Zwei-Faktor-Authentifizierung Facebook soll Handynummern unter Vorwand gesammelt haben
News folgenJahrelang hat Facebook seine Nutzer dazu gedrängt, aus Sicherheitsgründen ihre Telefonnummer zu hinterlegen. Jetzt warnen Experten: Die Information kann von Fremden missbraucht werden, um Nutzer auszuspionieren. Und es gibt keine Möglichkeit, das abzustellen.
Das Facebook-Konto mit einer Zwei-Faktor-Authentifizierung abzusichern, ist im Grunde eine gute Idee. Dadurch wird es Angreifern stark erschwert, das Profil mit geklauten Log-in-Daten zu kapern. Doch Nutzer, die zu diesem Zweck ihre Telefonnummer hinterlegt haben, könnten das jetzt bereuen. Denn Facebook setzt die Information auch anderweitig ein, wie die Internetexperten Jeremy Burge und Zeynep Tufekci festgestellt haben.
So ist es beispielsweise möglich, das dazugehörende Profil zu einer Handynummer ausfindig zu machen. Nutzer können in ihren Privatsphäre-Einstellungen zwar auswählen, wer diese Möglichkeit nutzen darf ("Freunde", "Freunde von Freunden" oder "Jeder"). Ganz ausschalten lässt sich das jedoch nicht.
"Jahrelang hat Facebook behauptet, dass die für die Zwei-Faktor-Authentifizierung hinzugefügte Telefonnummer nur zur Sicherheit benötigt wird. Jetzt kann nach ihr gesucht werden und es gibt keine Möglichkeit, das abzustellen", schreibt Burge auf Twitter. Die Facebook-Kritikerin Tufekci wirft dem Konzern vor, die Kontosicherheit nur als Vorwand genutzt zu haben, um Nutzern die Telefonnummer zu entlocken und die Privatsphäre auszuhebeln.
Tatsächlich hat Facebook seine Nutzer jahrelang gedrängt, ihre Handynummer zu Sicherheitszwecken zu hinterlegen. Bei der Zwei-Faktor-Authentifizierung braucht der Nutzer neben einer E-Mail-Adresse und dem Kennwort auch einen Entsperr-Code, um sich anzumelden. Dieser ständig wechselnde Code kann beispielsweise per SMS aufs Handy geschickt werden. Der auf den Facebook-Seiten angegebene Verwendungszweck der Telefonnummer sei aber nachträglich geändert worden, ohne die Nutzer darüber zu informieren, kritisieren Burge und Tufekci.
Facebook nutzt die Telefonnummer beispielsweise, um Nutzer auf Instagram oder WhatsApp wiederzuerkennen und Daten zusammenzuführen. Vergangenes Jahr musste Facebook außerdem einräumen, dass es die Nummern auch zu Werbezwecken genutzt hatte. Eigentlich wäre dafür eine gesonderte Einwilligung durch die Nutzer nötig gewesen. Auch die europäische Datenschutzgrundverordnung (DSGVO) schreibt vor, dass die Nutzer über den Verwendungszweck ihrer Daten ausreichend informiert werden. Nutzer müssen jeweils widersprechen können. Eine solche Widerspruchsmöglichkeit ("opt-out") fehlt bei der Facebook-Einstellung bezüglich der Telefonnummer aber.
Laut Burge ist die Handynummer eine extrem wertvolle Information für Plattformen und Werbetreibende. Schließlich wird der Nutzer dadurch eindeutig identifizierbar und kann sowohl bei seinen Online- als auch Offline-Aktivitäten beobachtet werden.
Facebook als Beihelfer für Identitätsdiebstahl
Burge kritisiert außerdem, dass Fremde eine einzige bekannte Kontaktinformation – die Handynummer – missbrauchen könnten, um das dazu gehörende Facebook-Profil ausfindig zu machen. Dazu muss nur die Handynummer in die Facebook-Suche eingegeben werden. Das spielt zum Beispiel auch Identitätsdieben in die Hände, die mit Facebooks Hilfe weitere Informationen über ihre Opfer zusammentragen können. Nutzer können den Kreis der dazu berechtigten Personen zwar einschränken. Laut Burge wissen das viele aber nicht. Und standardmäßig sei die Funktion auf "Jeder" eingestellt.
Ein Facebook-Sprecher sagte dem Magazin "TechCrunch", dass die Einstellungen nicht neu seien. Facebook wolle mit der Funktion Menschen zusammenbringen, die sich kennen, aber noch nicht befreundet sind.
- Identitätsdiebstahl auf Facebook: Vorsicht vor falschen Freunden
- Facebook: So kommt das Netzwerk an Ihre Telefonnummer
- Schattenprofile: Warum wir alle bei Facebook sind, ohne es zu wissen
Wer seine Telefonnummer nicht angeben will, kann die Zwei-Faktor-Authentifizierung trotzdem aktivieren und beispielsweise per App (z.B. "Google Authenticator") nutzen. Dann wird der Entsperr-Code in der App erstellt. Seiten-Admins aber sind gezwungen, eine Handynummer abzuspeichern.
Burge weist darauf hin, dass Facebook zahlreiche andere Wege kennt, um an die Telefonnummer des Nutzers zu gelangen und mit dem Profil zu verknüpfen. Das Netzwerk bietet beispielsweise jedem Neumitglied an, das Adressbuch hochzuladen, um ihnen die Suche nach ihren Freunden zu erleichtern. So kann das Netzwerk Namen, Telefonnummern und Profile eindeutig zuordnen, ohne dass der Betroffene etwas ahnt. Dieses sogenannte "Shadow-Profiling", durch das selbst Daten von Nicht-Mitgliedern bei Facebook landen, wird von Datenschützern schon lange kritisiert. Schließlich hat der Betroffene seine Daten nicht freiwillig hergegeben und ihrer Weiterverwendung nicht zugestimmt.
