Privatsphäre und Datenschutz im Web 2.0

Das Blog zur Beratung von DeinWeb - Ein Web für alle!

Diesen Beitrag drucken Diesen Beitrag drucken

Wie Drittanbieter leicht an durch Privatsphäreeinstellungen geschützte Daten aus Facebook kommen

Send to Kindle

Heute mußte ich die Feststellung machen, daß Facebook es Drittanbietern offensichtlich sehr leicht macht, an personenbezogene Daten zu kommen, die eigentlich durch Privatsphäreeinstellungen geschützt und nur eingeschränkt sichtbar sind. Was war passiert?

Ich bekam eine Einladungsmail an meine Facebook-Login-Mailadresse im Namen eines Facebook-Kontakts zu einem sozialen Netzwerk namens "twoo", zu finden auf http://twoo.com. Von diesem Netzwerk hatte ich noch nie etwas gehört. Ich habe mich sofort mit meinem Bekannten in Verbindung gesetzt und ihn gebeten, mir zu schildern, wie es dazu gekommen ist. Er hat sich nach eigener Aussage direkt bei diesem Netzwerk angemeldet, sein Facebook-Konto mit seinem Konto in diesem Netzwerk verknüpft und nach Facebook-Kontakten gesucht, die sich dort angemeldet hatten.

Der letzte Schritt führte offensichtlich dazu, daß eine Einladungsmail an einige seiner Facebook-Kontakte rausging. Diese Mail landete nun nicht in meinem Facebook-Postfach, sondern direkt in meiner Mailbox auf der Login-Adresse. Die Mail ging offensichtlich nur an die Kontakte raus, die ihre Mailadresse mindestens Freunden freigegeben hatten. User, die die Adresse auf "Nur ich" gestellt hatten, haben mittlerweile bestätigt, keine Einladung bekommen zu haben.

Daraus folgt auch, daß die direkte Ursache für diese nicht legitimierte Datenweitergabe an "twoo" zunächst mal ein Fehler meinerseits war. Leider war die Sichtbarkeit meiner Login-Mailadresse versehentlich auf "Nur Freunde" eingestellt, weil ich vergessen hatte, die Sichtbarkeit nach einem Test wieder auf "Nur ich" zurückzustellen. So ist die Mailadresse vermutlich diesem Anbieter bekannt geworden.

Allerdings offenbart der Vorfall nichtsdestotrotz ein erhebliches Problem im Umgang mit personenbezogenen Daten seitens Facebook. Wenn ich Daten für "nur Freunde" freigebe, muß ich mich auch darauf verlassen können, daß niemand sonst, und erst recht keine Drittanwendung, die mit Facebook gar nichts zu schaffen hat, ohne meine explizite Zustimmung Zugriff auf diese Daten bekommt. Wichtig ist in diesem Zusammenhang, daß mein Bekannter den Account bei "twoo" nicht über eine Facebook-Anwendung oder ähnliches angelegt hat, sondern völlig unabhängig von Facebook. Allein dadurch, daß er sein Facebook-Konto mit dem "twoo"-Konto verknüpft hat, bekam "twoo" völlig ohne meine Zustimmung Zugriff auf meine Login-Mailadresse und hat diese für eine Einladungsmail mißbraucht und die Adresse auch relativ sicher gespeichert.

Möglicherweise hat "twoo" an diesem Punkt gegen Facebook-Richtlinien verstoßen. Das wäre noch einmal genau zu prüfen. Allerdings muß sich auch Facebook den Vorwurf gefallen lassen, daß es Drittanbietern offenbar sehr einfachen Zugriff auf eingeschränkt sichtbare personenbezogene Daten gibt, von denen die User denken, daß nur diejenigen darauf Zugriff haben, für die die Daten freigegeben sind. Daß diese darüber hinausgehende unautorisierte Datenweitergabe an Drittanbieter mit deutschen und auch mit europäischen Datenschutzrichtlinien nicht vereinbar ist, steht sicher außer Frage. Hier muß Facebook dringend technische Maßnahmen ergreifen, damit eingeschränkt sichtbare Daten auch eingeschränkt sichtbar bleiben und nicht einfach über eine Kontenverknüpfung durch Dritte kompromittiert werden können. Ich halte das für eine schwerwiegende Lücke im Privatsphäreschutz auf Facebook, da Dritte über diesen Weg mit etwas Social Engineering problemlos an Daten herankommen können, die ihnen sonst verborgen bleiben.

Usern muß man wegen der Gefahr, daß Daten unberechtigt Dritten in die Hände fallen, raten, von solchen Kontenverknüpfungen abzusehen. Den Zugriff auf Daten, die Sie vor dem Zugriff Dritter schützen wollen, sollten Sie in Facebook, wenn möglich, zudem unbedingt auf "Nur ich" einschränken.

Flattr this!

