Privatsphäre und Datenschutz im Web 2.0

Das Blog zur Beratung von DeinWeb - Ein Web für alle!

Sicherheitslücke bei Facebook: Eingeschränkt zugänglich gemachte Bilder sind öffentlich zugänglich

Send to Kindle

Facebook bietet die Möglichkeit, Inhalte, die man dort einstellt, nur bestimmten Personen zugänglich zu machen - theoretisch. Denn zumindest für Bilder ist es so, dass diese Inhalte für jeden öffentlich zugänglich sind, der den genauen URL kennt, unter dem Facebook das jeweilige Bild ablegt.

Sie können das ganz leicht selbst testen. Posten Sie auf Facebook ein Bild, dessen Sichtbarkeit Sie auf "nur ich" setzen. Dieses Bild sollte nun nur für Sie sichtbar sein. Nun klicken Sie auf das Posting und öffnen so die Theateransicht des Bildes. Wenn Sie nun mit der rechten Maustaste auf das Bild klicken, können Sie es in einem neuen Tab öffnen. Das Bild wird nun unter einem URL geöffnet, der die folgende Struktur hat:

https://fbcdn-sphotos-b-a.akamaihd.net/hphotos-ak-ashx/y_y_y_n.jpg

x steht dabei für eine Zahl und y_y_y für drei Zahlen, die durch Unterstriche getrennt werden.

Wenn Sie sich nun aus Facebook ausloggen und diesen URL erneut aufrufen oder ihn in einem anderen Browser öffnen, werden Sie feststellen, dass das Bild für Sie immer noch zugänglich ist, obwohl Sie gar nicht mehr in Facebook eingeloggt sind.

Das heißt im Klartext:

Alle auf Facebook hochgeladenen Bilder sind unabhängig von Sichtbarkeitseinschränkungen auf Facebook weltweit über einen öffentlich zugänglichen URL erreichbar!

Dass das mit auf Facebook nur eingeschränkt zugänglich gemachten Bildern nicht passieren darf, ist eigentlich klar. Zwar ist es relativ unwahrscheinlich, dass jemand, für den das Bild auf Facebook nicht sichtbar ist, oder gar ein Außenstehender über einen solchen URL nicht für die Öffentlichkeit bestimmte Bilder gezielt finden kann - vorausgesetzt hinter den URLs steht keine Systematik, die auf den User-Account desjenigen hindeutet, der das Bild hochgeladen hat. Das habe ich nicht überprüft. Allerdings können Bots, die diese URLs scannen, so durch einfaches Ausprobieren auch Bilder erfassen, die vom User eigentlich gar nicht für die Öffentlichkeit bestimmt waren. Das halte ich schon für problematisch.

Ein viel größeres Problem besteht jedoch darin, dass eine Person, der das Bild auf Facebook zugänglich gemacht wurde, das Bild der Öffentlichkeit zugänglich machen kann.

Als Konsequenz ist dazu zu raten, noch genauer zu überlegen, welche Bilder man auf Facebook hochlädt. Wenn es sich um ein Bild handelt, das auf keinen Fall in die Öffentlichkeit kommen darf, sollte man es auch nicht auf Facebook hochladen. Darüber hinaus sollte man darauf achten, nicht öffentliche Bilder nur Personen zugänglich zu machen, denen man vertraut. Bilder aus Facebook-Nachrichten sind davon nicht betroffen.

Meines Erachtens ist Facebook hier zudem angehalten, das Problem zu beheben, und zumindest Bilder, die auf Facebook nur eingeschränkt zugänglich gemacht wurden, nicht mehr öffentlich zugänglich zu machen.

Flattr this!

Facebook Share Twitter Share

Neues Blog und Beratungsangebot zu Social Engineering und Social Hacking

Send to Kindle

Seit geraumer Zeit befasse ich mich in diesem Blog nun schon mit dem Thema Privatsphäre und Datenschutz im Web 2.0. In vielen Fällen habe ich auch über Sicherheitslücken und Angriffsszenarien berichtet. Dabei mußte ich immer wieder feststellen, daß in den seltensten Fällen die Technik allein der Schuldige ist. Oftmals kommen Angreifer erst durch psychologische Mittel an sensible Informationen wie Paßwörter heran oder bringen ihre Opfer dadurch dazu, schädliche Software auszuführen. Diesen Vorgang nennt man Social Engineering. Insbesondere in Unternehmen ist es daher ganz besonders wichtig, die psychologischen Faktoren, die solche Angriffe begünstigen oder ermöglichen, zu erkennen und Mitarbeiter darauf vorzubereiten. Aus diesem Grund habe ich ein Blog und Beratungsangebot zu den Themen Social Engineering, Social Hacking sowie Psychologie und Computersicherheit aufgebaut. Sie finden es auf http://www.socialhacker.de. Über Themen wie Social Engineering werde ich zukünftig hauptsächlich dort berichten. Das Angebot ist auch auf Facebook und Twitter vertreten. Ich freue mich auf Ihren Besuch!

