Facebook – Herausgabe von Nutzeridentitäten an Fremdanbieter

Wie das Wall Street Journal heute unter Berufung auf eigene Nachforschungen und einen Beitrag im Entwicklerblog von Facebook meldete, versendet Facebook die Identitätsangaben seiner Mitglieder an Drittanbieter – ungefragt.

Während Facebook behauptet, der Versandt der User-Identitäten „unabsichtlich“ und „von Facebook nicht erwünscht“, gibt es aus den Top-10-Apps in Facebook keine einzige Applikation, die keine User-Identitäten weiterleitet. Betroffen waren nicht nur die persönlichen Informationen der jeweiligen Mitglieder, sondern auch die Identitäten ihrer jeweiligen Freunde. Dies ist besonders brisant, da Facebook auch ungefragt Personenprofile erstellt. Diese entstehen durch das Durchforsten der Mailadressen von angemeldeten Mitgliedern nach „Freunden“. Dabei lädt Facebook sämtliche eMails vom Account der Facebook-Mitglieder und speichert alle Identitäten, an die man Mails schickt, von denen man Mails erhält oder die anderweitig im Adressbuch des Mailaccounts verzeichnet sind.

Schon zuvor waren ähnliche „Sicherheitslücken“ in Facebook bekannt geworden.

Internet-Browser können beim Öffnen eines Links oder dem Laden einer Applikation einen sogenannten Referrer übertragen, der die Ursprungsadresse enthält. Beinhaltet die Ursprungsadresse die ID des jeweiligen Nutzers, so können Rückschlüsse auf die Identität des Nutzers gezogen werden.

Um es zu verdeutlichen ein Beispiel von dieser Seite. Zwei Personen bekamen per Mail einen Link zu diesem Blog zugesandt und luden die Seite. Durch den Referrer (den Hinweis auf den Verweisenden) ist leicht ersichtlich, welche Mailanbieter die Personen verwenden und um welche Nutzer es sich handelt:

http://de.mc369.mail.yahoo.com/mc/welcome?.gx=1&.tm=1287126308&.rand=a8krnvmm8baa8

http://bl109w.blu109.mail.live.com/mail/InboxLight.aspx?n=83304443

Im Gegensatz zu Links, die manche Personen sich per Mail zusenden, sind die Facebook-Apps nahtlos in die Facebook-Seite integriert. Viele Nutzer nehmen diese Applikationen nicht als Programme von Fremdanbietern wahr. Auch ist die Kontrolle über die eigenen Informationen bei Facebook vielleicht noch einigermaßen möglich, in den Händen der unzähligen Applikationsanbieter jedoch nicht mehr. Hier sollte Facebook dringend Klarheit verschaffen und für eine einheitliche Kontrolle der Nutzerdaten sorgen.

Gerade bei einer solch großen Firma mag so mancher nur schwer glauben, die Firma habe über mehre Monate und Jahre trotz eingehender Prüfung der Applikationen nichts von den teils gravierenden Datenschutzverstößen mitbekommen.

Webapplikationen in großen Unternehmen werden in der Regel ausgiebig getestet und auf Bugs untersucht. Die Weitergabe des Referrers erfolgt beim Web-Browser im Klartext und ist im Testbetrieb mittels Paketmonitor leicht zu entdecken.

%d Bloggern gefällt das: