Soziales Netzwerk liest weiter Account-Details aus - Experte warnt vor Sicherheits- und Privacy-Implikationen
Während der Erfolg von Facebook unumstritten ist, hat das soziale Netzwerk nicht in jederlei Hinsicht einen solch positiven Ruf. Über die Jahre hatten die BetreiberInnen immer wieder mit scharfer Kritik am eigenen Umgang mit dem Thema Privatsphäre zu kämpfen. Gerade die regelmäßigen - aber nicht unbedingt sonderlich transparenten - Änderungen an den diesbezüglichen Einstellungen sorgten immer wieder für Unmut. Zuletzt hagelte es dann Kritik für das kommende "Frictionless Sharing", mit dem der Besuch einzelner Seiten auch ganz ohne das Zutun der NutzerInnen geteilt werden kann, wodurch wohl so manche unabsichtlich viel über ihr Leseverhalten verraten könnten - so die Befürchtung.
Log-Out...
Die aktuelle Diskussion war es denn auch, die den Hacker und Blogger Nik Cubrilovic dazu gebracht hat, auf ein weiteres - und schon länger bestehendes - Facebook-Privacy-Problem aufmerksam zu machen: Wie Cubrilovic entdeckt hat, ist es nämlich keineswegs ausreichend sich bei Facebook auszuloggen, um die diversen Tracking-Funktionen des sozialen Netzwerks zu deaktivieren.
...reicht nicht
Selbst nach einem Log-Out wird beim Aufruf jeder mit Facebook verbundenen Seite weiterhin die eigene, eindeutig identifizierbare Account-ID an das soziale Netzwerk geschickt. Dies betrifft neben Facebook selbst natürlich auch alle mit Like- oder Share-Knöpfen versehenen Webpages, womit das Unternehmen - zumindest rein theoretisch - ein veritables Web-Profil der UserInnen erstellen könnte. Wer diese Zuordnung verhindern will, dem bleibt nur das eigene Cookie nach dem Logout manuell zu löschen - oder für Facebook gleich einen anderen Browser zu verwenden.
Antwort
Auf den Blog-Eintrag von Cubrilovic hat sich mittlerweile auch ein Entwickler von Facebook zu Wort gemeldet, der dieses Verhalten bestätigt, gleichzeitig aber jegliche Schnüffel-Ambitionen vehement bestreitet. Man verwende Cookies prinzipiell nicht zum Tracking. Da man keine eigene Werbeplattform betreibe, habe man daran schlicht kein Interesse. Statt dessen spüre man ausgeloggten NutzerInnen aus anderen Gründen nach: So sollen einerseits auf diesem Weg Spam- und Phishing-Accounts aufgespürt werden, zudem will man verhindern, dass sich Minderjährige nach einer Sperre einfach mit einem gefälschten Geburtsdatum neu anmelden. Auch könne man so NutzerInnen einfacher beim Wiederherstellen gehackter Accounts helfen.
Privacy
Diese Argumente will Cubrilovic natürlich nicht so stehen lassen, wenn Facebook beispielsweise ernsthaft auf solche Tricks zurückgreifen muss, um gegen Phishing und Spam vorzugehen, sei es kein Wunder, dass man dieses Problem nicht im Griff habe. Hingegen erzeuge das Vorgehen von Facebook sehr reale Privacy-Problem, so würden etwa auf öffentlichen Rechner auch nach dem Ausloggen klar zuordenbare Spuren des eigenen Facebook-Profils hinterlassen.
Keine Reaktion
Der Sicherheitsexperte betont, dass er Facebook bereits im November 2010 auf dieses Problem aufmerksam gemacht hat, bislang aber - trotz mehrmaliger Nachfragen - keinerlei Antworten erhalten habe. Insofern habe er sich nun entschlossen, die Problematik öffentlich zu machen. (red, derStandard.at, 26.09.11)
