Facebook-Leaks: Oops, we did it again – and again!

Was ist

Facebook hat binnen weniger Wochen gleich zweimal gezeigt, dass es nicht in der Lage ist, die Daten seiner Nutzerïnnen zuverlässig zu schützen. Noch problematischer als die Fahrlässigkeit ist der Umgang damit: Eine interne E-Mail, die Facebook versehentlich verschickt hat, offenbart die fragwürdige Strategie, mit der Facebook solche PR-Krisen aussitzen will.

Anders ausgedrückt: Facebook leakt versehentlich eine Handreichung für den Umgang mit Leaks – oh, the irony.

Was bisher geschah

Zuerst ein kurzer Blick zurück, denn das Frühjahr ist offenbar Peak-Leak-Time bei Facebook:

Ein Sprung ins Jahr 2021:

Diese Ereignisse dürften die meisten Menschen mitbekommen haben, schließlich haben fast alle großen Medien prominent darüber berichtet. Doch jetzt kommt noch ein weiteres potenzielles Privacy-Problem dazu:

  • Seit Dienstag kursiert das Video eines IT-Sicherheitsforschers, in dem er ein Tool namens "Facebook Email Search v1.0" demonstriert (Ars Technica).
  • Eine Schwachstelle ermöglichte es, massenhaft E-Mail-Adressen abzugreifen – angeblich bis zu fünf Millionen pro Tag.
  • Facebook selbst behauptet, dass es den Bug-Report versehentlich geschlossen habe, bevor es das zuständige Team informiert habe.
  • Der Sicherheitsforscher sagt, er habe den möglichen Exploit nur öffentlich gemacht, weil Facebook das Problem für zu irrelevant gehalten habe, um es zu fixen.

Wie Facebook reagiert

Die Reaktion von Facebook auf das erste Datenleck vermittelt den Eindruck, dass es dem Konzern in erster Linie darum geht, negative Schlagzeilen zu verhindern. Die Außenwirkung scheint mindestens genauso wichtig zu sein wie die Privatsphäre der Nutzerïnnen:

  • Nachdem mehr als eine halbe Milliarde Handynummern im Netz standen, schrieb eine Facebook-Sprecherin nur (Twitter / Liz Bourgeois): "This is old data that was previously reported on in 2019. We found and fixed this issue in August 2019."
  • Später veröffentlichte Facebook einen ähnlich befremdlichen Blogeintrag. Die Daten seien nicht gehackt, sondern gescrapt worden und beinhalteten keine sensiblen Finanz- und Gesundheitsinformationen oder Passwörter – als ob die Methode, mit der die Hacker an die Daten gelangten, für die Betroffenen einen Unterschied machte.
  • Grundsätzlich hat Facebook recht: Präzise Wortwahl ist wichtig, schon bei der Cambridge-Analytica-Affäre ging da einiges durcheinander. Auch damals wurden Daten nicht gehackt oder gestohlen, sondern gescrapt, also über eine Schnittstelle automatisiert abgerufen.
  • Tatsächlich waren die gescrapten Informationen grundsätzlich öffentlich abrufbar – aber eben nicht eine halbe Milliarde auf einmal, was dem Datensatz für Kriminelle einen ganz anderen Wert verschafft, als ihn einzelne Handynummern haben. Phishing ist Economy of Scale, irgendjemand wird schon anbeißen.
  • Facebook suggeriert, es läge in der Verantwortung der Nutzerïnnen, ihre Datenschutzeinstellungen anzupassen und Informationen nicht öffentlich zu teilen.
  • Das steht in krassem Widerspruch zu früheren Aussagen von Mark Zuckerberg, der Privatsphäre im Netz einst für überflüssig erklärte (Guardian): "People have really gotten comfortable not only sharing more information and different kinds, but more openly and with more people. That social norm is just something that has evolved over time."
  • Das dürfte er heute kaum wiederholen, doch diese Haltung spiegelte sich jahrelang in Facebooks Produkten wider. Die Standardeinstellungen lautete "alle Datenschleusen auf", Nutzerïnnen sollten möglichst viel von sich preisgeben.
  • Dass sich Facebook nun nach einem fetten Leak hinstellt und alle Schuld von sich weist, wundert nicht nur Patrick Beuth, der das Thema für den Spiegel scharf und treffend kommentiert.

