Firmen speicherten ungeschützt Daten von Facebook-Nutzern

04.04.2019
Wenn Facebook-Mitglieder Apps auf der Plattform des Online-Netzwerks nutzen, landen Daten bei den Entwicklern der Anwendungen. Dafür, wie diese damit umgehen, stellt Facebook zwar Regeln auf - Kontrollen sind aber aufwendig. So lagen Nutzerdaten ungeschützt im Netz.
Facebook hat eine neue Datenpanne. Der Vorwurf: Entwickler der Anwendungen parkten Nutzerdaten ungeschützt im Netz. Foto: Silas Stein
Facebook hat eine neue Datenpanne. Der Vorwurf: Entwickler der Anwendungen parkten Nutzerdaten ungeschützt im Netz. Foto: Silas Stein

Menlo Park (dpa) - Zwei Firmen haben Daten ihrer Nutzer aus dem Online-Netzwerk Facebook ungeschützt auf einem öffentlich erreichbaren Server gespeichert.

Wie die IT-Sicherheitsfirma UpGuard herausfand, hatte die mexikanische Medienfirma Cultura Colectiva Daten wie Accountnamen, Kommentare und «Gefällt mir»-Angaben auf einem frei zugänglichen Bereich bei Amazons Cloud-Dienst AWS abgelegt. UpGuard stellte auch fest, dass die Entwickler der schon vor Jahren eingestellten App «At the Pool» ebenfalls bis vor kurzem Informationen wie Facebook-Namen ungeschützt lagerten. Anwender in Deutschland dürften von dem Daten-Leck kaum betroffen sein.

Neue Datenschutz-Debatte

Obwohl Facebook an der Daten-Panne nur indirekt beteiligt ist, könnte der Vorfall die Debatte über die Datenschutz-Verantwortung von Facebook neu entfachen. Facebook betonte in einer Reaktion, dass es für App-Entwickler verboten ist, Daten aus der Plattform des Online-Netzwerks ungeschützt zu speichern. Man habe nach dem Hinweis zusammen mit Amazon daran gearbeitet, die Datenbank vom Netz zu nehmen. Facebook wolle weiter mit den Entwicklern daran arbeiten, die Daten der Nutzer zu schützen.

Es blieb zunächst unklar, wie viele Facebook-Nutzer, die ihre Daten Cultura Colectiva oder den Entwicklern von «At the Pool» anvertraut haben, von dem nun entdeckten Vorfall betroffen sind. UpGuard sprach von einer 146 Gigabyte großen Datenbank mit 540 Millionen Datensätzen. Die Datenbank von «At the Pool» sei kleiner, aber potenziell gefährlicher: Denn dort seien im Klartext auch die Passwörter von 22.000 Nutzern für die App gespeichert gewesen. Auch wenn es sich dabei nicht um die eigentlichen Facebook-Passwörter handelt, könnten Datendiebe damit versuchen, in Accounts bei Facebook selbst und anderen Diensten reinzukommen. Viele Nutzer verwenden nämlich oft dieselbe Kombinationen aus E-Mail-Adresse und Passwort für ein Login, obwohl Experten seit Jahren davor warnen.

Mangelnde Kontrolle bei Facebook

Der Vorfall unterstreicht das Problem, dass Facebook keine direkte Kontrolle darüber hat, was mit den Daten passiert, die von App-Partnern auf der Plattform erhoben werden. Insbesondere nach dem Datenskandal um Cambridge Analytica war gefordert worden, dass Facebook mehr für den Schutz seiner Nutzer auch in diesen Fällen unternehmen müsse.

Im Fall Cambridge Analytica hatte der Entwickler einer App einige Informationen von Millionen Facebook-Nutzern an die Datenanalyse-Firma weitergegeben. Facebook betont zwar, er habe damit gegen die Regeln verstoßen - das Online-Netzwerk bekam die Weitergabe aber zunächst einmal gar nicht mit. Für den Eklat sorgte dann insbesondere, dass Facebook seit Ende 2016 davon wusste, aber sich mit der Zusicherung zufrieden gab, dass die Daten gelöscht worden seien, und die betroffenen Nutzer nicht informierte.

