Facebook betreibt Schattenprofile

Facebook 2FA und Ihr Schattenprofil: Wenn man Sicherheit will und Werbung bekommt

In der Vergangenheit trommelte Facebook immer wieder lautstark für die 2-Faktor-Authetifizierung. Mit dem drohenden Horrorszenario vom gehackten Account ließen sich sogar etliche hartgesotten skeptische Nutzer zu überreden, ihre Telefonnummern zu hinterlegen. Denn bei der 2FA schickt Facebook bei jedem Login-Vorgang eine SMS mit einem einmal gültigen Code ans eigene Handy. Dass genau diese Nummern konsequent für personalisierte Werbung verwendet werden, schürt das Misstrauen gegen gegenüber dem ohnehin reichlich rufgeschädigten Netzwerk beträchtlich. Und völlig zu recht.

Ein Schattenprofil zu viel

Die Sammlung von Zusatzinformationen über Nutzer, die Facebook ohne deren Wissen und damit natürlich auch ohne deren Einverständnis speichert, bezeichnet man als Schattenprofile. Dass so etwas überhaupt existiert, stritt Facebook bislang vehement ab – bis vor einigen Monaten die Forscher Giridhari Venkatadri, Elena Lucherini, Piotr Sapiezynski und Alan Mislove in ihrem Paper Investigating sources of PII used in Facebook’s targeted advertising das Gegenteil bewiesen. PII steht für Personal Identifiable Information, also das Pendant zu dem, was die DSGVO unter „persönlichen Daten“ versteht.

Beim Absaugen und Nutzen solcher keinesfalls für Werbezwecke gedachten Daten ist Facebook alles andere als zimperlich. ZDNet erklärt den methodischen Wahnsinn so:

Wenn etwa Nutzerin A ihre Kontakte mit Facebook teilt, so fanden die Forscher heraus, und sich darin eine zuvor nicht bekannte Telefonnummer für Nutzer B findet, lässt Facebook anschließend interessierte Firmen zu dieser Nummer Inserate schalten. Nutzer B kann aber selbst solche Schatteninformationen über sich weder sehen noch löschen. Denn das verweigert Facebook mit der originellen Begründung, es verletze die Privatsphäre von Nutzerin A.

Gegenüber Techchrunch bestätigte ein Unternehmenssprecher, dass die F2A Handynummern für Werbe-Targeting-Zwecke genutzt werden. Zustande kam dieses Geständnis pikanterweise erst nach einer einschlägigen Beitrag, den Kashmir Hill auf Gizmodo am vergangenen Mittwoch publizierte. Der erste Absatz sagt schon alles:

Letzte Woche fiel mir auf Facebook eine Werbung auf, die auf einen Professor der Computerwissenschaft namens Alan Mislove getargeted war. Mislove beschäftigt sich mit der Funktionsweise von Datenschutz auf sozialen Netzwerken und hatte die Theorie, dass Facebook es Werbetreibenden gestattet, Nutzer mittels Kontaktinformationen zu erreichen, die auf überraschende Weise gesammelt wurden. Ich half ihm dabei, seine Theorie zu testen, indem ich ihn mit einer Werbeanzeige auf eine Weise targetete, von der Facebook mir gegenüber vorher behauptet hatte, dass sie nicht funktioniere. Ich stellte die Anzeige so ein, dass sie für einen Facebook-Account angezeigt werden sollte, der mit der Festnetznummer von Alan Mislovs Büro verbunden war, eine Nummer, die Mislov vorher niemals an Facebook weitergegeben hatte. Nach wenigen Stunden sah er meine Anzeige. (Übersetzung des Autors)

Die angesprochene Auskunft ist einige Monate alt bezieht sich auf eine Stellungnahme des damaligen Facebook CSO Alex Stamos: „Das letzte, was wir möchten, ist dass unsere Nutzer hilfreiche Sicherheitsfeatures nicht verwenden, weil sie Angst haben, zugespammt („receive unrelated notifications“) zu werden“, lautete damals das Wording. 2FA Nummern werden also schon längst, aber mittlerweile sogar hochoffiziell, fürs Werbe-Targeting verwenden. Darüber waren die Nutzer weder informiert noch gaben sie ihr Einverständnis zu dieser Art der Nutzung persönlicher Daten. Das zeigt deutlich:

Der 50-Millionen-Hack: Sinn und Zweck der 2-Faktor-Authentifizierung

In der Theorie sollte die 2FA die Sicherheit des Kontos gegen Hacks und feindliche Übernahmen erhöhen. Selbst ein Keylogger das Passwort mitliest, bräuchte der Angreifer immer noch den Einmal-Token. Das klingt vernünftig, hätte aber gegen den aktuellen Hack von 50 Millionen Konten ebenso wenig genützt wie ein sicheres Passwort.

Denn letzte Woche gelang es Hackern, eine Lücke in der Funktion „Anzeigen aus der Sicht von“ ausgenützt. Die war offenbar derart schludrig programmiert, dass bei der Nutzung auch gleich der echte Token mitgeneriert wurde. Diese Token speichert Facebook am Device des Nutzers, damit der sich nicht jedes Mal neu einloggen muss. Wer im Besitz dieses Schlüssel-Tokens ist, hatte nicht nur vollen Zugriff auf den Account, sondern konnte sich auch die Tokens der Freundes-Accounts besorgen.

Wer ausgeloggt wurde, muss nicht notwendigerweise vom Hack betroffen sein, immerhin sind 50 Millionen Konten bloß 0,23% der weltweiten 2,2 Milliarden Nutzer. Facebook dürfte aber in berechtigter Panik viele Tokens invalidiert haben. Fehler passieren, wahre Größe zeigt sich in der Transparenz der Kommunikation. Und hier hat Facebook wieder mal legendär versagt, wie der Spiegel Spiegel berichtete.

Kurzfristig blockierte Facebook nach dem Angriff Meldungen von der Nachrichtenagentur AP und der britischen Zeitung „Guardian“: Wenn Nutzer versuchten, Artikel über den Hackerangriff zu teilen, tauchte eine Meldung von Facebook auf, dass es sich dabei wahrscheinlich um Spam handelte.

Und plötzlich wirkt die Forderung einiger deutscher Politiker nach einer kartellpolitischen Entflechtung Facebooks gar nicht mehr so absurd, bloß undurchsetzbar. Ceterum censeo Facebook delendam esse.

0 Kommentare

Hinterlasse einen Kommentar

Schreibe einen Kommentar