Privatsphäre und Datenschutz im Web 2.0

Das Blog zur Beratung von DeinWeb - Ein Web für alle!

Sicherheitslücke bei Facebook: Eingeschränkt zugänglich gemachte Bilder sind öffentlich zugänglich

Send to Kindle

Facebook bietet die Möglichkeit, Inhalte, die man dort einstellt, nur bestimmten Personen zugänglich zu machen - theoretisch. Denn zumindest für Bilder ist es so, dass diese Inhalte für jeden öffentlich zugänglich sind, der den genauen URL kennt, unter dem Facebook das jeweilige Bild ablegt.

Sie können das ganz leicht selbst testen. Posten Sie auf Facebook ein Bild, dessen Sichtbarkeit Sie auf "nur ich" setzen. Dieses Bild sollte nun nur für Sie sichtbar sein. Nun klicken Sie auf das Posting und öffnen so die Theateransicht des Bildes. Wenn Sie nun mit der rechten Maustaste auf das Bild klicken, können Sie es in einem neuen Tab öffnen. Das Bild wird nun unter einem URL geöffnet, der die folgende Struktur hat:

https://fbcdn-sphotos-b-a.akamaihd.net/hphotos-ak-ashx/y_y_y_n.jpg

x steht dabei für eine Zahl und y_y_y für drei Zahlen, die durch Unterstriche getrennt werden.

Wenn Sie sich nun aus Facebook ausloggen und diesen URL erneut aufrufen oder ihn in einem anderen Browser öffnen, werden Sie feststellen, dass das Bild für Sie immer noch zugänglich ist, obwohl Sie gar nicht mehr in Facebook eingeloggt sind.

Das heißt im Klartext:

Alle auf Facebook hochgeladenen Bilder sind unabhängig von Sichtbarkeitseinschränkungen auf Facebook weltweit über einen öffentlich zugänglichen URL erreichbar!

Dass das mit auf Facebook nur eingeschränkt zugänglich gemachten Bildern nicht passieren darf, ist eigentlich klar. Zwar ist es relativ unwahrscheinlich, dass jemand, für den das Bild auf Facebook nicht sichtbar ist, oder gar ein Außenstehender über einen solchen URL nicht für die Öffentlichkeit bestimmte Bilder gezielt finden kann - vorausgesetzt hinter den URLs steht keine Systematik, die auf den User-Account desjenigen hindeutet, der das Bild hochgeladen hat. Das habe ich nicht überprüft. Allerdings können Bots, die diese URLs scannen, so durch einfaches Ausprobieren auch Bilder erfassen, die vom User eigentlich gar nicht für die Öffentlichkeit bestimmt waren. Das halte ich schon für problematisch.

Ein viel größeres Problem besteht jedoch darin, dass eine Person, der das Bild auf Facebook zugänglich gemacht wurde, das Bild der Öffentlichkeit zugänglich machen kann.

Als Konsequenz ist dazu zu raten, noch genauer zu überlegen, welche Bilder man auf Facebook hochlädt. Wenn es sich um ein Bild handelt, das auf keinen Fall in die Öffentlichkeit kommen darf, sollte man es auch nicht auf Facebook hochladen. Darüber hinaus sollte man darauf achten, nicht öffentliche Bilder nur Personen zugänglich zu machen, denen man vertraut. Bilder aus Facebook-Nachrichten sind davon nicht betroffen.

Meines Erachtens ist Facebook hier zudem angehalten, das Problem zu beheben, und zumindest Bilder, die auf Facebook nur eingeschränkt zugänglich gemacht wurden, nicht mehr öffentlich zugänglich zu machen.

Flattr this!

Facebook Share Twitter Share

Wie man Paßwörter in Webanwendungen richtig speichert

Send to Kindle

Heute habe ich leider etwas erleben müssen, von dem ich dachte, daß es eigentlich im Jahr 2012 nicht mehr vorkommt.

