Twitter nutzt 2FA-Telefonnummern für zielgerichtete Werbung

Der Kurznachrichtendienst Twitter hat eingeräumt, dass er von Nutzern zu Sicherheitszwecken bereitgestellte Telefonnummern missbraucht hat. Statt sie nur für eine Anmeldung in zwei Schritten (2FA, Zwei-Faktor-Authentifizierung) zu verwenden, wurden sie für die Auswahl von zielgerichteter Werbung benutzt. Gleiches gilt offenbar auch für E-Mail-Adressen seiner Nutzer.

Werbetreibende können Anzeigen in Form von gesponserten Tweets nach verschiedenen Kriterien filtern. Durch einen Fehler standen auch die Telefonnummern und E-Mail-Adressen zur Verfügung, die Nutzer aus Sicherheitsgründen hinterlegt hatten – und die Twitter ausdrücklich nur für diesen Zweck verwenden wollte.

Nach Angaben des Unternehmens hatten die beiden internen Werbesysteme „Tailored Audiences“ und „Partner Audiences“ versehentlich Zugriff auf die Daten. Der Fehler sei am 17. September behoben worden. Twitter versicherte zudem, dass keine Daten an Dritte weitergegeben wurden.

„Wir können nicht mit Bestimmtheit sagen, wie viele Nutzer davon betroffen sind, aber im Sinne der Transparenz wollten wir jeden darauf aufmerksam machen“, heißt es in einer Stellungnahme, die Twitter auf seiner Website veröffentlichte. „Das war ein Fehler und es tut uns leid.“

Allerdings ist es nicht das erste Mal, dass ein Plattform-Fehler bei Twitter zu einer nicht sachgemäßen Nutzung von Kundendaten führte. Im September 2018 machte das Unternehmen einen API-Bug öffentlich. Private Direktnachrichten waren darüber an die falschen App-Entwickler gelangt. Im Januar 2019 teilte Twitter mit, dass ein anderer Fehler dafür sorgte, dass private Tweets von Android-Nutzer für alle Anwender sichtbar und sogar für Suchmaschinen zugänglich waren – und zwar über einen Zeitraum von fast fünf Jahren.

Ein weiteres Problem behoben die Entwickler im Mai 2019. Es führte dazu, dass die Standortdaten von einigen iOS-Nutzern an einen „vertrauenswürdigen Partner“ weitergegen wurden. Im August schließlich meldete Twitter, dass durch einen Fehler in der eigenen Anzeigenplattform einige Nutzerdaten ohne Zustimmung der Betroffenen an Werbepartner weitergeben wurden. Ein weiterer Bug änderte von Nutzern vorgenommene Einstellungen zur Auslieferung von Werbeanzeigen.

Zu Sicherheitszwecken hinterlegte Daten gab auch Facebook versehentlich für die Auswahl von zielgerichteter Werbung frei. Den Fehler entdeckte Facebook allerdings nicht selbst, sondern Forscher der Northeastern University und der Princeton University.