Shit happens, Leaks auch, was habt ihr euch denn alle so? Diese Tendenz zum Kleinreden unterstreicht die E-Mail, die Facebook versehentlich der Antwort auf eine Presseanfrage des belgischen IT-Portals DataNews angehängt hatte:

  • In der Handreichung, die nur für Facebook-Angestellte gedacht war, schreibt der Konzern: "Da die Aufsichtsbehörden sich auf das Thema eingeschossen haben, solltet ihr davon ausgehen, dass der beständige Trommelschlag der Kritik in der Presse anhalten wird."
  • Und empfiehlt, das Problem auszusitzen: "Es ist aber wichtig zu wissen, dass sowohl die Berichterstattung als auch die Diskussion in sozialen Netzwerken weiter stetig nachlassen."
  • Da langfristig weitere solche Scraping-Fälle zu erwarten seien, solle man sie "als Problem der ganzen Branche darstellen und als regelmäßig auftretende Aktivität normalisieren".
  • In den kommenden Wochen will Facebook demnach einen weiteren Blogpost zu seinen Bemühungen veröffentlichen, Scraping zu unterbinden.
  • Zum aktuellen Fall ist aber kein Kommentar mehr zu erwarten: "Angenommen, die mediale Berichterstattung lässt weiter nach, planen wir keine weiteren Stellungnahmen zu dem Problem."

Be smart

Vermutlich verschicken andere Unternehmen ebenfalls solche internen Anweisungen, und es könnte sein, dass sich auch der Inhalt ähnelt: Abwiegeln, Herunterspielen, Aussitzen. Das macht es aber kaum besser.

Es mag sein, dass eine Plattform mit Milliarden Nutzerïnnen früher oder später Daten verliert, ob sie nun gehackt, gescrapt oder aus Versehen veröffentlicht werden. Trotzdem sollte sie nicht so einfach damit davonkommen, wie Eike Kühl zusammenfasst (Zeit Online):

Datenlecks im großen Stil sind kein branchenübliches Problem. Sondern ein Problem der Plattform, auf der sie stattfinden. In diesem Fall von Facebook. Und sie sind alles andere als normal.

Infodemie und Gewaltaufrufe: Facebook hat noch viel zu tun

Was ist

Zwei Berichte zeigen, dass Facebook nach wie vor von Corona-Leugnerïnnen und gewaltbereiten Extremistïnnen missbraucht wird:

  • Der Avaaz-Report "Left Behind: How Facebook is neglecting Europe's infodemic" kommt zum Schluss, dass gefährliche Desinformation über Covid-19 deutlicher länger stehen bleibt, wenn die Inhalte in anderen Sprachen als Englisch verfasst sind. Diese Infodemie mache die dritte Corona-Welle, die Europa derzeit überrolle, noch bedrohlicher.
  • Der zweite Bericht ist ein interner: Eine Taskforce hat Facebooks Rolle beim Sturm auf das Kapitol untersucht, das Ergebnis wurde BuzzFeed zugespielt. Man habe nicht erkannt, dass Rechtsradikale und Verschwörungsgläubige in "Stop the Steal"-Gruppen zum Putsch aufriefen, stellt sich Facebook selbst ein ernüchterndes Zeugnis aus – das wohl nicht für die Öffentlichkeit bestimmt war.

Was der Avaaz-Report enthält

  • Der Bericht baut auf einer Untersuchung aus dem vergangenen Jahr auf: "Facebook's Algorithm: A Major Threat to Public Health", die wir in Briefing #661 zusammenfassten und einordneten.
  • Diesmal haben sich die Forscherïnnen auf Corona-Desinformation in Europa konzentriert. Die Sprache ist offenbar mitentscheidend, ob Facebook bei nachweislich falschen Inhalten tätig wird.
  • Wenn Factchecking-Organisationen, mit denen Facebook in den USA zusammenarbeitet, Inhalte als falsch kennzeichnen, reagiert Facebook nach der Zählung von Avaaz in rund drei Viertel der Fälle.
  • Die Postings werden dann entweder als falsch gekennzeichnet und mit dem Faktencheck versehen, oder komplett gelöscht. Das dauert allerdings recht lang: im Schnitt 24 Tage.
  • In anderen Sprachen ist es noch eine Woche mehr. Vor allem erfolgt die Reaktion viel seltener. Mehr als drei Viertel der geprüften und für falsch befundenen Inhalte auf Italienisch bleiben unverändert stehen. Auch französisch-, portugiesisch- und spanischsprachige Desinformation kennzeichnet oder löscht Facebook unzuverlässiger.
  • Corona-Leugnerïnnen können Facebook leicht überlisten, indem sie Postings minimal verändern und erneut veröffentlichen. Dann rutschen sie durchs Raster. Diese Strategie war bereits im vergangenen Jahr ein großes Problem und scheint in anderen Sprachen noch erfolgreicher zu sein.
  • Avaaz glaubt, dass Facebook sein Versprechen nicht gehalten habe, Covid-19-Desinformation in Europa zu identifizieren und zu löschen.
  • Der bisherige "EU Code of Practice on Disinformation" sehe dafür keine Sanktionsmöglichkeiten vor. Deshalb sei weitere Regulierung nötig, wenn die EU ihre Bürgerïnnen vor der Infodemie schützen wolle.