Ich bekam eine Mail von einem Anbieter, bei dem ich einen Account habe, in dem mir mitgeteilt wurde, daß seine Datenbank mit User-Accounts kompromittiert wurde. So weit, so gut, das kann passieren. Auch daß die Usernamen offengelegt wurden, ist noch kein Beinbruch. Nicht lustig ist dagegen, daß auch die Paßwörter illegal kopiert wurden, die nun an diversen Stellen veröffentlicht würden. Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

Google plant User-Tracking über alle Dienste

Send to Kindle

Wie die Washington Post berichtet, plant Google, seine User über alle Dienste hinweg zu tracken und die gesammelten Informationen zu aggregieren, um "eine einfachere, intuitivere Google-Erfahrung" zu liefern. Dies ist die Folge dessen, daß Google seine einzelnen Datenschutzerklärungen für die jeweiligen Dienste in einer Datenschutzerklärung zusammenfaßt. Die Änderungen sollen zum 1. März in Kraft treten, und die User werden auf der Suchseite und via Mail darüber informiert. Alle Google-Dienste und auch Android-Geräte sind betroffen. Lediglich Google Books und der Google-Browser Chrome werden nicht mit einbezogen.

Dies birgt natürlich erhebliche Probleme. Die Washington Post nennt zum Beispiel den Fall, daß ein User GMail geschäftlich nutzt und nun auf einmal eine vertrauliche Mail an Kollegen, in der der Ort eines Meetings genannt wird, von Google Maps ausgelesen und dort der Ort veröffentlicht wird. Es sind zahlreiche Fälle dieser Art denkbar, in denen vertrauliche Informationen plötzlich von anderen Google-Diensten öffentlich gemacht werden.

Zudem stellt sich die Frage, ob eine Datenschutzerklärung für alle Dienste überhaupt rechtlichen Standards genügt. Da in den verschiedenen Diensten verschiedene personenbezogene Daten erhoben werden, könnte man eine allgemeine Abhandlung in der Datenschutzerklärung eventuell als unzureichend ansehen, weil nicht genau beschrieben wird, welche personenbezogenen Daten wann konkret verarbeitet werden.

Was kann man nun tun, um sich zu schützen? Zum einen können Sie andere Dienste nutzen. In einem anderen Artikel habe ich beschrieben, wie Sie Google-Dienste in vielen Fällen durch selbst betriebene Plattformen ersetzen können, deren Daten Sie selbst unter Kontrolle haben. Dies sollten Sie ohnehin immer tun, wenn Sie mit sensiblen Daten, vor allem Geschäftsdaten hantieren! Ist dies nicht der Fall, kommt auch die Nutzung anderer Dienste von Drittanbietern, die ähnliches wie Google leisten, in Frage und verhindert ein umfangreiches Tracking, wie Google es plant.
Wenn Sie nicht auf Google-Dienste verzichten wollen, können Sie für jeden Google-Dienst, den Sie nutzen, auch einen eigenen Account anlegen. Aber auch da muß man aufpassen. So erfährt beispielsweise ein Account, den Sie für Ihr Android-Telefon nutzen, von Ihrem Account, den Sie für Google+ nutzen, wenn Sie das mobile Google+ mit diesem Account auf Ihrem Android-Telefon, das unter einem anderen Account läuft, nutzen. Diese Verknüpfung ist auch nicht mehr löschbar, wenn Sie Google+ und den anderen Google-Account vollständig von Ihrem Smartphone entfernen, wie ich heute feststellen mußte. Beim Synchronisieren von Google-Accounts ist also Vorsicht geboten.

Welche Google-Dienste Sie nutzen, können Sie übrigens im Dashboard von Google sehen. Vielleicht ist das ein guter Anlaß, dort auch mal wieder aufzuräumen und Daten bei nicht genutzten Google-Diensten zu löschen.

Flattr this!

Facebook Share Twitter Share

Erste eigene Erfahrungen mit Facebooks Social Apps und Frictionless Sharing

Send to Kindle

Ich habe soeben eine Social App eines Dienstes entdeckt, der auch für Deutsche verfügbar ist, und die App getestet, um einen Eindruck zu bekommen, wie das Ganze funktioniert. Es handelt sich um die Social App von http://news.yahoo.com. Über meinen Eindruck möchte ich hier kurz berichten.

Darauf gestoßen bin ich, als ich einen Artikel, den ein Facebook-Freund geteilt hatte, lesen wollte. Anstatt zum Artikel kam ich zur Anwendungsanfrage von Yahoo!. Yahoo! will für die Anwendung Zugriff auf meine primäre bei Facebook registrierte E-Mail-Adresse, die ich auch für den Login verwende, meinen Geburtstag und meine "Gefällt mir"-Angaben. Unschön ist dabei, daß man keine alternative E-Mail-Adresse angeben kann. Ich möchte eigentlich nicht, daß einem Drittanbieter meine Login-Adresse bekannt wird. Wozu Yahoo Zugriff auf diese Angaben braucht, wird leider auch nicht klar. In der verlinkten Datenschutzerklärung findet sich bedauerlicherweise kein eigener Abschnitt zu dieser Funktion. Insgesamt läßt die Anwendung in diesen Punkten Transparenz über die Verwendung von Daten vermissen.

