Risiken der Instant Personalization

Im April 2010 veröffentlichte Facebook mit Instant Personalization eine neue Technologie, um Facebook-Nutzer problemlos auf Partnerseiten anmelden und deren Neuigkeiten in den Nutzer-Profilen anzeigen zu können. Gedacht war das für die Seiten von Yelp.com, Pandora.com, Docs.com und RottenTomatoes.com. Facebook behauptet, das Instant Personalization von Presse und Nutzern gleichermaßen missverstanden wird.

Ein kurzer Erklärungsversuch: Instant Personalization, oder Umgehende Personalisierung auf deutschem Facebook ermöglicht jeder Facebook-Partnerseite, den Facebook-Nutzer zu erkennen, auf die persönlichen Daten (Name, Wohnort, Geburtsdatum, eMail-Adresse etc.) bei Facebook zuzugreifen, seine Statusänderungen in den jeweiligen Profilseiten zu veröffentlichen und Freundeslisten, Fotoalben, Spielestände und sonstige teilbare Informationen auszulesen und weiter zu nutzen. Im Bezug auf die damit verbundene Datensicherheit hatte ich Mitte September unter dem Titel Rotten Tomatoes nutzt Facebook-Daten (18.09.2010) über das Thema geschrieben.

Ok, das war jetzt ein langer Satz. Langer Rede kurzer Sinn, Facebook Partnerseiten greifen auf die gleichen Informationen zu, wie Facebook selber. Dabei umgehen die Partnerseiten über die Facebook “Open Graph API” die Anwendungs-Genehmigung und bekommen von Facebook einen Beglaubigungsschlüssel zurück. So haben diese Seiten dann vollen Zugriff auf die Nutzerdaten.

Gut, manch ein Facebook-Nutzer wird jetzt sagen, dass genau diese Funktion den Umgang mit Partnerseiten erleichtern, da man sich nicht mehr extra einloggen muss und man selbst von den Partnerseiten aus noch auf Teile seines eigenen Facebook-Profils zugreifen kann. Über die “Open Graph API” können auch andere Seiten auf diese Daten zugreifen. Beschrieben hatte ich das anhand Flixster.com, der Muttergesellschaft von Rotten Tomatoes. Diese hat über eben diese Tochter ebenfalls Zugriff auf das Nutzerprofil. Durch eine Sicherheitslücke können so auch fremde Webseiten auf das Nutzerprofil gelangen, indem sie über die “Open Graph API” vesuchen, die Anwendungs-Genehmigung zu umgehen um einen Beglaubigungsschlüssel zu erhalten. Obwohl Facebook verlangt, dass alle API-Aufrufe verschlüsselt über https verschickt werden soll, werden die Anfragen der Partnerseiten aus Coockies, oder Webseite heraus als normales http versendet.

Wer also seine persönlichen Daten schützen will, sollte in den Anwendungseinstellungen seines Facebook-Profils die entsprechenden Genehmigungen für die Partnerseiten entfernen. Facebook geht in seiner Allmacht davon aus, dass es jeder gutfindet wenn persönliche Daten unauthorisiert an x-beliebige Webseiten weiter gegeben werden.

So steht es auf der Facebook Seite für die Erklärung der Privatsphäre-Einstellung. Was allerdings nicht da steht ist die Tatsache, dass es Partnerseiten standardmäßig erlaubt ist, auf die persönlichen Daten der Facebook-Nutzer zuzugreifen und diese persönlichen Nutzerdaten auch mit Seiten zu teilen, bei denen der Facebook-Nutzer nicht angemeldet ist.

Wenn ich mir anschaue, wie Datenschutz bei Facebook behandelt wird, wunder ich mich doch sehr darüber, dass nicht wesentlich mehr Facebook-Nutzer laut aufschreien.