Facebook Share Twitter Share

14 Reaktionen zu “Wie Drittanbieter leicht an durch Privatsphäreeinstellungen geschützte Daten aus Facebook kommen”

  1. Sabine Engelhardt

    Die Frage ist, ob Facebook das überhaupt merken kann, daß nicht der "Freund", sondern eine Drittanwendung mit den Rechten des "Freundes" auf die Daten zugreift.

    Wenn ich das mal mit Dateirechten in einem Dateisystem vergleiche: Es ist egal, ob ich als eingeloggter User direkt auf eine Datei zugreife, oder ob eine Anwendung, die unter meinem Useraccount gestartet wurde, zugreift. Die Rechte sind gleich. Wenn ich lesen/schreiben/ausführen darf, darf das auch die Anwendung. Den Unterschied "sieht" das Dateisystem nicht.

    Deshalb soll man ja auch insbesondere Internet-Anwendungen nicht als Administrator bzw. root starten, weil ein eingeschleuster Schädling dann die entsprechenden Rechte bekommt und den größtmöglichen Schaden im System anrichten kann.

    So in etwa könnte das auch bei Facebook sein. Ob sich das ändern läßt, weiß ich natürlich nicht, da ich die Rechtestruktur bei Facebook nicht kenne.

  2. Alex

    Ja, Facebook kann das merken. Denn der Zugriff auf Daten läuft immer über sogenannte Facebook-Anwendungen. Das heißt, "twoo" muß eine Anwendung für Facebook geschrieben haben, die diese Kontenverknüpfung vornimmt, und der User, der sein Facebook-Konto dort verknüpft, nimmt diese Verknüpfung über die bei Facebook registrierte Anwendung vor. Daher ist der Weg der Datenweitergabe eindeutig verfolgbar, und Facebook könnte auch problemlos verhindern, daß Dritte Zugriff auf Daten bekommen. "twoo" wiederum hätte sich an die Richtlinien für solche Anwendungen halten müssen. Ob die explizit die Verwendung von Daten ohne Zustimmung des Betroffenen untersagen, müßte man sich noch genauer angucken.

  3. Kurt

    Facebook möchte gar nichts verhindern, eure Daten werden sogar mutwillig an "Anwendungen" freigegeben. In den Privatsphäre-Einstellungen findet sich unter dem Punkt "Deine Freundesliste anzeigen" folgender Text:
    "Dadurch kannst du dich aufgrund von gemeinsamen Freunden mit Personen verbinden. Deine Freundesliste steht Anwendungen immer zur Verfügung. Die Verbindungen mit deinen Freunden können unter Umständen an anderer Stelle ebenfalls sichtbar sein." Der zweite Satz enthüllt, dass "twoo" über die Anwendung "Kontenverknüpfung" einfach alle "für Freunde" sichtbaren Mail-Adressen auslesen konnte.

  4. Alex

    Nein. Das impliziert dieser Satz mitnichten. Denn der simple Zugriff auf die Freundesliste, die erst mal nichts ist als eine Auflistung von Namen, impliziert noch nicht automatisch den Zugriff auf alle Daten, die die Freunde für Freunde freigeben. "Verbindungen mit deinen Freunden" sind nicht "Daten deiner Freunde".

  5. flinker

    hab mich ÜBER NETLOG bei TWOO angemeldet,mit meiner hotmail mailadresse.und nach einigen minuten
    hatte TWOO ALLE MEINE KONTAKTE von wlm ausgelesen und angeboten,diesen kontakten eine einladungsmail zu senden!!!!!!! habe diese (häckchen)
    fast alle abgewählt.und trotzdem wurden an ALLE e-mailadressen eine einladung in meinem namen gesendet!!!!! da sind jugentliche UNd verwandte dabei !
    WIE verd*amt noch mal TUN DIE DAS?

  6. Alex

    Für Windows Live Messenger kann ich das nicht sagen. Mir erscheint das fraglich, weil das ja ein externes Programm ist. Sicher, daß das nicht das Adreßbuch der Hotmail-Adresse war, das ausgelesen wurde?

  7. kati

    Ich bekam diese Einladung auf eine email-Adresse (gmail.)unter der ich nicht bei FB angemeldet bin. Also lauft es auch ohne FB.

  8. Ghazi Twal

    Sehr geehrte Damen und Herren,

    ich bitte Sie um sofortige Annullierung meines Namens und meiner Teilnahme an TWOO.
    Für die Beachtung meiner Bitte danke ich Ihnen im Voraus.
    Ghazi Twal

  9. Alex

    Da sind Sie hier falsch. Das ist nur ein Blogbeitrag über das Datenschutzgebaren von TWOO! Dieses Blog hat nichts mit TWOO zu tun!

