Facebook-Bug gibt private Fotos von 6,8 Millionen Nutzern preis

Facebook hat einen Sicherheitsvorfall gemeldet, der fast 6,8 Millionen Mitglieder des Social Network betrifft. Ein Fehler in einer Programmierschnittstelle (Application Programming Interface, API) gab private Fotos preis. Zugriff auf die Bilder hatten demnach nicht beliebige Nutzer, sondern Apps von Drittanbietern und somit nur deren Nutzer.

Der Bug steckte in der Photo API, und zwar vom 13. bis zum 25. September. Facebooks Ermittlungen zufolge hatten möglicherweise rund 1500 Apps von 876 Entwicklern Zugriff auf nicht öffentliche Bilder von Facebook-Usern. Ob sich die Entwickler des Fehlers bewusst waren und missbräuchlich die Fotos abgerufen haben, ist offenbar nicht bekannt.

Facebook informiert betroffene Nutzer über einen Fehler in der Photo-API (Bild: Facebook).„Wenn jemand einer App die Erlaubnis gibt, auf seine Fotos auf Facebook zuzugreifen, gewähren wir der App in der Regel nur Zugriff auf Fotos, die von Personen auf ihrer Zeitachse freigegeben werden. In diesem Fall ermöglichte der Bug Entwicklern eventuell den Zugriff auf andere Fotos, wie zum Beispiel die auf dem Marktplatz oder in Facebook Stories geteilten“, beschreibt der Facebook-Entwickler Tomer Bar den Bug. „Der Fehler betraf auch Fotos, die von Leuten auf Facebook hochgeladen, aber nicht veröffentlicht wurden. Wenn zum Beispiel jemand ein Foto auf Facebook hochlädt, es aber nicht fertig veröffentlicht – vielleicht weil er die Internetverbindung verloren hat oder in ein Meeting gegangen ist – speichern wir eine Kopie dieses Fotos, damit die Person es hat, wenn sie zur App zurückkommt, um ihren Beitrag abzuschließen.“

Facebook erklärte, es werde die betroffenen Mitglieder nun über den Vorfall informieren. Dazu zählt das Unternehmen Nutzer, die eine der fraglichen Apps installiert und die Berechtigung für den Zugriff auf ihre Fotos gewährt haben. Die Benachrichtigung nennt alle Apps, die in dem genannten Zeitraum den fehlerhaften Code enthielten, und erlaubt es auch, die Apps zu löschen. Nutzer können aber auch eine spezielle Hilfe-Seite besuchen, um herauszufinden, ob sie betroffen sind.

Neben Hackerangriffen sind Fehler in Programmierschnittstellen eine häufige Ursache für massive Datenverluste. Twitter meldete ein solches Problem im September. Im Oktober nahm Google einen API-Bug, der zwar nur 500.000 Nutzer betraf, zum Anlass, sein Soziales Netzwerk Google+ zu schließen. Nach einem weiteren API-Bug im Dezember, der Daten von 52,5 Millionen Nutzern kompromittierte, zog Google die Abschaltung von August auf April 2019 vor.