook. Und wer hofiert diese Firmen mit horrenden Steuererleichterungen und Subventionen ? Die Verwalter der Steuergelder, welche die kleinen Firmen mühsam erwirtschaften.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.