Facebook: Erneute Lücke erlaubte Zugriff auf Fotos von 6,8 Mio. Nutzern
Die Datenschutzpannen bei Facebook nehmen kein Ende: Erneut wurden durch eine Lücke in einer API des Unternehmens über das soziale Netzwerk mehr Informationen an Entwickler weitergegeben, als Nutzern bewusst und beabsichtigt war.
Dieses Mal sind die Fotos – sogar auf Facebook unveröffentlichte – von rund 6,8 Millionen Nutzern betroffen, die für Entwickler rund 12 Tage lang wahrscheinlich uneingeschränkt abrufbar waren. Vom 13. bis 25. September 2018 bestand die Lücke in der Foto-API von Facebook, die dafür sorgte, dass Apps von anderen Entwicklern mit Facebook-Login unbeabsichtigten Zugriff auf die Fotos eines Nutzers erhielten, wenn der Nutzer der App zuvor zumindest einmalig eingeschränkten Zugriff auf mindestens ein Bild gewährt hatte.
Facebook speichert Fotos unveröffentlichter Beiträge
Im Rahmen der Bekanntgabe dieser Lücke wurde so auch bekannt, dass Facebook Fotos mehrere Tage zwischenspeichert, wenn ein Nutzer diese für einen Beitrag auswählt, diesen dann aber nicht veröffentlicht. Dies solle das Erlebnis für den Nutzer verbessern, da das Bild nicht erneut ausgewählt und hochgeladen werden müsse. So hatten Entwickler gegebenenfalls auch Zugriff auf diese Bilder.
Jeder Nutzer soll informiert werden
Der Fehler in der API soll im genannten Zeitraum rund 1.500 Apps von 876 Entwicklern Zugriff auf mehr Fotos als gewollt gegeben haben, so dass insgesamt rund 6,8 Millionen Facebook-Nutzer tatsächlich betroffen gewesen sein sollen. Facebook hat angekündigt, jeden dieser betroffenen Nutzer einzeln darüber zu informieren und ihm auch die Apps offenzulegen, die Zugriff hatten. Zudem möchte Facebook darauf hinwirken, dass die Entwickler die Fotos der Nutzer wieder löschen.
Irische Datenschutzbehörde DPC ermittelt
Die irische DPC (Data Protection Commission) hat inzwischen ob der Vorfälle eine Anfrage an Facebook gestellt, um zu prüfen, ob alle Vorschriften der Datenschutzgrundverordnung (DSGVO) eingehalten wurden. Wann Facebook die Lücke entdeckt hat, ist bislang nämlich nicht bekannt. Das Unternehmen sagte jedoch, man habe geprüft, ob die Lücke gemäß der DSGVO meldepflichtig sei und habe dann, als sich dies bestätigt habe, umgehend die irische DPC über den Vorfall informiert – dies muss gemäß DSGVO innerhalb von 72 Stunden erfolgen. Wie lange Facebook jedoch geprüft hat, ob der Vorfall meldepflichtig ist, ist unklar.
Immer wieder Lücken und zweifelhafter Umgang mit Daten
Die erneute Lücke bei Facebook ist nach dem Cambridge-Analytica-Skandal und der unbeabsichtigten Freigabe privater Nachrichten von 14 Millionen Nutzern nur einer von vielen Vorfällen im Unternehmen – zuletzt hatte das DSGVO-Tool von Instagram, das auch zu Facebook gehört, die Passwörter der Nutzer im Klartext angezeigt.