Skandale & neue Privatsphären-Schwachstelle bei Facebook?

Die Tage ist mir ein weiterer Artikel unter die Augen gekommen, der einen möglichen 'Privacy Bug' bei Facebook beleuchtet. Ein weiterer Beitrag thematisiert eine Passwort-Offenlegung bei Instagram. Zudem kochte letzte Woche ein Skandal hoch, dass Facebook eine PR-Agentur beauftragt hatte, die Kritiker in schlechtem Licht dastehen lassen sollte. Ergänzung: Zudem gibt es einen Trend, Influencer auf Instagram zu hacken, um deren Konten für Spam zu missbrauchen. Hier ein kurzer Überblick über die Sachlage.


Anzeige

Sie kommen bei Facebook nicht aus den Negativschlagzeilen, Seit Monaten bestimmten solche Negativmeldungen das Bild der Öffentlichkeit zu diesem Unternehmen. Gestern hatte ich den Blog-Beitrag WhatsApp: DSGVO-Widerspruch? Uns doch egal … veröffentlicht. Auch wenn da WhatsApp drauf steht, ist das Facebook drin.

Facebook und die PR gegen Kritiker

Dann kochte diese Woche ein weiteres Facebook-Thema hoch. Facebook beschäftigte ein PR-Unternehmen, welches seine "Kritiker" in möglichst schlechtem Licht aussehen lassen sollte. In der US-Presse hat das Ganze höhere Wellen geschlagen.

Der Artikel Facebook fights dirty beleuchtet einige Winkelzüge. Zwar sind die meisten Aktivitäten in Sachen Öffentlichkeitsarbeit in Ordnung. Aber es gab wohl Bestrebungen bei Facebook, die in den Medien 'lesbare Realität' dem Willen des Unternehmens anzupassen. Dazu seien skrupellose PR-Agenturen einstellt worden, um einige 'Negativ-Themen' glatt zu bügeln, ohne dass eine Spur zu Facebook führt. So versuchte Definers Public Affairs, eine in Washington ansässige Agentur, Google und Twitter in die Russlandproblematik zu ziehen (und so von Facebook abzulenken).

Auf einer konservativen Nachrichtenseite namens NTK Network haben Dutzende von Artikeln Google und Apple wegen unangenehmer Geschäftspraktiken 'gegrillt'. NTK ist aber eine Tochtergesellschaft der 'PR-Agentur' Definers Public Affair, die sich Büros und Mitarbeiter mit der PR-Firma in Arlington teilt. Und die Beiträge werden immer mal wieder von Breitbart aufgegriffen. Das hat wohl funktioniert. Öffentlich kämpft Facebook gegen 'Fake News' in seinem sozialen Netzwerk, während man im Hintergrund Informationen streut, die Angst, Unsicherheit und Zweifel verbreiten soll. These ist, dass man damit auch die Moral innerhalb der Facebook-Truppe stützen will, die wohl zu bröckeln beginnt.

Bei Interesse kann man ein paar Information im Artikel Facebook-Chef will von PR-Kampagne gegen Kritiker nichts gewusst haben bei heise.de nachlesen. Inzwischen hat Facebook mitgeteilt, dass man die Zusammenarbeite mit der 'PR-Agentur' Definers Public Affairs beendet habe. Dabei versucht man die Facebook-Chefs Mark Zuckerberg und Sheryl Sandberg aus der Schusslinie heraus zu bringen – die hätten nichts davon gewusst. Irgend eine niedrige Charge im Unternehmen habe den Auftrag erteilt. Klar, solange nichts bewiesen ist, gilt die 'Unschuldsvermutung'. Nachtrag: In diesem Artikel liest man, dass der scheidende Leiter für Öffentlichkeitsarbeit, Elliot Schrage, den Auftrag an die PR-Firma Definers erteilt habe.

Ergänzungen: Das Wallstreet Journal berichtet hier (Paywall), dass Zuckerberg Anfang des Jahres etwa 50 seiner Top-Führungskräfte versammelte. Diesen erzählte er, dass Facebook sich Krieg befand und er plante, das Unternehmen entsprechend zu führen.

In Friedenszeiten können sich Führungskräfte langsamer bewegen und sicherstellen, dass alle mit wichtigen Entscheidungen an Bord sind, sagte er auf der Juni-Sitzung, so die mit den Bemerkungen vertrauten Personen. Aber mit Facebook im Belagerungszustand durch Gesetzgeber, Investoren und wütende Nutzer musste er entschlossener handeln, so Teilnehmer. Und Sheryl Sandberg fragte sich, ob sie nach dem Cambridge Analytica-Skandal um ihren Job fürchten müsse. Facebook-Chef Zuckerberg gab ihr die Schuld an der Misere, wie man bei Business Insider nachlesen kann.

Neue Schwachstelle bei Facebook?

Ein Artikel bei The Hackers News thematisiert eine potentielle Schwachstelle bei Facebook, über die man unautorisiert Daten abgreifen konnte. Die Schwachstelle wurde von Cybersicherheitsforschern der Firma Imperva entdeckt. Sie hängt mit der Art und Weise zusammen, wie die Facebook-Suchfunktion die Ergebnisse der eingegebenen Abfragen anzeigt.