Flattr this!

Facebook Share Twitter Share

Facebook: Privatsphäreeinstellungen für Freundeslisten teilweise umgehbar

Send to Kindle

Wußten Sie schon, daß die Privatsphäreeinstellungen für Freundeslisten in Facebook teilweise umgehbar sind? Freunde können auch für den Fall, daß Sie Ihre Freundesliste nur für sich selbst sichtbar gemacht haben, zumindest einen Teil Ihrer Freunde einsehen. Aber wie geht das? Und was kann man dagegen tun? Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

Wie man Paßwörter in Webanwendungen richtig speichert

Send to Kindle

Heute habe ich leider etwas erleben müssen, von dem ich dachte, daß es eigentlich im Jahr 2012 nicht mehr vorkommt.

Ich bekam eine Mail von einem Anbieter, bei dem ich einen Account habe, in dem mir mitgeteilt wurde, daß seine Datenbank mit User-Accounts kompromittiert wurde. So weit, so gut, das kann passieren. Auch daß die Usernamen offengelegt wurden, ist noch kein Beinbruch. Nicht lustig ist dagegen, daß auch die Paßwörter illegal kopiert wurden, die nun an diversen Stellen veröffentlicht würden. Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

Privatsphäre und Benutzerfreundlichkeit – geht das überhaupt zusammen?

Send to Kindle

In diesem Artikel möchte ich mich nicht selbst äußern, sondern Sie, liebe Leserinnen und Leser, zu Wort kommen lassen.

Nach einer Umfrage der Bitkom sind neben Datensicherheit Privatsphäre und Benutzerfreundlichkeit die wichtigsten Aspekte für deutsche Benutzer sozialer Netzwerke.

Auf der anderen Seite wird insbesondere seitens der Betreiber sozialer Netzwerke immer wieder argumentiert, daß strikte Privatsphäreeinstellungen die Benutzerfreundlichkeit der Dienste vermindern würde. Mit einer eingeschränkten Privatsphäre passe man sich zudem nur sozialen Normen an.

Wie gehen diese Aspekte zusammen? Was meinen Sie: Wieso nutzen so viele Deutsche soziale Netzwerke, wenn die Privatsphäre dort nicht so hohe Priorität hat, wie sie ihr gern einräumen würden? Ist am Ende die Benutzerfreundlichkeit doch wesentlich wichtiger als die Privatsphäre? Oder sind Privatsphäre und Benutzerfreundlichkeit in sozialen Netzwerken gar kein Widerspruch? Ich freue mich auf eine spannende Diskussion.

Flattr this!

Facebook Share Twitter Share

Internetbetrug an Feiertagen – wie Sie sich schützen können

Send to Kindle

Der Valentinstag gilt zwar auch als der Tag der Blumenindustrie, sollte aber auch für Liebende ein schöner Tag sein. Jedoch versuchen nicht nur Blumenhändler heute auf legale und legitime Weise Umsatz zu machen. Auch Betrüger wollen vor allem im Internet mit miesen und alles andere als legalen Maschen jedes Jahr an diesem und an anderen besonderen Feiertagen Profit aus der Feierlaune der Menschen schlagen.

Ein Beispiel für so einen Betrugsversuch fand ich eben in meiner Mailbox vor. Ich möchte an diesem Beispiel erläutern, wie Sie solche Betrugsversuche erkennen und sich davor schützen können. Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

Google plant User-Tracking über alle Dienste

Send to Kindle

Wie die Washington Post berichtet, plant Google, seine User über alle Dienste hinweg zu tracken und die gesammelten Informationen zu aggregieren, um "eine einfachere, intuitivere Google-Erfahrung" zu liefern. Dies ist die Folge dessen, daß Google seine einzelnen Datenschutzerklärungen für die jeweiligen Dienste in einer Datenschutzerklärung zusammenfaßt. Die Änderungen sollen zum 1. März in Kraft treten, und die User werden auf der Suchseite und via Mail darüber informiert. Alle Google-Dienste und auch Android-Geräte sind betroffen. Lediglich Google Books und der Google-Browser Chrome werden nicht mit einbezogen.

