Facebook
untersucht eine Sicherheitslücke, durch die JavaScript-Tracker von Drittanbietern Benutzerdaten stehlen konnten, die sich über die Facebook-Schaltfläche auf Websites angemeldet hatten. Der Exploit ermöglichte das Sammeln von Daten wie Name, E-Mail-Adresse, Altersgruppe, Geschlecht, Standort und Profilfoto. Es ist nicht klar, was Tracker mit diesen Daten gemacht haben, aber einige ihrer Entwickler wie
Lytics verdienen Geld mit der Identifizierung, Verwendung und dem Verkauf von Zielgruppen.
Laut Steven Englehardt, Datenschutzingenieur bei Mozilla, und seinen Co-Autoren am Princeton Center for Information Technology Policy
laufen diese Skripte auf 434 Websites von einer Million Top-Seiten.
Einer der Gründe für Benutzerdatenlecks ist die leichtfertige Einstellung der Benutzer zur Internetsicherheit. Die Verwendung eines
VPN macht das Surfen im Internet viel sicherer und verringert die Fähigkeit, den Verkehr durch Eindringlinge abzufangen.
Unter den Sites und Diensten, die Daten auf diese Weise sammelten, wurden
MongoDB- Cloud-Server in der Studie erwähnt. Auf der BandsInTown-Konzertseite wurde ein Skript installiert, mit dem Websites, die die Werbeplattform Amplified verwenden, Benutzer anhand ihrer Facebook-Konten identifizieren können.
Vertreter des sozialen Netzwerks gaben TechCrunch eine offizielle Antwort:
Das Verschrotten von Benutzerdaten verstößt direkt gegen die Facebook-Regeln. Wir haben dieses Problem untersucht und sofort Maßnahmen ergriffen, um die Zuordnung eindeutiger Benutzer-IDs bestimmter Anwendungen zu einzelnen Facebook-Profilseiten zu unterbinden. Wir arbeiten daran, zusätzliche Authentifizierungs- und Profilanforderungen festzulegen.
Versteckter TextDas Scraping von Facebook-Benutzerdaten verstößt direkt gegen unsere Richtlinien. Während wir dieses Problem untersuchen, haben wir sofort Maßnahmen ergriffen, indem wir die Verknüpfung eindeutiger Benutzer-IDs für bestimmte Anwendungen mit einzelnen Facebook-Profilseiten ausgesetzt haben, und arbeiten daran, eine zusätzliche Authentifizierung und Ratenbegrenzung für Facebook-Anmeldeprofilbildanforderungen einzuführen.
Im Fall von MongoDB antwortete das Unternehmen, dass es nicht über die Funktionen von Technologien von Drittanbietern zum Empfangen von Daten von Facebook-Benutzern Bescheid wusste: „Wir haben die Quelle des Skripts identifiziert und deaktiviert.“
Versteckter TextUns war nicht bekannt, dass eine Technologie eines Drittanbieters ein Tracking-Skript verwendet, das Teile der Facebook-Benutzerdaten sammelt. Wir haben die Quelle des Skripts identifiziert und heruntergefahren
BandsInTown ergriff ebenfalls Maßnahmen, nachdem sie einen Brief von Forschern erhalten hatten.
BandsInTown gibt keine nicht autorisierten Daten an Dritte weiter. Nachdem wir in einem Skript auf unserer Anzeigenplattform einen Brief zum Thema Forschung zu potenziellen Schwachstellen erhalten haben, haben wir schnell geeignete Maßnahmen ergriffen, um das Problem vollständig zu beseitigen.
Versteckter TextBandsintown gibt keine nicht autorisierten Daten an Dritte weiter. Nachdem wir eine E-Mail von einem Forscher erhalten haben, der eine potenzielle Sicherheitslücke in einem auf unserer Anzeigenplattform ausgeführten Skript darstellt, haben wir schnell die entsprechenden Maßnahmen ergriffen, um das Problem vollständig zu beheben.
In einer für Facebook schwierigen Zeit sind neue Probleme mit der Sicherheit personenbezogener Daten von Nutzern aufgetreten. Mark Zuckerberg bestätigte, dass 87 Millionen Benutzer in die Hände von Cambridge Analytica gelangt sind, dessen Vizepräsident Donald Trumps Präsidentschaftskampagnenleiter Steve Bannon war. Der CEO von Facebook hatte zwei aufeinanderfolgende Tage, fünf Stunden am Tag, um Fragen im US-Kongress zu beantworten.