Facebook hatte nach dem Cambridge-Analytica-Skandal eine Überprüfung des Umgangs mit Daten bei zehntausenden Apps auf der Plattform eingeleitet und mehrere hundert davon provisorisch gesperrt.

Bei Facebook-Apps an Privatsphäre-Check denken

Facebook erhebt nicht nur jede Menge Daten über seine Mitglieder. Das Unternehmen gibt diese teils auch an Partner weiter, deren Apps oder Spiele Mitglieder mit dem Netzwerk verbunden haben.

Wer die sogenannte Facebook-Integration von Apps nutzt, sollte deshalb regelmäßig den Privatsphäre-Check machen und prüfen, welche Berechtigungen Apps & Co haben, und ob man damit einverstanden ist.

Das funktioniert in den Einstellungen unter dem Punkt «Apps und Websites». Dort können Nutzer etwa bestimmen, auf welche Daten von Freundeslisten über Vorlieben bis hin zu Geburtstagen die Drittanbieter zugreifen dürfen.

Wer das erst gar nicht oder nicht mehr möchte, kann die Facebook-Integration komplett abschalten und damit den direkten Zugriff der Entwickler auf Facebook-Daten unterbinden. Dazu navigiert man in den Einstellungen zu «Apps und Websites/Apps, Websites und Spiele/Bearbeiten» und klickt dort auf «Deaktivieren».

Mitteilung von UpGuard

Privatsphäre-Einstellungen verbundener Apps prüfen und ändern

Facebook-Integration von Apps deaktivieren

Facebook-Datenrichtlinie

Informationen zum aktuellen Datenleck


Verfasser: dpa-infocom GmbH

KEYWORDS

TEILEN


Das könnte Sie auch interessieren
Die neue Datenschutzgrundverordnung (DSGVO) bietet eine Fülle neuer Vorschriften für den Daten- und Verbraucherschutz. Foto: Patrick Pleul Was bedeuten die neuen EU-Regeln zum Datenschutz? Viele Jahre hat es gedauert, am heutigen Freitag treten die neuen EU-Datenschutzregeln in Kraft. Das Interesse an dem sperrigen Thema war nie größer. Was ändert sich künftig?
Facebook darf personenbezogene Daten von deutschen WhatsApp-Nutzern ohne Einwilligung nicht erheben. Foto: Jens Kalaene/dpa Weiterhin keine WhatsApp-Daten deutscher Nutzer für Facebook Zwei Jahre nach dem Kauf von WhatsApp wollte Facebook im vergangenen Jahr auf einige Daten von Nutzern des Kurzmitteilungsdienstes zugreifen. Der Hamburger Datenschützer blockierte die Pläne in Deutschland - und ein Gericht stärkte ihm nun den Rücken.
Als Mutterkonzern hat Facebook auch Zugriff auf personenbezogene Nutzerdaten des Messengers WhatsApp. Laut dem OVG Hamburg ist die Verwendung jedoch nicht zulässig. Foto: Martin Gerten Gericht: Keine Daten deutscher Whatsapp-Nutzer für Facebook Niederlage für Facebook: Der US-Konzern darf keine personenbezogenen Daten seiner Tochter WhatsApp benutzen. Das entschied das Hamburger Oberverwaltungsgericht. Befürworter sprechen von einem «großen Erfolg für den Datenschutz».
Genügt die Homepage dem neuen Datenschutz? Das ist die Frage, die Vereine, Firmen und Behörden rund eine Woche nach dem Inkrafttreten der Datenschutzgrundverordnung umtreibt. Foto: Daniel Naupold Abmahnwelle nach einer Woche DSGV noch nicht angerollt Die neue Datenschutz-Grundverordnung ist nun knapp eine Woche in Kraft - und hat bereits teils kuriose Blüten getrieben. Unter Verbrauchern und Unternehmen herrscht Unsicherheit. Manche Befürchtungen blieben jedoch aus - zumindest vorerst.