Dies birgt natürlich erhebliche Probleme. Die Washington Post nennt zum Beispiel den Fall, daß ein User GMail geschäftlich nutzt und nun auf einmal eine vertrauliche Mail an Kollegen, in der der Ort eines Meetings genannt wird, von Google Maps ausgelesen und dort der Ort veröffentlicht wird. Es sind zahlreiche Fälle dieser Art denkbar, in denen vertrauliche Informationen plötzlich von anderen Google-Diensten öffentlich gemacht werden.

Zudem stellt sich die Frage, ob eine Datenschutzerklärung für alle Dienste überhaupt rechtlichen Standards genügt. Da in den verschiedenen Diensten verschiedene personenbezogene Daten erhoben werden, könnte man eine allgemeine Abhandlung in der Datenschutzerklärung eventuell als unzureichend ansehen, weil nicht genau beschrieben wird, welche personenbezogenen Daten wann konkret verarbeitet werden.

Was kann man nun tun, um sich zu schützen? Zum einen können Sie andere Dienste nutzen. In einem anderen Artikel habe ich beschrieben, wie Sie Google-Dienste in vielen Fällen durch selbst betriebene Plattformen ersetzen können, deren Daten Sie selbst unter Kontrolle haben. Dies sollten Sie ohnehin immer tun, wenn Sie mit sensiblen Daten, vor allem Geschäftsdaten hantieren! Ist dies nicht der Fall, kommt auch die Nutzung anderer Dienste von Drittanbietern, die ähnliches wie Google leisten, in Frage und verhindert ein umfangreiches Tracking, wie Google es plant.
Wenn Sie nicht auf Google-Dienste verzichten wollen, können Sie für jeden Google-Dienst, den Sie nutzen, auch einen eigenen Account anlegen. Aber auch da muß man aufpassen. So erfährt beispielsweise ein Account, den Sie für Ihr Android-Telefon nutzen, von Ihrem Account, den Sie für Google+ nutzen, wenn Sie das mobile Google+ mit diesem Account auf Ihrem Android-Telefon, das unter einem anderen Account läuft, nutzen. Diese Verknüpfung ist auch nicht mehr löschbar, wenn Sie Google+ und den anderen Google-Account vollständig von Ihrem Smartphone entfernen, wie ich heute feststellen mußte. Beim Synchronisieren von Google-Accounts ist also Vorsicht geboten.

Welche Google-Dienste Sie nutzen, können Sie übrigens im Dashboard von Google sehen. Vielleicht ist das ein guter Anlaß, dort auch mal wieder aufzuräumen und Daten bei nicht genutzten Google-Diensten zu löschen.

Flattr this!

Facebook Share Twitter Share

Erste eigene Erfahrungen mit Facebooks Social Apps und Frictionless Sharing

Send to Kindle

Ich habe soeben eine Social App eines Dienstes entdeckt, der auch für Deutsche verfügbar ist, und die App getestet, um einen Eindruck zu bekommen, wie das Ganze funktioniert. Es handelt sich um die Social App von http://news.yahoo.com. Über meinen Eindruck möchte ich hier kurz berichten.

Darauf gestoßen bin ich, als ich einen Artikel, den ein Facebook-Freund geteilt hatte, lesen wollte. Anstatt zum Artikel kam ich zur Anwendungsanfrage von Yahoo!. Yahoo! will für die Anwendung Zugriff auf meine primäre bei Facebook registrierte E-Mail-Adresse, die ich auch für den Login verwende, meinen Geburtstag und meine "Gefällt mir"-Angaben. Unschön ist dabei, daß man keine alternative E-Mail-Adresse angeben kann. Ich möchte eigentlich nicht, daß einem Drittanbieter meine Login-Adresse bekannt wird. Wozu Yahoo Zugriff auf diese Angaben braucht, wird leider auch nicht klar. In der verlinkten Datenschutzerklärung findet sich bedauerlicherweise kein eigener Abschnitt zu dieser Funktion. Insgesamt läßt die Anwendung in diesen Punkten Transparenz über die Verwendung von Daten vermissen.

