Zum Wochenende noch die fällige kurze Meldung über den nächsten Datenskandal bei Facebook. Mc Murphy hat mal wieder bei Facebook zugeschlagen. Durch einen Bug waren potentiell private Fotos von 6,8 Millionen Nutzern öffentlich abgreifbar. Ergänzung: Die irische Datenschutzbehörde hat wohl eine Untersuchung gestartet.
Vorab: Wer private Fotos auf Facebook hoch lädt, kann eh nicht ganz dicht sein. Aber: Wenn Facebook zusagt, dass bestimmte Inhalte nicht öffentlich einsehbar sind, dann sollten diese auch nicht öffentlich abrufbar sein.
(Quelle: Facebook)
Der Terminus ‘private Fotos’ bedeutet in diesem Artikel, dass es sich um Bilder handelt, die noch in der Timeline einer Person unveröffentlicht waren (vielleicht weil die Veröffentlichung abgebrochen wurde).
Bug in der Photo API
Der Fehler bestand in der Photo API von Facebook, die von verschiedenen Apps verwendet wird. Bis zu 1.500 Apps, die von 876 unterschiedlichen Entwicklern erstellt wurden, hätten durch diesen Bug auf die privaten Fotos von 6,8 Millionen Nutzern zugreifen können.Facebook schreibt in der Nachricht hier.
Notifying our Developer Ecosystem about a Photo API Bug
Our internal team discovered a photo API bug that may have affected people who used Facebook Login and granted permission to third-party apps to access their photos. We have fixed the issue but, because of this bug, some third-party apps may have had access to a broader set of photos than usual for 12 days between September 13 to September 25, 2018.
Entdeckt wurde der Bug von Facebook selbst. Die Schwachstelle bestand vom 13. bis zum 25. September 2018, ist inzwischen aber gefixt. Und zum API-Fehler wird folgendes erläutert:
When someone gives permission for an app to access their photos on Facebook, we usually only grant the app access to photos people share on their timeline. In this case, the bug potentially gave developers access to other photos, such as those shared on Marketplace or Facebook Stories. The bug also impacted photos that people uploaded to Facebook but chose not to post. For example, if someone uploads a photo to Facebook but doesn’t finish posting it – maybe because they’ve lost reception or walked into a meeting – we store a copy of that photo so the person has it when they come back to the app to complete their post.
Normalerweise erhalten Apps nur Zugriff auf Fotos, wenn diese bei Facebook durch den Nutzer in seiner Timeline veröffentlicht wurden. Durch den Fehler erhielten die Apps über die API auch Zugriff auf unveröffentlichte Fotos, sobald die Facebook unter dem Benutzerkonto bekannt waren. In der obigen Erklärung wird deutlich: Wenn jemand ein Foto hochlädt, das Veröffentlichen aber abbricht oder unterbricht, erstellt Facebook eine Kopie dieses Fotos. Und solche Fotos ließen sich per App durch die fehlerhafte API einsehen. Facebook schreibt weiter:
Currently, we believe this may have affected up to 6.8 million users and up to 1,500 apps built by 876 developers. The only apps affected by this bug were ones that Facebook approved to access the photos API and that individuals had authorized to access their photos.
We’re sorry this happened. Early next week we will be rolling out tools for app developers that will allow them to determine which people using their app might be impacted by this bug. We will be working with those developers to delete the photos from impacted users.
We will also notify the people potentially impacted by this bug via an alert on Facebook. The notification will direct them to a Help Center link where they’ll be able to see if they’ve used any apps that were affected by the bug. (See example of user notification below)
We are also recommending people log into any apps with which they have shared their Facebook photos to check which photos they have access to.