Was Facebooks interne Untersuchung besagt

  • Die Analyse trägt den Titel "Stop the Steal and Patriot Party: The Growth and Mitigation of an Adversarial Harmful Movement".
  • Während sich Mark Zuckerberg im März vor dem US-Kongress damit brüstete, dass Facebook die Wahl geschützt und Menschen verbannt habe, die Böses beabsichtigten, kam Facebooks eigene Taskforce zu einem anderen Schluss.
  • Zwar sei es Anfang Januar schwer zu erkennen gewesen, ob die Menschen, die in den "Stop the Steal"-Gruppen zur Demonstration vor dem Kapitol aufriefen, tatsächlich organisierte Extremistïnnen waren. Im Nachhinein sei man immer schlauer.
  • Trotzdem habe sich Facebook zu sehr darauf ausgeruht, die Wahl selbst ohne größeren Zwischenfall überstanden zu haben. Die Plattform habe eine Rolle beim Sturm auf das Kapitol gespielt. Man müsse daraus lernen, um künftig zu verhindern, dass Facebook ungewollt dazu beitrage, Verschwörungserzählungen zu verbreiten und gewaltbereite Bewegungen zu befeuern.
  • Der Report passt zu einer Forbes-Recherche, über die wir in Briefing #701 berichteten. Demnach soll Sheryl Sandberg Facebooks Beitrag zum Sturm auf das Kapitol am 6. Januar massiv heruntergespielt haben.
  • Kurz nach dem Putschversuch sagte sie noch: "I think these events were largely organized on platforms that don't have our abilities to stop hate and don't have our standards and don't have our transparency."
  • Doch in den mehr als 200 Anklageschriften, die nach dem Gewaltausbruch eingereicht wurden, taucht Facebook 73 Mal auf – weit öfter als alle anderen Plattformen.
  • Natürlich lässt sich nicht allein aus der Anzahl der Erwähnungen ableiten, dass Facebook neunmal wichtiger war als Parler. Aber Sandbergs Behauptung, dass sich der Mob hauptsächlich außerhalb von Facebook organisiert habe, scheint auch nicht haltbar zu sein. Die interne Untersuchung untermauert jetzt diese Annahme.

Be smart

Es ist einfach, Facebook, Twitter oder YouTube in die Pfanne zu hauen. "Plattform XY soll mehr löschen" ist eine beliebte und teils leichtfertige Forderung. Dieselben Kritikerïnnen beklagen sich dann, dass Tech-Konzerne zu viel Macht hätten und nicht darüber entscheiden sollten, was im Netz gesagt und geschrieben werden darf.

Das gilt vor allem bei politischen Inhalten. Im Fall von Corona-Desinformation ist der Graubereich aber deutlich kleiner. Oft gibt es sehr wohl Schwarz und Weiß: Viele Behauptungen über Covid-19 sind schlicht falsch – und damit auch potenziell gefährlich, weil sie Menschen dazu bringen könnten, sich leichtfertiger zu verhalten.

Das haben die Plattform auch erkannt und greifen für ihre Verhältnisse ungewöhnlich entschlossen durch. Das bedeutet aber nicht, dass sie alles richtig machen. Ganz und gar nicht. Sie spielen nach wie vor eine entscheidende Rolle bei der Verbreitung von Lügen und Desinformation. Solange das so bleibt, muss man sie öffentlich dafür kritisieren – auch wenn man sich dabei oft vorkommt, wie sein eigener Papagei.

Neue Features bei den Plattformen

Facebook

Instagram

  • Filter für missbräuchliche DMs: Instagram führt einen Filter ein (Techcrunch), der Wörter, Phrasen und Emojis, die auf verdächtige Inhalte hinweisen, erkennt. Userïnnen sollen dadurch Personen leichter blocken können.

Twitter

One more thing

Header-Foto von KAL VISUALS bei Unsplash