Nach der ersten Woche des Datenskandals von Cambridge Analytica ist Facebook in den Modus der Schadensbegrenzung übergegangen. Da die Ausgabe ablehnte, wegzugehen, hat Markierung Zuckerberg sich heraus zu den globalen Media gedreht, versprochen, vor Kongreß zu bezeugen und einen Wirt der Updates zum Sozialnetz heraus gerollt.
Eine der wichtigsten Änderungen kam gestern Abend, als Facebook ankündigte, dass es seine API-Nutzung für Entwickler in einem 1.000-Wort-Blog-Post von Chief Technology Officer Mike Schroepfer sperren würde.
Tief in der Nachricht verborgen war die Enthüllung, dass Cambridge Analytica möglicherweise auf mehr Daten zugegriffen hat, als ursprünglich angenommen. Facebook glaubt, dass bis zu 87 Millionen Nutzer ihre Informationen mit dem Unternehmen geteilt haben – das sind 37 Millionen mehr als die ursprünglich von The Guardian gemeldeten 50 Millionen.
Cambridge Analytica bestreitet, dass sie diese Menge an Facebook-Daten erhalten hat, aber dies ist nicht das erste Mal, dass der Social Media-Riese seine Schätzungen des Missbrauchs seiner Plattform erhöht hat. Im Oktober 2017 sagte Facebook, dass bis zu 126 Millionen Amerikaner Anzeigen von Russland gesehen haben könnten, was die bisherige Schätzung von nur 10 Millionen Menschen übersteigt.
Aber auch im Blog-Beitrag von Schroepfer wurde eingeräumt, dass Facebook die Nutzung der Rückwärtssuche nicht mehr zulassen würde. Bisher war es den Nutzern möglich, über eine Telefonnummer oder E-Mail, die mit dem Profil dieser Person verknüpft ist, nach Personen zu suchen. Wenn du einen Freund hast, mit dem du nur per SMS gesprochen hast, kannst du ihn auf Facebook finden.
Die Funktion wurde deaktiviert, kann aber in den Datenschutzeinstellungen von Facebook deaktiviert werden. „Böswillige Schauspieler haben diese Funktionen auch missbraucht, um öffentliche Profilinformationen zu kratzen, indem sie Telefonnummern oder E-Mail-Adressen, die sie bereits durch Suche und Kontowiederherstellung haben, übermittelt haben“, schrieb Schroepfer in seinem Blogbeitrag. Er fuhr fort, dass es eine gewisse „Raffinesse“ bei der Nutzung des Tools gegeben habe und „die meisten Leute auf Facebook hätten ihr öffentliches Profil auf diese Weise schaben können“. Facebook hat mehr als 2,2 Milliarden Nutzer pro Monat.
Es ist nicht ganz klar, welche Informationen diese „böswilligen Akteure“ erhalten haben oder wer sie waren. Die Informationen, die aus dem Schaben von Facebook-Profilen gewonnen werden konnten, waren auf öffentliche Details beschränkt, also nicht auf Fotos, Beiträge oder andere Details. Angesichts der Fragen von Reportern sagte Zuckerberg, es sei „sinnvoll“, das Tool abzuschalten.
Wie bei allen offenen Websites ist es für Entwickler möglich, Skripte auszuführen, um Details auf Webseiten und Websites zu erfassen, wie z. B. die Internet-Archiv-Erfassungsversionen einzelner Websites für historische Zwecke. Während die Technik möglich ist, ist es unwahrscheinlich, dass ihr Einsatz auch außerhalb derer mit technischem Wissen bekannt sein wird.
„Ich glaube nicht, dass die meisten Leute wissen, dass es möglich oder einfach war, also kann es den Bürgern mehr Sorgen bereiten als der technischen Industrie“, sagt Peter Wells, der Leiter der Politik am Open Data Institute. „Die Verbraucher wissen im Allgemeinen nicht, wie Daten gesammelt, verwendet und weitergegeben werden.“
Wells sagt weiterhin, dass nur weil Facebook-Profilinformationen und andere Informationen im Internet erfasst werden können, bedeutet das nicht, dass es so sein sollte. Hier treten Probleme auf. „Es gibt ethische und manchmal rechtliche Spannungen zwischen Entwicklern, die öffentliche Daten sammeln und sie für Zwecke verwenden, die sie nicht beabsichtigen oder die die Leute nicht erwarten.“
In diesem speziellen Fall hat es den Cambridge Analytica Datenskandal für Facebook gebraucht, um die Richtlinie zu überprüfen und zu verhindern, dass Menschen öffentliche Profile einsehen können. Das Unternehmen kennt das Problem seit einiger Zeit.
In den letzten fünf Jahren haben mindestens zwei Entwickler das Problem bei der Firma angesprochen. Im Jahr 2013 wurde Brandon Copley, dem CEO von Giftnix, mit rechtlichen Schritten gedroht, nachdem er die Technik eingesetzt hatte, um zu demonstrieren, wie leicht persönliche Daten in großem Maßstab erfasst werden können.
„Mehrere Facebook-Profile waren extrem einfach zu kratzen“, erklärt er. In einer Reihe von Gesprächen mit den Sicherheitsentwicklern von Facebook erklärte Copley das Problem und es wurde gesagt, dass es hier „keine Sicherheitslücken gibt, auch wenn es auf den ersten Blick so aussieht“.
Die Methode des Schabens kann auf mehrere Arten funktionieren, beruht aber weitgehend darauf, dass die Facebook-API eine Liste von Telefonnummern oder E-Mail-Adressen erhält, die automatisch generiert wurden. Diese könnten auch durch Datenverstöße oder Informationslecks im Internet entstanden sein.
„Fragen Sie Facebook so oft wie möglich ab, bis sie Ihre IP für zu schnelle Abfragen sperren, und an diesem Punkt verlangsamen Sie einfach, bis die Abfragen aufhören“, erklärte Copley in einer E-Mail. „Ich habe meine Arbeit nur für die Forschung gemacht und die Verwundbarkeit für Facebook aufgedeckt“.
Das Thema wurde auch im Jahr 2015 wieder von den Forschern aufgegriffen. Reza Moaiandin, der die Cybersecurity-Firma CyberScanner gründete, veröffentlichte einen Blogpost über das „Schlupfloch“. Er sagte, er sei in der Lage, tausende von Nutzern persönliche Informationen zu sammeln, indem er ihre Handynummern schätzte. Innerhalb dieser Informationen befanden sich Angaben zu Namen, Standorten und Profilbildern.