Menü
Update
Security

Facebook: API-Bug gab Apps Zugriff auf Bilder von 6,8 Millionen Benutzern

Ein Fehler in der Foto-API von Facebook gab Apps mehr Zugriff auf Bilder, als die Benutzer eigentlich vorgesehen hatten – sogar auf unveröffentlichte Bilder.

Von
vorlesen Drucken Kommentare lesen 40 Beiträge
Facebook

(Bild: dpa, Oliver Berg)

Erneut muss Facebook eine schwerwiegende Datenschutzpanne einräumen: Durch einen Bug in der Programmierschnittstelle für die Bilderverarbeitung (Foto-API) bestand für einen kurzen Zeitraum im September dieses Jahres die Möglichkeit, dass Apps von Drittanbietern Zugriff auf womöglich sämtliche Bilder eines Facebook-Kontos hatten. Bedingung war allerdings, dass der Benutzer zuvor einer App grundsätzlich Rechte für den Zugriff auf bestimmte Bilder eingeräumt hatte.

Das Unternehmen teilte in einem Blogbeitrag für Softwareentwickler mit, man habe einen Bug in der Foto-API entdeckt, der Drittanbieter-Apps mit Facebook-Login zwischen dem 13. und 25. September 2018 Zugriff auf "einen größeren Satz an Bildern als üblich" gewährt haben soll. Wie der technische Leiter Tomer Bar schreibt, betrifft der Bug die Funktion, mit der Apps auf die Bilder eines Facebook-Benutzers zugreifen, die auf der Timeline freigegeben sind. Während der fraglichen 13 Tage im September konnten Apps auch auf andere freigegebene Fotos zugreifen – und auf solche, die der Benutzer gar nicht veröffentlicht hat. Facebook räumte ein, dass es auch nicht verwendete Bilder – etwa aus noch nicht abgeschickten Posts – für die Bequemlichkeit der Benutzer mehrere Tage aufbewahre.

Derzeit nimmt man bei Facebook an, dass der API-Fehler bis zu 1500 Apps von 876 Entwicklern betroffen habe und demnach die Bilder von 6,8 Millionen Benutzern, die diese Apps nutzten, im Zugriff gewesen sind. Man wolle für Entwickler ein Tool bereitstellen, mit dem sie prüfen könnten, ob Benutzer ihrer Apps davon berührt waren und zudem die betroffenen Benutzer separat informieren und ihnen zeigen, welche fraglichen Apps bei ihnen im Einsatz waren.

Zwar ist der Zeitraum, in dem die Datenschutzpanne auftrat, relativ kurz. Allerdings sind die Formulierungen in dem Blogbeitrag zum Umfang des unerwünschten Zugriffs auf Bilder recht schwammig – Tomer Bar spricht zwar nicht von sämtlichen Bildern eines Benutzerkontos, aber betroffen sind demnach freigegebene und nicht veröffentlichte, also schlimmstenfalls alle Fotos, die Benutzer auf Facebook hochgeladen haben.

Zudem ist offen, warum die Bekanntgabe erst so lange nach dem Vorfall erfolgte. Bar teilte lediglich mit, man habe den Bug beseitigt – aber nicht, ob das bereits Ende September geschah und man danach zunächst abgewartet hat, oder ob der Bug erst kürzlich entdeckt wurde und die Lücke im September vielleicht nur zufällig geschlossen wurde. Facebook wolle mit den fraglichen Entwicklern zusammenarbeiten und dafür sorgen, dass sie etwaig heruntergeladene Fotos der Benutzer löschen.

Facebook hat in letzter Zeit mit zahlreichen Skandalen zu kämpfen, die einen unerwünschten Zugriff auf Benutzerdaten oder einen Hack betreffen. Nach dem politischen Skandal um die Analysefirma Cambridge Analytica kam es zu einem Hack, bei dem wegen Sicherheitslücken auf der Website Millionen Benutzerdaten kopiert wurden. Hacker boten außerdem Daten von 120 Millionen Facebook-Nutzern zum Verkauf an, die womöglich aus einem anderen Hack stammen.

Auch beim Bemühen um mehr Datenschutzkonformität gab es jüngst eine Panne: Ein DSGVO-Werkzeug des zu Facebook gehörenden Bilderdienstes Instagram verriet das Benutzerkennwort im Klartext. Und erst kürzlich wurde bekannt, dass Android-Apps zahlreiche Daten an Facebook weitergeben, ohne dass Benutzer dies wünschen – indem sie Analysefunktionen des Facebook-SDK ausnutzen.

[Update 16.12.2018 11:57 Uhr:] Inzwischen hat die irische Datenschutzbehörde DPC (Data Protection Commission) eine Untersuchung der diversen Vorfälle bei Facebook eingeleitet, berichtet Bloomberg. Gemäß der in der EU geltenden Datenschutzgrundverordnung (DSGVO) habe die Behörde eine entsprechende Anfrage bei Facebook gestellt, um eine mögliche Verletzung der Vorschriften festzustellen.

Laut dem Bloomberg-Bericht sagte ein Facebook-Sprecher, man habe bei der nun bekannt gewordenen Lücke in der Foto-API zunächst geprüft, ob der Vorfall im Sinne der DSGVO überhaupt meldepflichtig sei – als man feststellte, dass dies der Fall sei, habe man die zuständige irische Behörde innerhalb des vorgeschriebenen Zeitraumes von 72 Stunden darüber informiert. (tiw)