Zudem möchte Yahoo "Anwendungsaktivitäten zu deiner Chronik hinzufügen - Yahoo! kann deine Anwendungsaktivitäten in deiner Chronik veröffentlichen.". Dies ist eine notwendige Berechtigung für das Frictionless Sharing. Die Meldungen, welcher Artikel gelesen wurde, erscheinen in der Chronik (Timeline) in einem neuen Bereich namens "Nachrichten". Dort kann man den Artikel verbergen oder löschen. Wer allerdings noch das alte Profil und nicht die neue Chronik/Timeline hat, wird diesen Vorgang dort unter "Neueste Aktivitäten" finden.

Gut gelöst ist dagegen die Kontrolle der Sichtbarkeit der geteilten Inhalte. Die Voreinstellung lautet "Freunde", aber prinzipiell ist jede Einstellung bis hin zu "Nur ich" möglich, die aber natürlich wenig Sinn macht.

Auf der eigentlichen Seite http://news.yahoo.com gibt es ebenfalls einige Einstellungsmöglichkeiten und weitere Informationen. So werden die Aktivitäten von Freunden, die diese Social App ebenfalls verwenden, angezeigt. Unter "Your Activity" können Sie die Artikel einsehen, die Sie bisher geteilt haben. In einem weiteren Bereich, der sich "Social" nennt, kann man das Teilen auf Facebook an- oder abstellen. Unter "Options" gibt es ebenfalls einige Einstellungsmöglichkeiten wie Freunde einladen. Dort findet sich auch ein Punkt "Remove this Experience", der es ermöglicht, die Social App auch von der Yahoo!-Seite aus zu entfernen.

Alles in allem hat Yahoo! die Anwendung abgesehen von der Intransparenz bei der Verwendung personenbezogener Daten wie E-Mail-Adresse, Geburtsdatum und "Gefällt mir"-Angaben gut und transparent umgesetzt. Es fehlt lediglich ein eigener Passus für die Social App in der Datenschutzerklärung von Yahoo!, der auch transparenter macht, wozu die oben genannten Angaben benötigt werden.

Was ich allerdings skeptisch sehe, ist die Akzeptanz des Ganzen. Ich kann mir nicht vorstellen, daß - zumindest in Deutschland - viele User bereit sind, einer App Rechte zum Zugriff auf ihre Daten zu geben, nur um einen Artikel lesen zu können, den sie ohne weitere Datenfreigaben frei im Netz finden. Aber genau darauf setzt das Modell. Diese Social Apps können sich nur dann wirklich viral weiterverbreiten, wenn die Freunde der Personen, die etwas über eine Social App teilen, die Social App ebenfalls akzeptieren. Ich kann mir sogar vorstellen, daß Social Apps und Frictionless Sharing daran scheitern könnten. Was meinen Sie?

Flattr this!

Facebook Share Twitter Share

Neuer Datenskandal bei Smartphones: Carrier IQ

Send to Kindle

Wie Heise berichtet ist auf etwa 140 Millionen Mobilfunkgeräten eine Spionage-Software namens Carrier IQ installiert. Betroffen seien Android-Geräte, aber auch iOS von Apple, das auf iPhones und iPads läuft, sowie Geräte einiger anderer Hersteller. Die Software soll einer Analyse zufolge in der Lage sein, persönliche Daten wie SMS, besuchte Websites oder Suchanfragen zu übermitteln. Auch Tastatureingaben sollen aufgezeichnet werden. Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

Sind Facebooks neue „Social Apps“ und „Frictionless Sharing“ wirklich ein Privatsphäre-Problem?

