Soziales Netzwerk: Datenleck bei Facebook

Offenbar hätten persönliche Daten wie Fotos und Chatverläufe von Facebook-Nutzern über Jahre hinweg unbefugten Dritten offen gestanden, hieß es in einem Unternehmensblog der US-Sicherheitsfirma Symantec. Es sei auch möglich, dass Unbefugte im Namen von angemeldeten Nutzern E-Mails verschickt hätten. "Im Laufe der Jahre dürften Hunderttausende Anwendungen unbeabsichtigt Zugangsmöglichkeiten für Dritte eröffnet haben", schreibt Symantec. Das weltgrößte soziale Netzwerk sei über die Sicherheitslücke informiert worden, habe das Leck bestätigt und damit begonnen, es zu stopfen. Die US-Softwarefirma entdeckte die Lücke demnach im April.

Facebook erklärte, in einer firmeninterne Untersuchung sei kein Datenmissbrauch festgestellt worden. Es habe keine Hinweise darauf gegeben, dass private Informationen von unbefugten Dritten genutzt worden seien. Zudem gebe es für Werbekunden vertragliche Vorgaben, die den Gebrauch solcher Daten verböten, sagte Facebook-Sprecherin Malorie Lucich. Zugleich erklärte Lucich, die im Symantec-Bericht genannten Programmierschnittstellen API seien entfernt worden.

Betroffen von der Sicherheitslücke sind laut Symantec potenziell alle Facebook-Nutzer, die sogenannte Apps nutzen. Das sind Miniprogramme, die sich seit 2007 in das soziale Netzwerk integrieren lassen. Dabei handelt es sich etwa um Spiele oder um Anwendungen, die Umfragen unter Internetfreunden ermöglichen, Horoskope oder Sprüche des Tages liefern. Facebook-Nutzer installieren dem Netzwerk zufolge täglich 20 Millionen Apps.

Wer eine App nutzt, muss dieser im Allgemeinen bestimmte Rechte einräumen. Dadurch kann die Anwendung beispielsweise Einträge im Namen des Nutzers veröffentlichen - also etwa den Spruch oder das Horoskop des Tages - oder die Liste von dessen Facebook-Freunden auslesen. Teilweise gehen die Berechtigungen soweit, dass die Anwendungen Zugriff auf Fotos, Nachrichten und Chats der Nutzer verlangen. Um auf die Daten zugreifen zu können, erhalten die Apps sogenannte Tokens - eine Art Ersatzschlüssel für die Facebook-Konten. Um von dem Problem betroffen zu sein, mussten also Nutzer überhaupt erst einmal entsprechende Berechtigungen an Anwendungen erteilen. Viele Anwendungen haben die Tokens aber - nach Darstellung von Symantec unbewusst - an Werbepartner weitergegeben. Diese hätten damit also teilweise vollen Zugriff auf die Nutzerprofile erhalten.

"Glücklicherweise könnten diese dritten Parteien aber gar nicht bemerkt haben, dass sie auf die Informationen zugreifen konnten“, erklärte Symantec. Es gebe auch keine Hinweise auf einen Missbrauch der Sicherheitslücke. Zuletzt seien noch schätzungsweise 100.000 Apps betroffen gewesen, über die vier Jahre waren es laut Symantec wohl hunderttausende. Facebook will die Sicherheitslücke geschlossen haben. Symantec aber berichtet, dass nun zwar keine neuen Tokens weitergegeben werden können, alte Schlüssel aber behalten ihre Gültigkeit und öffnen weiter Tür und Tor zu Facebook-Profilen. Facebook-Nutzer, die davon betroffen sein könnten, sollten deshalb ihre Passwörter ändern, riet der Sicherheitsspezialist. Dadurch verlören die alten Tokens ihre Gültigkeit. Facebook erkannte die Sicherheitslücke an, bemängelte aber „Ungenauigkeiten“ im Symantec-Bericht. Schließlich werde Missbrauch in den Vertragsbedingungen der Plattform untersagt: „Der Bericht ignoriert die vertraglichen Verpflichtungen von Werbepartnern und Entwicklern, die ihnen untersagen, Nutzerdaten in einer Art und Weise zu erhalten oder zu veröffentlichten, die unsere Vorgaben verletzt“, erklärte Facebook.

Mark Zuckerberg gründete Facebook 2004. Heute hat das Netzwerk mehr als 500 Millionen Nutzer und liefert sich mit Google und Yahoo einen harten Wettkampf um Nutzer und Werbekunden. Zuletzt ist der japanische Elektronikkonzern Sony wegen einer Datenpanne bei seiner beliebten Spielkonsole Playstation massiv unter Druck geraten. (Reuters / AFP)