Nutzerdaten wurden verkauft: Facebook bekommt Lecks nicht dicht

Wer interessiert sich für das Nutzerverhalten auf Facebook? Neben dem Netzwerk selbst, das sein Geld mittels zielgerichteter Werbung verdient, augenscheinlich auch jede Menge Marketingunternehmen. Am Wochenende musste Facebook nun einräumen, dass man "mehrere Fälle" entdeckt habe, bei denen ein sogenannter Data Broker Anwendungsentwickler für Nutzerdaten bezahlt habe.

Data Broker sind Infosammler, die möglichst genaue Kundenprofile erstellen, um sie zu Marketing- oder Auskunfteizwecken an Dritte zu verkaufen. Im September hatte das "Wall Street Journal" berichtet, dass über Facebook-Anwendungen, auch Apps genannt, Nutzerdaten an mindestens 25 Werbe- und Infosammelfirmen weitergegeben wurden. Der Blogeintrag macht nun klar, dass dies nicht nur wegen Programmierfehlern oder technischen Zufall geschah, wie es anfangs hieß.

Auf Facebook ist es möglich, jede Menge Apps zu installieren - vom Spiel über Psychotests bis zur fertigen Textverarbeitung. Diese Programme werden von Drittentwicklern im Netzwerk angeboten, um es attraktiver zu machen. Dabei bekommen die App-Entwickler jene Grunddaten durchgereicht, die Facebook über jedes Mitglied speichert - beispielsweise den Namen. Im Zweifelsfall fordern Apps aber auch Zugriff auf die Freunde eines Mitglieds und können auf seine Fotos oder Videos zugreifen.

Beim vom "Wall Street Journal" aufgedeckten Vorfall hatten Apps die sogenannte UID ("User Identification") weitergereicht. Das ist die eindeutige Nummer, die jedes Facebook-Mitglied identifiziert. Tauchte dann beispielsweise Werbung in einer App auf, kannte der Werbetreibende plötzlich die UID, aus der wiederum auf die Person geschlossen werden konnte. Ursprünglich hieß es, das sei ein technisches Problem mit sogenannten Referrern, bei denen Nutzerinformationen in Internetadressen kodiert werden; nun zeigt sich, dass das nicht in jedem Fall stimmte. Zwar reichten viele App-Entwickler die UID nur unbewusst weiter, doch es gab eben auch Ankaufversuche.

Zu den Infosammlern, die vermutlich Daten von Anwendlungsentwicklern erworben haben, soll US-Medien zufolge die kalifornische Firma Rapleaf gehören. Sie sammelt aus zahllosen Quellen im Netz Daten über einzelne Nutzer und verknüpft diese dann mit E-Mail-Adressen oder den erwähnten Facebook-UIDs. Neben dem direkten Kauf von Daten setzt Rapleaf auch technische Methoden zum Abgrasen des Netzes ein - sogenannte Scraper, die sich mittlerweile auch in geschlossene Foren einloggen können.

Firmen, die wissen wollen, ob ein Kunde zu einer potenziell interessanten Zielgruppe gehört, können dessen Informationen mit Rapleaf in Sekundenschnelle abgleichen oder die Dienste des Unternehmens für erstaunlich zielgenaue Werbekampagnen nutzen. Facebook zufolge hat Rapleaf sich nun bereit erklärt, alle bereits gespeicherten UID-Informationen aus dem sozialen Netzwerk zu löschen und künftig "keine weiteren Aktivitäten" innerhalb von Facebook mehr vorzunehmen.

Außerdem teilte der Konzern mit, er wolle nun alle Entwickler verpflichten, sensible Daten wie UIDs stets innerhalb der eigenen Anwendung zu belassen. Man habe eine "Null-Toleranz-Politik gegenüber Data Brokern" und werde den betroffenen Entwicklern - es sollen fast ein Dutzend sein - nun für sechs Monate eine Zwangspause verordnen. Es seien "vor allem kleine Entwickler" gewesen und keiner von ihnen verfüge über eine "Top Ten-Anwendung" innerhalb der Plattform.

Doch so sehr sich Facebook nun im Aufräummodus befindet, ein Grundproblem löst der Netzwerkriese nicht. Bislang existiert noch immer kein vernünftiges Prüfmodell für Anwendungen. Sie werden nicht wie etwa in Apples "App Store" einzeln auf böswillige Codes untersucht, sondern meist nach einer stichprobenartigen Prüfung zugelassen. Wie gefährlich das sein kann, zeigt der jüngste Vorfall. Nutzer sollten sich deshalb jede Anwendung, die sie sich auf ihr Profil holen, ganz genau ansehen.