Send to Kindle

Dieser Tage wird viel über Facebooks neue "Social Apps" und das "Frictionless Sharing" diskutiert. In Deutschland stehen Apps, die diese Möglichkeit bieten, noch nicht zur Verfügung, weil die Dienste, die solche Apps bisher eingeführt haben, nicht in Deutschland verfügbar sind. Aber in den USA bieten einige Unternehmen bereits Social Apps mit Frictionless Sharing an, was zu erheblichem Unmut bei den Usern geführt hat, weil die User überrascht sind, daß die jeweiligen Apps Informationen ohne ihr Zutun teilen. Robert Scoble faßt die Debatte um Frictionless Sharing in einem kritischen Artikel gut zusammen. Aber worum geht es genau? Und ist das wirklich ein Privatsphäre-Problem? Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

Facebooks inakzeptables User-Tracking

Send to Kindle

Wie Mashable berichtet, hat Facebook erstmals Auskunft über sein User-Tracking gegeben. Demnach soll bei jedem User, auch bei Nichtmitgliedern, ein Cookie gesetzt werden. Dieses Cookie übermittelt Informationen an Facebook, sobald der User eine Website mit einem Social Plugin, also zum Beispiel einem Like-Button besucht. Dazu gehören nicht personenbezogene Daten wie die Uhrzeit und das Datum des Besuchs sowie die besuchte Website. Aber darüber hinaus werden auch "einzigartige Charakteristiken" des verwendeten Computers übermittelt. Dies ermöglicht schon eine sehr genaue Identifikation des jeweiligen Users. Ist der User gleichzeitig in Facebook eingeloggt, werden zudem Daten wie Name und Mailadresse übermittelt, die die Person eindeutig identifizierbar machen. All diese Daten bleiben auf Facebooks Servern 90 Tage lang gespeichert. Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

reference.me: Problematischer Umgang mit Daten von Kontakten

Send to Kindle

Derzeit macht ein neues soziales Netzwerk namens reference.me von sich Reden. Darauf aufmerksam wurde ich, weil ich eine Mail des Anbieters bekommen hatte, daß sich jemand dort mit mir vernetzt habe. Das Problem an der Sache ist, daß ich dort gar keinen Account habe. Zunächst dachte ich, daß die Person meine Daten bei reference.me angegeben hätte, was aber nicht der Fall war. Sie fand dort über die Suche meine Daten bereits vor. Nun stellt sich natürlich die Frage, wie meine Daten ohne mein Zutun in der Datenbank von reference.me gelandet sind. Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

Einem geschenkten Gaul schaut man nicht ins Maul! Oder doch?

Send to Kindle

Mittlerweile sind elektronische Geräte wie Smartphones auch ein beliebtes Geschenk. Doch nicht immer stecken dahinter lautere Absichten, wie ein aktueller Fall zeigt, in dem ein Ehemann seine Ehefrau mit einem iPhone, das er ihr geschenkt und auf dem er eine Tracking-Software installiert hat, beim Fremdgehen erwischt hat.
Ohne Frage, das Verhalten der Dame läßt natürlich auch zu wünschen übrig. Aber das darf kein Grund sein, ein Bewegungsprofil eines Menschen ohne sein Wissen und erst recht ohne seine Zustimmung zu erstellen. Auch andere "Bespitzelungsmethoden" wie das Mitlesen der Kommunikation, die über das fremde Smartphone läuft, oder das Übertragen von Daten ohne Wissen und Zustimmung des Betroffenen sind natürlich absolut tabu. Meines Erachtens gilt dies auch für Eltern, die ihren Kindern ein Smartphone schenken. In diesem Fall mag das Bedürfnis, die Aktivitäten des eigenen Kindes zu seinem eigenen Schutz zu überwachen, noch größer sein. Aber auch das halte ich für nicht legitim, wenn das Kind nichts davon weiß.
Nichtsdestotrotz ermöglichen zahlreiche Apps auf allen Plattformen auf einfachste Art und Weise ein derartiges unlauteres Aushorchen. Natürlich sollte man normalerweise einem Partner, der einem ein solches Gerät schenkt, vertrauen können. Leider scheint hier aber durchaus ein gewisses Mißtrauen angebracht. Wie kann man sich nun schützen? Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

Die neue Facebook-Timeline ist für den Datenschutz gar nicht so schlecht

Send to Kindle

Derzeit wird viel über Facebooks neues Nutzer-Profil, Timeline genannt, geschimpft. Facebooks Ankündigung, die Timeline "zum kompletten digitalen Lebensarchiv" machen zu wollen, sorgt für viel Empörung. Aber warum eigentlich? Mir erschließt sich die Kritik überhaupt nicht. Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

Copyright © 2017 by: DeinWeb - Ein Web für alle! • Template by: BlogPimp Lizenz: Creative Commons BY-NC-SA.
Twitter-Button: IconTexto, http://icontexto.blogspot.com/