Facebook nennt die Zahl der Betroffenen (6,8 Millionen) und will nächste Woche Entwicklern ein Tool bereitstellen, mit dem sie prüfen können, welche Nutzer vom Bug betroffen sind. Zudem will Facebook Betroffene direkt bei einer Facebook-Anmeldung informieren. (via)
Nachtrag: Irische Datenschützer ermitteln
In Europa sind ja die irischen Datenschützer für Facebooks Verstöße zuständig. Diesem Financial Times-Beitrag entnehme ich, dass die irischen Datenschützer nach dem Foto-Leak ein neues Verfahren gegen Facebook eingeleitet haben. In diesem Verfahren werden die Datenschutzverstöße des Unternehmens nach DSGVO untersucht. Ziat:
The Irish data protection commission said it had opened a new investigation into Facebook because of its high number of data breaches this year.
Und weiter: The Irish DPC has received a number of breach notifications from Facebook since the introduction of the GDPR on May 25, 2018. Da scheint ein Fass zum Überlaufen gebracht worden zu sein.
Ähnliche Artikel:
Hacker bietet private Facebook-Nutzerdaten an
Facebook-Hack: Daten von 30 Millionen Nutzern abgeflossen
Neuer Ärger im Facebook-Universum
Facebook-Hack: Zugriff auf 50 Mio. Access-Token für Konten
Facebook-Hack & DSGVO: Wird es in Europa richtig teuer?
Facebook-Hack: Wohl kein Zugriff auf Drittanbieter-Apps
Datenschützer: Verfahren gegen Facebook eingestellt
Facebook-Hack & DSGVO: Wird es in Europa richtig teuer?
Steigender Vertrauensverlust in Facebook, Google & Co.
‘Höchststrafe’ für Facebook in England im Analytica-Skandal
Datenlecks Ende Juni 2018: Adidas, Facebook, Exactis
Forscher warnte bereits 2014 vor Facebook-Analytica-Skandal
Löchriges Datenschutzsieb: Die Facebook-Katastrophe
Facebook, die DSGVO und Benachrichtigungen
DSGVO? Und WhatsApp teilt Nutzerdaten mit Facebook
Android-Trojaner stiehlt Daten von Facebook, Skype & Co.
Firefox bringt Facebook-Container als Tracking-Blocker
Nachbeben im Facebook/Cambridge Analytica-Skandal
Android: Apps petzen Nutzerinteressen an Facebook
Facebook hat über einen Datenverkauf nachgedacht
Skandale & neue Privatsphären-Schwachstelle bei Facebook?
Einmal hochgeladen, gibt es auf Facebook nichts, was PRIVAT! wäre. PRIVAT! & Facebook schließen sich zu 100% aus. Das muss einem unbedingt klar sein.
Also jetzt wird es wirklich peinlich!
Was soll daran Peinlich sein, wer immer noch glaubt behaupten zu dürfen Wörter wie Privatsphäre und Facebook in einem Satz zusammen zu schreiben lebt in einer Realität fremden Welt.
Ich dachte im Sommer noch im TV Werbung von Facebook gesehen zu haben wo die Privatsphären Einstellungen so Toll hervorgehoben worden sind.
Ich hoffe die Menschen lernen vielleicht was daraus, das man solchen Firmen nicht blindlings vertrauen darf nur weil sie ja Soo selbstlos sein wollen.
…ähem…hust…falls ich es nicht schon so gefühlt etwa 10’000x erwähnt habe,
es gibt im Web keinen Datenschutz mehr – und auch keine Privatsphäre.
Auch wenn immer wider in den AGBs gesagt wird: “ Wir nehmen Ihre
Privatsphäre und den Datenschutz sehr ernst (man beachte vor allem
das Wort „sehr“ im Satz – wie wenn man es noch ernster nehmen würde
als ernst).
Ernst alleine würde mir ja genügen aber das „sehr ernst“ kann ich dann
schon nicht mehr ernst nehmen.
Ist etwa so wie diejenigen, die immer von „in keinster Weise“ sprechen.
Keinster gibt’s nicht – „kein“ kann man nicht konjugieren! Basta! In keiner
Weise eben. Sonst müsste ja „nicht – nichter – am nichtesten“ auch gehen.
Aber sorry, ich schweife ab – in keiner Weise wollte ich jemanden belehren ;-)
Schönes Wochenende und viel sonstige Spähre…
Christian