Facebook nutzt 2FA-Telefonnummern für Werbung

Facebook nutzt selbst Telefonnummern, die Nutzer ausdrücklich zum Zweck einer sicheren 2-Faktor-Authentifizierung (2FA) angegeben haben, um Firmen eine gezielte Werbung zu ermöglichen. Das Unternehmen räumte das jetzt ein – nachdem eine Gruppe akademischer Forscher und die investigative Reporterin Kashmir Hill der Gizmodo Media Group diese und andere Praktiken aufdeckten. Dazu zählten auch die schon lange kolportierten, aber vom Social Network immer wieder bestrittenen „Schatten-Kontaktdaten“, die sich das Social Network aus anderen Quellen besorgt und ebenfalls für die Werbe-Adressierung nutzt.

Schon vor einigen Monaten beschwerten sich Facebook-Nutzer über eingehende Spam-Benachrichtigungen an genau die Telefonnummer, die sie für 2FA genannt hatten. In einem Blogeintrag erklärte das Facebooks damaliger Sicherheitschef Alex Stamos als einen bedauerlichen Bug und versicherte: „Dass Nutzer hilfreiche Sicherheitsfeatures vermeiden, weil sie damit nicht verbundene Benachrichtungen fürchten, wäre das Letzte, was wir uns wünschen.“ In diesem Zusammenhang gab er allerdings keinen Hinweis darauf, dass Facebook selbst nicht der Versuchung widerstehen konnte, eben dieses Sicherheitsfeature in gezielte Werbung umzumünzen.

Die Praxis ist, dass Firmen Listen ihnen bekannter oder erworbener Telefonnummern oder E-Mail-Adressen zu Facebook oder Instagram hochladen, um damit verbundenen Facebook-Mitgliedern bestimmte Inserate zu zeigen. Das könnte ein Modehändler sein, der in den Instagram-Feed eigener Kundinnen Werbung für ein neues Kleid einschleusen möchte. Ein Politiker könnte Facebook-Inserate für ausgewählte E-Mail-Adressen kaufen. Kashmir Hill nennt aber auch ein Spielkasino als Beispiel, das Menschen mit mutmaßlicher Glückspielsucht ansprechen möchte.

„Wir setzen die uns von Nutzern überlassene Information ein, um eine bessere, personalisiertere Erfahrung auf Facebook einschließlich Inseraten bereitzustellen“, heißt es jetzt in der Stellungnahme eines Unternehmenssprechers zur unerwarteten werblichen Nutzung auch der 2FA-Telefonnummern. „Wir sind transparent hinsichtlich der Nutzung der gesammelten Informationen einschließlich der Kontaktinformationen, die Teilnehmer hochladen oder ihren Konten hinzufügen. Sie können die von Ihnen bereitgestellten Kontaktinformationen jederzeit verwalten und löschen.“ Auch ein Opt-out der werblichen Nutzung der 2FA-Telefonnummer sei möglich, indem der Nutzer eine andere Form der 2-Faktor-Authentifizierung nutzt – was Facebook allerdings erst seit einigen Monaten anbietet.

Alles andere als transparent war Facebook auch hinsichtlich der sogenannten Schattenprofile mit Informationen, die nicht vom Nutzer selbst bereitgestellt wurden. Sogar bei einer Anhörung im US-Kongress nach dem Skandal um den Missbrauch der Facebook-Daten von bis zu 87 Millionen Nutzern durch das britische Unternehmen Cambridge Analytica hatte sich CEO Mark Zuckerberg ahnungslos gegeben, als er nach der Erstellung von Profilen von Nicht-Facebook-Nutzern gefragt wurde. Er gab an, Daten über Nichtmitglieder würden nur für „Sicherheitszwecke“ gesammelt.

Als die Journalistin Kashmir Hill im letzten Jahr bei Facebook nachfragte, ob es auch Schatten-Kontaktinformationen für Inserate nutze, wurde das ausdrücklich verneint. In monatelangen Tests widerlegten Forscher von US-Universitäten jetzt diese Behauptung. Anders als von Facebook ständig nahegelegt, haben Benutzer damit keine umfassende Kontrolle über ihr Profil und die genutzten Daten.

Verborgen bleibt den Facebook-Nutzern dabei auch, was Facebook nebenbei an Informationen über sie aus den Kontaktdaten anderer Nutzer ausgelesen hat. Wenn etwa Nutzerin A ihre Kontakte mit Facebook teilt, so fanden die Forscher heraus, und sich darin eine zuvor nicht bekannte Telefonnummer für Nutzer B findet, lässt Facebook anschließend interessierte Firmen zu dieser Nummer Inserate schalten. Nutzer B kann aber selbst solche Schatteninformationen über sich weder sehen noch löschen. Denn das verweigert Facebook mit der originellen Begründung, es verletze die Privatsphäre von Nutzerin A.

ZDNet.de Redaktion

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

5 Stunden ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

8 Stunden ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

17 Stunden ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

1 Tag ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

1 Tag ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

2 Tagen ago