Werbungsdatenlecks in Facebook & Co.

"WSJ": Nutzerdaten in URLs gehen an Werber

Wie das "Wall Street Journal" ("WSJ") am Freitag berichtet, haben verschiedene Social-Web-Dienste, darunter Facebook, MySpace, LiveJournal, Hi5, Xanga und Digg, mehr Daten über ihre User an Internet-Werbefirmen geschickt, als sie eigentlich laut ihren eigenen Nutzungsbedingungen dürften.

Das "WSJ" recherchierte mit Hilfe von Wissenschaftlern des Worcester Polytechnic Institute und der Harvard Business School, dass die genannten Dienste auch den Benutzernamen und die ID der vom Nutzer gerade besuchten Seite an Werbedienste wie Googles DoubleClick und Yahoos Right Media übermittelten, wenn der User auf ein Werbeelement in einem der Social Networks geklickt habe.

• "WSJ"-Artikel

Profildaten im URL

Dabei seien in den Adressen der besuchten Profile auch die Namen der Nutzer übermittelt worden. Das könne, so das "WSJ", dazu führen, dass Werber bestimmte Nutzer mit personenbezogenen Daten im sozialen Web systematisch verknüpfen könnten. Grund dafür sei, dass viele dieser Dienste die IDs der Profile unverschlüsselt weitergeben würden. Die von dem Blatt befragten Werbeunternehmen DoubleClick und Right Media gaben auf Anfrage zu Protokoll, diese Daten nicht ausgewertet zu haben.

Ein besonderes Problem ortet das "WSJ" bei Facebook. Dort seien "in einigen Fällen" auch Benutzername und ID des Users, der auf die Werbung geklickt hat, an die Werber übermittelt worden. Daraus könnten die Werber Rückschlüsse auf die Interessen des Nutzers ziehen. Auch wenn die Nutzer auf ihrem eigenen Profil auf eine Anzeige klickten, könnten die Werber das tun, so das Blatt.

Rückschluss auf Profile

Auf Rückfrage des "WSJ" gab Facebook die Datenübermittlung zu und änderte den Code seiner Site so, dass die Nutzer, die auf Werbung klicken, anonymisiert werden. Es habe bestimmte Fälle gegeben, in denen Werber die Identität des Nutzers hätten erfassen können, wenn dieser auf seinem eigenen Profil auf ein Werbebanner geklickt habe.

Man habe das Problem sofort behoben, nachdem man darauf aufmerksam gemacht worden sei. Nun werde nur noch die ID der Seite übertragen, auf der die Anzeige platziert sei, aber nicht mehr die Daten der Person, die auf die Werbung geklickt hat.

Im Fall von MySpace und den anderen untersuchten Diensten sei das Problem weniger gravierend, weil diese - anders als Facebook - nicht verlangten, dass die Nutzer ihren Klarnamen preisgeben. MySpace, das wie das "WSJ" zu Rupert Murdochs News Corp. gehört, will nun auch Maßnahmen zur Verschlüsselung der internen "FriendID" in den Web-Adressen treffen, die an die Werber übermittelt werden. Der kollaborative Nachrichtendienst Digg mache das bereits, wie er dem "WSJ" mitteilte.

• Krishnamurthy, B; Wills, C: On the Leakage of Personally Identifiable Information Via Online Social Networks

Das Blatt wollte mit seiner Recherche nachprüfen, ob sich seit der Veröffentlichung eines Forschungsberichts der AT&T Labs und des Worcester Polytechnic Institute im vergangenen August in Sachen Datenübermittlung an Dritte aus Social Networks in dieser Frage etwas geändert habe. Die Forscher hatten damals die besagten Dienste auf Lücken in ihren Systemen aufmerksam gemacht, aber zahlreiche dieser Lecks existierten noch immer.

Mehr zum Thema:

• Acht von zehn Browsern eindeutig identifizierbar

• Diaspora: Offene Alternative zu Facebook

• US-Verbraucherschützer gegen Facebook