  10. Sebastiano

    In meinen Augen ist das, was Twoo macht schon legal. Bei der Anmeldung kommt ein Dialog in welchem man gefragt wird, ob man seine Adressbücher durchsuchen lassen möchte. Klickt man auf weiter dann kommt der Dialog dass die Leute eingeladen werden. Aber der grosse Frust kommt ja erst später. Als Mann siehst Du die Bildchen vieler hübscher Frauen. Drei darfst Du auf Twoo pro Tag kontaktieren. Es werden Dir einige davon antworten. Aber Du siehst nicht von allen die Antworten. Du musst erst Bezahlen. Unlimited Account. Und auch dann bekommst Du noch nicht alle antworten. Zudem sagt Dir das System oft, dass genau diese Frau welche zwar in Deinem Land wohnt, keinen Kontakt aus Deinem Land suchen würde, oder dass sie heute schon von sehr vielen Leuten Nachrichten bekommen hätte und man noch mehr zahlen müsste.... Also, wenn Du viel Geld übrig hast, Twoo nimmt es Dir gerne ab...
    Für mich ist Twoo ein Fake, eine Abzocke.

  11. Alex

    @Sebastiano hier geht es nicht um das Angebot von Twoo. Und was Twoo da macht, dürfte nicht legal sein. Denn auf die Zustimmung desjenigen, der das Adressbuch importiert, kommt es ja gar nicht an. Twoo bzw. derjenige, der das Adressbuch importiert, muss für den Import die Zustimmung jeder einzelnen im Adressbuch verzeichneten Person haben, dass ihre Daten da importiert werden dürfen. Und diese Zustimmung wird nicht eingeholt.

  12. Helmut Man

    Hola mitsammen!
    Meine Frau wird seit geraumer Zeit mit Mails zugefüllt.
    Sie hat sich NIE bei Twoo angemeldet, oder einen Account eröffnet.
    Es gibt jedoch ein Profil mit Ihrem Namen und einer Menge Facebook Fotos.
    Will sie ihren Account abmelden, fragt Twoo nach einem Passwort und einem Grund.
    Der Grund ist egal, aber da sie nie einen Account angelegt hat, hat sie natürlich auch kein Passwort.
    Wie wir erfahren haben hat ein Facebook-Freund sich bei Twoo registriert. Anscheinend haben die dann dessen Kontakte ausgelesen und im Falle meiner Frau gleich ein Profil angelegt.
    Das ist wirklich frech und gehörte unterbunden.
    Habe aber keine Ahnung wo man das offiziell melden kann, oder Überprüfung der Vorgangsweise von Twoo nachfragen kann.

    Fürchte es wäre auch sinnlos.
    Jedenfalls ist Twoo wirklich s….sse.
    Ich denke das ist eine ziemlich linke Geschichte.
    Vielleicht kann man das in FB posten.
    Wäre spannend was dann passiert.
    Anzeige wegen übler Nachrede, oder vielleicht noch Ärgeres 😉

    Auf jeden Fall: Twoo stinkt gewaltig

  13. Alex

    "Jede Person, der eine Einladung gesendet wurde, kann das Erhalten weiterer Twoo Mails stoppen, indem sie auf den Link im unteren Teil der Nachricht klickt und ihre oder seine E-Mail-Adresse von unserer Liste löscht." (http://www.twoo.com/faq?category=INVITES&id=NOPERM#NOPERM).

    Vielleicht hilft das weiter.

  14. Helmut Man

    Danke Alex für den Tip, aber im linken unteren Teil der Nachricht war nichts dergleichen zu finden. Wir haben wirklich sehr genau geschaut und gesucht, aber nichts entdeckt.
    In den Faqs steht viel, oft auch auch viel Unwahres.
    Haben es inzwischen geschafft, das Konto zu schließen, bis heute nix mehr gekommen.
    War nötig, ein Bisschen herumzutricksen - habe in einem anderem Forum gefunden, wie es geht, hat funktioniert.
    Das Schlimme ist, dass nicht nur Nachrichten gesendet wurden, sondern dass sogar ein Konto ohne Zutun und Wissen angelegt wurde - mit Bildern aus Facebook - und dass zum Schließen des Kontos ein Passwort verlangt wurde, dass der oder die Betreffende natürlich nicht kennt, weil das Konto ja nie von ihm/ihr eröffnet wurde.
    Warum fragt f…… Twoo nicht nach, ob die Mails gewünscht werden oder nicht und warum wird der Ausstieg so erschwert - ach bin ich doch naiv ;-).
    Es gibt Schlimmeres im Leben, aber ich finde es Sch….. und es nervt ausserdem!

Einen Kommentar schreiben - Alle Angaben bis auf den Kommentar sind freiwillig. Anonyme Kommentare werden immer moderiert

Copyright © 2020 by: DeinWeb - Ein Web für alle! • Template by: BlogPimp Lizenz: Creative Commons BY-NC-SA.
Twitter-Button: IconTexto, http://icontexto.blogspot.com/