Anzeige

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)

Laut Imperva-Forscher Ron Masas enthält die Seite mit den Suchergebnissen iFrame-Elemente für jeden Treffer. Die Endpunkt-URLs dieser iFrames wiesen aber keine Schutzmechanismen zum Schutz vor Cross-Site Request Forgery (CSRF)-Angriffen auf. Die Sicherheitslücke hätte es Angreifern ermöglichen können, bestimmte personenbezogene Daten über Benutzer und ihre Freunde zu erhalten, was möglicherweise die Privatsphäre der Benutzer des beliebtesten sozialen Netzwerks der Welt gefährdet.

Es scheinen zwar keine Daten abgeflossen zu sein. Aber es zeigt erneut, dass Facebook seine Geschichten nicht im Griff hat (was zugegebenermaßen auch eine Herausforderung darstellt). Und im Sinne der DSGVO könnte das auch kritisch werden – keine Ahnung, ob die Aufsichtsbehörden zeitnah informiert wurden.

Instagram-Bug legt Kennwörter offen

Kommen wir, im Sinne eines Dreisprungs beim heutigen Artikel, auf den letzten Punkt. The Information hat gerade den Artikel New Instagram Bug Raises Security Questions veröffentlicht. Demnach hat Facebook-Tochter Instagram einige Benutzer über eine neue Sicherheitslücke informiert, die ihre Passwörter versehentlich der Öffentlichkeit zugänglich gemacht haben könnte.

Der Artikel erfordert zum Lesen eine Anmeldung. Aber Engadget hat einen frei abrufbaren Beitrag zum Thema veröffentlicht. Demnach wurden bei der Nutzung der Instagram-Funktion die Passwörter im Klartext in der URL gesendet. Gleichzeitig wurden aus irgendeinem Grund diese Passwörter auch noch auf den Servern von Facebook gespeichert. In der Benachrichtigung der Benutzer heißt es zwar dass die Daten gelöscht und das Tool aktualisiert wurden – das Problem ist also behoben. Für Sicherheitsforscher stellt sich die Frage zur Wirksamkeit der Sicherheitsmaßnahmen von Instagram.

Nun ja, beim Schreiben dieses Blog-Beitrags schoss mir ganz spontan ein Zitat aus dem Hamlet von William Shakespear 'Ganz schön was faul, im Staate Dänemark' durch den Kopf. Trifft irgendwie auch auf das Facebook-Imperium zu – oder?

Ergänzung: Instagram-Influencer Hacking

Hat jetzt nicht direkt mit Facebook zu tun, passt aber hier mit rein. Auf Instagram sind viele Influencer aktiv, die gutes Geld über gesponsorte Posts verdienen. Es gibt Leute, die 300.000 US-Dollar und mehr pro Jahr mit solchen Kampagnen verdienen. The Atlantic hat hier einen Artikel veröffentlicht, der beschreibt, wie Hacker sich diesen Markt zunutze machen.

Influencer werden mit einem Auftrag geködert – sollen aber ein Tool zum Verfolgen der 'Wirksamkeit einer Marketingkampagne auf Instagram' verwenden. Die Phishing-Links für die Seiten, auf denen das Tool angeblich zu finden ist, sind aber Fake-Auftritte und dienen schlicht dazu, die Zugangsdaten für das Instagram-Konto abzufischen. Sobald der Hacker den Zugriff auf das Konto hat, beginnt er mit dem Spammen.

Oft werden solche Konten nach kurzer Zeit von den Hackern für viele Hunderttausende US-Dollar weiter verkauft. Die 'Opfer', meist noch recht jung, haben kaum eine Chance, das Instagram-Konto wieder zu bekommen. Und die Firmen, die sponsored Posts schalten, bekommen nicht mit, dass der Account gehackt wurde. Der The Atlantic-Artikel ist ganz lesenswert, denn man lernt nie aus. Also auch dort herrschen Wildwest-Methoden.

Ähnliche Artikel:
Hacker bietet private Facebook-Nutzerdaten an
Facebook-Hack: Daten von 30 Millionen Nutzern abgeflossen
Neuer Ärger im Facebook-Universum
Facebook-Hack: Zugriff auf 50 Mio. Access-Token für Konten
Facebook-Hack & DSGVO: Wird es in Europa richtig teuer?
Facebook-Hack: Wohl kein Zugriff auf Drittanbieter-Apps
Datenschützer: Verfahren gegen Facebook eingestellt
Facebook-Hack & DSGVO: Wird es in Europa richtig teuer?
Steigender Vertrauensverlust in Facebook, Google & Co.
'Höchststrafe' für Facebook in England im Analytica-Skandal
Datenlecks Ende Juni 2018: Adidas, Facebook, Exactis
Forscher warnte bereits 2014 vor Facebook-Analytica-Skandal
Löchriges Datenschutzsieb: Die Facebook-Katastrophe
Facebook, die DSGVO und Benachrichtigungen
DSGVO? Und WhatsApp teilt Nutzerdaten mit Facebook
Android-Trojaner stiehlt Daten von Facebook, Skype & Co.
Firefox bringt Facebook-Container als Tracking-Blocker
Nachbeben im Facebook/Cambridge Analytica-Skandal


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Facebook, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.