Facebook Bug: So konnten Werbetreibende die Telefonnummern von Facebook-Konten auslesen

Eine Sicherheitslücke im Targeting bei Facebook hat dazu geführt, dass Werbekunden die Telefonnummern von Usern auslesen konnten. Das notwendige Verfahren dazu war jedoch sehr aufwändig und Facebook hat den Bug bereits behoben.

Die Macht des Custom Audience-Tools als Schwachstelle

User können bei Facebook ihre Telefonnummer angeben, um das Konto mithilfe der Zwei-Faktor-Autorisierung sicherer zu machen. Forscher aus Deutschland, Frankreich und den USA haben Ende Mai jedoch bewiesen, dass ebendiese Information eingesehen werden konnte, wie die WIRED berichtet.

Schuld daran war eine Sicherheitslücke, die auf dem Custom Audience-Tool basierte. Die Technologie ermöglicht es Marketern, Daten aus ihren eigenen CRM-Systemen anonymisiert hochzuladen, um etwaige Kunden auf der Plattform zu identifizieren und mit Werbeanzeigen anzusprechen. Dabei können verschiedene Datensätze kombiniert und eine Überschneidung der Personen angezeigt werden. Facebook errechnet auf dieser Grundlage, wie viele User sich in der anvisierten Zielgruppe befinden.

Genau dort setzten die Forscher an und waren in der Lage, anhand von E-Mail-Adressen an die Telefonnummern von 19 Freiwilligen zu kommen. Dies erforderte den wiederholten Vergleich von verschiedenen Datensätzen, um die Größe der Zielgruppe zu schätzen. So wurde jeweils eine Ziffer nach der anderen sichtbar. Für das Vorgehen mussten die Wissenschaftler kein Werbebudget in die Hand nehmen. Die gleiche Lücke fand sich auch bei Facebooks Tracking Pixel wieder. Hier konnten die Telefonnummern von Website-Besuchern öffentlich gemacht werden. Das genaue Verfahren beschreiben die Forscher in einem 19-Seiten starken PDF.

Die Sicherheitslücke wurde Ende Dezember behoben – das Grundproblem bleibt bestehen

Am 22. Dezember schloss Facebook diese Lücke und zahlte den Entdeckern ein „Kopfgeld“ von 5.000 US-Dollar im Rahmen des Bug Bounty-Programms. Advertiser können nun im Custom Audience-Tool vorab nicht mehr einsehen, wie viele User sie unter dem Einsatz ihrer eigenen Daten erreichen.

Da das Verfahren der Forscher sehr kompliziert war, ist es unwahrscheinlich, dass die Sicherheitslücke genutzt wurde. Allein der Prozess des Listenvergleichens dauerte tagelang. Facebook selbst hat bislang keinen Beweis dafür gefunden, wie Rob Goldman, VP Product, Ads & Pages, betont.

Damit verstieß das Soziale Netzwerk aber klar gegen die eigenen Datenrichtlinien. User geben der Plattform einen reichen Schatz an Daten in der Annahme, dass Facebook diesen schützt. Inbesondere in einem sensiblen Markt wie Deutschland ist das kritisch, denn Vertrauen ist ein heikles Thema. Das Unternehmen verdient den Löwenanteil seines Geldes damit, die Daten der Nutzer für Werbetreibende verfügbar zu machen. Das muss einwandfrei anonymisiert funktionieren.

Krishna Gummadi, der vonseiten des Max-Planck-Instituts an der Aufdeckung der Sicherheitslücke beteiligt war, glaubt, dass noch mehr Exploits möglich sind:

If I had to bet on it I would think there are other bugs in there. Facebook has data on a lot of people and is making this data accessible to advertisers through some very feature rich interfaces.

Hoffen wir für Facebook und all seine Nutzer, dass die Lücken geschlossen werden, bevor sie jemand außerhalb des Bug Bounty-Programms entdeckt.