Nach dem ohnehin schon rufschädigenden Vorfall von Freitag, bei dem persönliche Daten, sowie Telefonnummern und Mailadressen von mehr als sechs Millionen Facebook-Nutzern seit mehr als einem Jahr einsehbar waren, gibt es jetzt die nächsten schlechten Nachrichten. Brandon Copley, ein Programmierer aus Dallas, hat eine Funktion von Facebooks recht neuer Graph-Suche ausgenutzt, um etwa 2,5 Millionen Telefonnummern von Facebook-Nutzern zu sammeln. Doch Copley wollte die Daten nicht etwa verkaufen. Ihm ging es darum zu zeigen, wie fahrlässig Facebook mit den Daten der Nutzer umgeht.
It’s not a hack, it’s a feature
Das belegt auch der rege Mailverkehr, den er mit dem Facebook-Support hielt. Darauf angesprochen, wie leicht die Suche von Telefonnummern mit dem Graph-Tool funktioniert, wies der Support darauf hin, dass die von Copley gesammelten Daten von den Nutzern als öffentlich eingestuft wurden:
Die Einstellungen für die Privatsphäre regeln, wie man über die eigenen Kontaktdaten wie Mailadresse und Telefonnummer gefunden werden kann. Diese Enstellungen können jederzeit über das eigene Profil geändert werden.
Dass diese öffentlichen Daten so problemlos gefunden werden können, sei kein Problem, sondern ein Feature der neuen Suche, hieß es. Copley ist hier allerdings etwas anderer Meinung. So werde die Telefonnummer standardmäßig veröffentlicht. Dies zeige, wie lax Facebook mit den Daten der Nutzer umgehe und ihnen das Recht auf Privatsphäre erschwere, so der Entwickler.
Verständnis ja, Verantwortung nein
Zwar gab auch die Sicherheitsabteilung von Facebook vor, seine Bedenken zu teilen und erklärte, man habe grundlegende Sicherheitsvorkehrungen gegen das großangelegte Sammeln von Nutzerdaten getroffen. Gleichzeitig wies das Riesen-Netzwerk aber jede weitergehende Verantwortung von sich. So bleibe es immer an den Nutzern selbst hängen, persönliche Daten auch entsprechend einzustufen:
Wir können die Tools für die Privatsphäre bereitstellen und wir können die Nutzer darauf hinweisen, sie einzusetzen, aber wir können nicht einfach die Einstellungen für sie ändern. Wir können nicht viel mehr tun.
Erst als Copley seinen Programmiererzugriff auf die Such-API von Facebook nutzte, um pro Tag mehrere Tausend Suchen nach Telefonnummern durchzuführen, schien Facebook zu reagieren: Sein Account wurde mehrere Male gesperrt, doch sein Ansprechpartner bei der Sicherheitsabteilung versicherte ihm: „Ich glaube nicht, dass es an deiner Forschung hier liegt.“
Trotzdem schienen die Suchexperimente unangenehm aufgefallen zu sein. Facebook reagierte reichlich nervös und schickte am 26. April eine Unterlassungsaufforderung. Darin war zu lesen, Copley habe unrechtmäßig Nutzerdaten gesammelt, Daten von Facebook gestohlen und solle alle gesammelten Daten, eine Beschreibung seiner Vorgehensweise und die Namen aller Mitwisser an Facebook übergeben.
Auch Nicht-Mitglieder sind betroffen
Das harsche Vorgehen darf verwundern, schließlich ist Copley weder in geschützte Systeme eingedrungen, noch hat illegal Daten abgesaugt. Im Gegenteil: Sämtliche Informationen wurden quasi von Facebook selbst präsentiert.
Betroffen sind davon übrigens nicht nur angemeldete Nutzer. So geht es zunehmend über Mitglieder-Daten hinaus. Bei dem Datenleck am Freitag wurde etwa bekannt, dass auch Details zu Menschen gespeichert waren, die überhaupt nicht bei Facebook angemeldet sind. Anderen Nutzern wurden wiederum eigene Mailadressen mitgeteilt, die sie selbst aber nie bei Facebook eingetragen hatten.
Ob Facebook nun gegen Copley vorgehen wird, ist noch unklar. Dieser ist jedenfalls fest entschlossen, den Kampf für die Privatsphäre aufzunehmen.
Bild: Screenshot Facebook Graph
