Dazu gehörten auch Bilder, die Nutzer zwar auf Facebook-Server hochgeladen, aber nicht gepostet haben, wie Facebook am Freitag mitteilte. Ausserdem betroffen waren Fotos aus der Handelsplattform Marketplace sowie den Facebook Stories, in denen Nutzer Bilder und Videos für einen Tag für ihre Freunde veröffentlichen können.

Die Apps hätten gemäss den erteilten Freigaben eigentlich nur Zugriff auf die Bilder haben dürfen, die Nutzer in ihrer Timeline geteilt hatten.

Die Lücke habe vom 13. bis zum 25. September bestanden, erklärte Facebook. Nach aktuellen Schätzungen könnten bis zu 6,8 Millionen der insgesamt mehr als zwei Milliarden Nutzer betroffen sein. Zugang zu den Fotos könnten bis zu 1500 Apps von 876 Entwicklern gehabt haben.

Voraussetzung dafür sei gewesen, dass sich Nutzer bei den Apps über den Facebook-Log-in angemeldet und ihnen Zugriff auf die Timeline-Bilder gewährt hätten. Die betroffenen Facebook-Mitglieder sollen nun informiert werden.

Auch Nutzer in Europa bestroffen

Unter den Betroffenen sind auch Nutzer aus der Europäischen Union, erklärte Facebook, ohne Zahlen zu nennen. Das Online-Netzwerk macht keine Angaben dazu, wann die Lücke entdeckt wurde. Die Behörden seien aber gemäss der EU-Datenschutzgrundverordnung fristgerecht unterrichtet worden, sagte ein Sprecher. Die DSGVO schreibt vor, Vorfälle mit personenbezogenen Daten binnen 72 Stunden an Behörden zu melden. Bei Verstössen können hohe Strafen verhängt werden.

Bei den hochgeladenen, aber nicht geteilten Fotos könne es sich zum Beispiel um Kopien von Bildern handeln, bei deren die Nutzer den Beitrag aus irgendwelchen Gründen nicht fertiggestellt hatten, erläuterte Facebook. Das Online-Netzwerk hebe dann eine Kopie für später auf.