Zudem möchte Yahoo "Anwendungsaktivitäten zu deiner Chronik hinzufügen - Yahoo! kann deine Anwendungsaktivitäten in deiner Chronik veröffentlichen.". Dies ist eine notwendige Berechtigung für das Frictionless Sharing. Die Meldungen, welcher Artikel gelesen wurde, erscheinen in der Chronik (Timeline) in einem neuen Bereich namens "Nachrichten". Dort kann man den Artikel verbergen oder löschen. Wer allerdings noch das alte Profil und nicht die neue Chronik/Timeline hat, wird diesen Vorgang dort unter "Neueste Aktivitäten" finden.

Gut gelöst ist dagegen die Kontrolle der Sichtbarkeit der geteilten Inhalte. Die Voreinstellung lautet "Freunde", aber prinzipiell ist jede Einstellung bis hin zu "Nur ich" möglich, die aber natürlich wenig Sinn macht.

Auf der eigentlichen Seite http://news.yahoo.com gibt es ebenfalls einige Einstellungsmöglichkeiten und weitere Informationen. So werden die Aktivitäten von Freunden, die diese Social App ebenfalls verwenden, angezeigt. Unter "Your Activity" können Sie die Artikel einsehen, die Sie bisher geteilt haben. In einem weiteren Bereich, der sich "Social" nennt, kann man das Teilen auf Facebook an- oder abstellen. Unter "Options" gibt es ebenfalls einige Einstellungsmöglichkeiten wie Freunde einladen. Dort findet sich auch ein Punkt "Remove this Experience", der es ermöglicht, die Social App auch von der Yahoo!-Seite aus zu entfernen.

Alles in allem hat Yahoo! die Anwendung abgesehen von der Intransparenz bei der Verwendung personenbezogener Daten wie E-Mail-Adresse, Geburtsdatum und "Gefällt mir"-Angaben gut und transparent umgesetzt. Es fehlt lediglich ein eigener Passus für die Social App in der Datenschutzerklärung von Yahoo!, der auch transparenter macht, wozu die oben genannten Angaben benötigt werden.

Was ich allerdings skeptisch sehe, ist die Akzeptanz des Ganzen. Ich kann mir nicht vorstellen, daß - zumindest in Deutschland - viele User bereit sind, einer App Rechte zum Zugriff auf ihre Daten zu geben, nur um einen Artikel lesen zu können, den sie ohne weitere Datenfreigaben frei im Netz finden. Aber genau darauf setzt das Modell. Diese Social Apps können sich nur dann wirklich viral weiterverbreiten, wenn die Freunde der Personen, die etwas über eine Social App teilen, die Social App ebenfalls akzeptieren. Ich kann mir sogar vorstellen, daß Social Apps und Frictionless Sharing daran scheitern könnten. Was meinen Sie?

Flattr this!

Facebook Share Twitter Share

Neuer Datenskandal bei Smartphones: Carrier IQ

Send to Kindle

Wie Heise berichtet ist auf etwa 140 Millionen Mobilfunkgeräten eine Spionage-Software namens Carrier IQ installiert. Betroffen seien Android-Geräte, aber auch iOS von Apple, das auf iPhones und iPads läuft, sowie Geräte einiger anderer Hersteller. Die Software soll einer Analyse zufolge in der Lage sein, persönliche Daten wie SMS, besuchte Websites oder Suchanfragen zu übermitteln. Auch Tastatureingaben sollen aufgezeichnet werden. Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

Sind Facebooks neue „Social Apps“ und „Frictionless Sharing“ wirklich ein Privatsphäre-Problem?

Send to Kindle

Dieser Tage wird viel über Facebooks neue "Social Apps" und das "Frictionless Sharing" diskutiert. In Deutschland stehen Apps, die diese Möglichkeit bieten, noch nicht zur Verfügung, weil die Dienste, die solche Apps bisher eingeführt haben, nicht in Deutschland verfügbar sind. Aber in den USA bieten einige Unternehmen bereits Social Apps mit Frictionless Sharing an, was zu erheblichem Unmut bei den Usern geführt hat, weil die User überrascht sind, daß die jeweiligen Apps Informationen ohne ihr Zutun teilen. Robert Scoble faßt die Debatte um Frictionless Sharing in einem kritischen Artikel gut zusammen. Aber worum geht es genau? Und ist das wirklich ein Privatsphäre-Problem? Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

Copyright © 2016 by: DeinWeb - Ein Web für alle! • Template by: BlogPimp Lizenz: Creative Commons BY-NC-SA.
Twitter-Button: IconTexto, http://icontexto.blogspot.com/