Facebook nutzt 2FA-Telefonnummern für Werbung

Facebook nutzt selbst Telefonnummern, die Nutzer ausdrücklich zum Zweck einer sicheren 2-Faktor-Authentifizierung (2FA) angegeben haben, um Firmen eine gezielte Werbung zu ermöglichen. Das Unternehmen räumte das jetzt ein – nachdem eine Gruppe akademischer Forscher und die investigative Reporterin Kashmir Hill der Gizmodo Media Group diese und andere Praktiken aufdeckten. Dazu zählten auch die schon lange kolportierten, aber vom Social Network immer wieder bestrittenen „Schatten-Kontaktdaten“, die sich das Social Network aus anderen Quellen besorgt und ebenfalls für die Werbe-Adressierung nutzt.

Schon vor einigen Monaten beschwerten sich Facebook-Nutzer über eingehende Spam-Benachrichtigungen an genau die Telefonnummer, die sie für 2FA genannt hatten. In einem Blogeintrag erklärte das Facebooks damaliger Sicherheitschef Alex Stamos als einen bedauerlichen Bug und versicherte: „Dass Nutzer hilfreiche Sicherheitsfeatures vermeiden, weil sie damit nicht verbundene Benachrichtungen fürchten, wäre das Letzte, was wir uns wünschen.“ In diesem Zusammenhang gab er allerdings keinen Hinweis darauf, dass Facebook selbst nicht der Versuchung widerstehen konnte, eben dieses Sicherheitsfeature in gezielte Werbung umzumünzen.

Die Praxis ist, dass Firmen Listen ihnen bekannter oder erworbener Telefonnummern oder E-Mail-Adressen zu Facebook oder Instagram hochladen, um damit verbundenen Facebook-Mitgliedern bestimmte Inserate zu zeigen. Das könnte ein Modehändler sein, der in den Instagram-Feed eigener Kundinnen Werbung für ein neues Kleid einschleusen möchte. Ein Politiker könnte Facebook-Inserate für ausgewählte E-Mail-Adressen kaufen. Kashmir Hill nennt aber auch ein Spielkasino als Beispiel, das Menschen mit mutmaßlicher Glückspielsucht ansprechen möchte.

„Wir setzen die uns von Nutzern überlassene Information ein, um eine bessere, personalisiertere Erfahrung auf Facebook einschließlich Inseraten bereitzustellen“, heißt es jetzt in der Stellungnahme eines Unternehmenssprechers zur unerwarteten werblichen Nutzung auch der 2FA-Telefonnummern. „Wir sind transparent hinsichtlich der Nutzung der gesammelten Informationen einschließlich der Kontaktinformationen, die Teilnehmer hochladen oder ihren Konten hinzufügen. Sie können die von Ihnen bereitgestellten Kontaktinformationen jederzeit verwalten und löschen.“ Auch ein Opt-out der werblichen Nutzung der 2FA-Telefonnummer sei möglich, indem der Nutzer eine andere Form der 2-Faktor-Authentifizierung nutzt – was Facebook allerdings erst seit einigen Monaten anbietet.

Alles andere als transparent war Facebook auch hinsichtlich der sogenannten Schattenprofile mit Informationen, die nicht vom Nutzer selbst bereitgestellt wurden. Sogar bei einer Anhörung im US-Kongress nach dem Skandal um den Missbrauch der Facebook-Daten von bis zu 87 Millionen Nutzern durch das britische Unternehmen Cambridge Analytica hatte sich CEO Mark Zuckerberg ahnungslos gegeben, als er nach der Erstellung von Profilen von Nicht-Facebook-Nutzern gefragt wurde. Er gab an, Daten über Nichtmitglieder würden nur für „Sicherheitszwecke“ gesammelt.

Als die Journalistin Kashmir Hill im letzten Jahr bei Facebook nachfragte, ob es auch Schatten-Kontaktinformationen für Inserate nutze, wurde das ausdrücklich verneint. In monatelangen Tests widerlegten Forscher von US-Universitäten jetzt diese Behauptung. Anders als von Facebook ständig nahegelegt, haben Benutzer damit keine umfassende Kontrolle über ihr Profil und die genutzten Daten.

Verborgen bleibt den Facebook-Nutzern dabei auch, was Facebook nebenbei an Informationen über sie aus den Kontaktdaten anderer Nutzer ausgelesen hat. Wenn etwa Nutzerin A ihre Kontakte mit Facebook teilt, so fanden die Forscher heraus, und sich darin eine zuvor nicht bekannte Telefonnummer für Nutzer B findet, lässt Facebook anschließend interessierte Firmen zu dieser Nummer Inserate schalten. Nutzer B kann aber selbst solche Schatteninformationen über sich weder sehen noch löschen. Denn das verweigert Facebook mit der originellen Begründung, es verletze die Privatsphäre von Nutzerin A.

ZDNet.de Redaktion

Recent Posts

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

2 Stunden ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

1 Tag ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

1 Tag ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

2 Tagen ago

HPE baut Supercomputer am Leibniz-Rechenzentrum

Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.

2 Tagen ago

Bund meldet Fortschritte in der Netzversorgung

Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…

3 Tagen ago