Kontrollverlust als Schaden
Der Ausgangsfall betraf Facebook. Bis September 2019 gab es bei Facebook eine Kontakt-Import-Funktion. Damit konnte jeder Facebook-Nutzer das Facebook-Profil eines anderen Nutzers finden, wenn er dessen Mobilfunknummer in die Anwendung eingab. Das funktionierte unter zwei Voraussetzungen:
- Zum einen musste die Mobilfunknummer Verwendung finden, die im gesuchten Facebook-Profil hinterlegt war.
- Zum anderen durfte der gesuchte Facebook-Nutzer die Voreinstellungen nicht verändert haben, die Facebook für die Suche über die Kontakt-Import-Funktion vorgegeben hatte.
Im „gefundenen“ Profil waren Daten sichtbar, die als Pflichtangaben in allen Facebook-Profilen öffentlich einsehbar sind, etwa Vorname und Familienname, aber darüber hinaus weitere Daten, die der Facebook-Nutzer als „öffentlich“ gekennzeichnet hatte.
Tückische Datenschutz-Voreinstellungen
Viele Facebook-Nutzerinnen und -Nutzer glaubten, die Kontakt-Import-Funktion durch die Datenschutzeinstellung für ihre Mobilfunknummer ausbremsen zu können. Zu diesem Zweck stellten sie die Sichtbarkeit der Mobilfunknummer in ihrem Profil auf „nur ich“ ein.
Das wirkte sich jedoch zu ihrer Überraschung nicht auf die Kontakt-Import-Funktion aus. Die dort vorhandene standardmäßige Voreinstellung, dass „alle“ diese Suchmöglichkeit hatten, blieb trotzdem bestehen. Nur wer auch diese Voreinstellung gezielt von „alle“ auf „Freunde von Freunden“ oder „Freunde“ veränderte, war von anderen Personen nicht mehr mittels der Mobilfunknummer aufzufinden.
Unbekannte nutzten die Schwachstelle aus
Die Struktur von Mobilfunknummer…