Sicherheitslücke: Facebook ließ Werbekunden Telefonnummern von Nutzern sehen

Werbekunden von Facebook konnten auf die Telefonnummern von Nutzern zugreifen, berichten Forscher. Schuld war eine Schwachstelle beim Marketing-Tool der Plattform - der Konzern hat bereits reagiert.

Facebook-Logo

Foto: Toby Melville/ REUTERS

Facebook hat die Telefonnummern von Nutzern nicht gut genug gegenüber Werbetreibenden auf der Plattform gesichert. Werbekunden konnten so theoretisch die privaten Informationen zeitweise einsehen, haben Forscher aus Deutschland, den USA und Frankreich herausgefunden (Forschungsbericht auf Englisch hier als pdf ). Das berichtete zuerst die "Wired". 

Wer ein Konto bei Facebook hat, gibt dort oft nicht nur seine E-Mail-Adresse an, sondern auch seine Handynummer. Diese Information kann das eigene Konto eigentlich sicherer machen: Zusätzlich zum Passwort kann so beim Einloggen ein zweites Sicherheitsmerkmal abgefragt werden, per SMS aufs Handy gesandt. Zwei-Faktor-Authentifizierung heißt dieses Prinzip. Es gilt trotz der nun publik gewordenen Lücke weiter als empfehlenswert.

Lücke in Facebooks Marketing-Werkzeug

Obwohl Facebook bestimmte Nutzerdaten mit Werbekunden teilt, damit diese möglichst genau ihre Zielgruppe erreichen, ist die Verfügbarkeit von Nutzer-Telefonnummern ein Verstoß gegen Facebooks eigenen Datenschutzrichtlinien . Diese privaten Informationen sollten für niemanden einsehbar sein, verspricht Facebook darin.

Doch ein Fehler bei Facebooks Marketing-Tool machte genau das möglich. Wer auf Facebook Werbung schaltet, bekommt auf dieses Werkzeug Zugriff, um seine Anzeigen zu steuern. Laut den Sicherheitsforschern konnten Werbetreibende so theoretisch ausgehend von der E-Mail-Adresse eines Nutzers auch dessen Telefonnummer in Erfahrung bringen.

Die gleiche Sicherheitslücke sorgte laut den Forschern dafür, dass Werbetreibende auch Nummern von Nutzern hätten sammeln können, die zuvor eine bestimmte Webseite angesteuert hatten.

Facebook reagierte bereits - und zahlt Forschern Belohnung

Die Forscher meldeten Facebook ihre Ergebnisse und nutzten dabei das konzerneigene Prämienprogramm für Sicherheitshinweise (bug bounty program). Das Unternehmen reagierte daraufhin mit Anpassungen: Seit dem späten Dezember hat das Marketing-Tool weniger Funktionen, die Telefonnummern der Nutzer sollen so nun geschützt sein.

"Wir haben keinen Missbrauchsversuch mit diesem komplexen Angriff gesehen", betonte Facebooks Werbe-Vizechef Rob Goldman gegenüber der "Wired". Dennoch sei man den Forschern dankbar für den Hinweis. Als Belohnung für den Hinweis bezahlte der Konzern den Forschern 5000 Dollar.

gru