Snapchat Nutzer durch eine Man-in-the-Middle Attacke von Facebook belauscht

Facebook hat wohl gezielt die Snapchat-Verschlüsselung umgangen. Im Zusammenhang einer Sammelklage gegen den Facebook Konzern Meta sind nun Dokumente öffentlich zugänglich, die erneut Sprengstoff im Facebook-Skandal rund um Datenschutz und Datensouveränität liefern. Das Vorgehen von Facebook gegen Snapchat war wohl weit aggressiver als je gedacht…

Demzufolge ist Mark Zuckerberg wohl direkt in ein Projekt „Ghostbuster“ zum Ausspionieren von Facebook-Konkurrenten involviert und somit deutlich stärker schuldig als bislang bekannt.

Gegen Snapchat wurden demnach regelrechte „Man-in-the-Middle“-Angriffe durchgeführt.

Die schockierenden Fakten, die aus einer Sammelklage gegen den Social-Media-Giganten hervorgegangen sind:

1️⃣ Ertappt & enttarnt: Facebooks Unsichtbarer Krieg gegen Snapchat – Ein Blick hinter die Kulissen eines Datenschutzskandals, der unsere Tech-Welt erschüttert.

2️⃣ Direkt involviert: Mark Zuckerberg ist offenbar persönlich tief in Spionageaktivitäten gegenüber Konkurrenten involviert.

3️⃣ Secret Cyber Attacks: Facebook führte Lauschangriff als „Man-in-the-Middle“-Angriffe gegen Snapchat durch, um verschlüsselten Datenverkehr zu entschlüsseln.

4️⃣ VPN Onavo: Als Werkzeug zur Datenspionage missbraucht, um Einblick in die Nutzung von Snapchat, YouTube und Amazon zu erhalten.

5️⃣ Projekt Ghostbusters: Ein internes Projekt bei Facebook, das darauf abzielte, Konkurrenzaktivitäten auszuspionieren.

6️⃣ Root-Zertifikate: Warum der Missbrauch dieser wichtigen Sicherheitskomponente in der Kommunikation von Millionen Nutzern hier im Mittelpunkt steht.

7️⃣ Juristische Konsequenzen: Die Aufarbeitung erfolgt im Rahmen einer umfangreichen Sammelklage gegen Facebook.

Das Dokument steht im Kontext einer Sammelklage gegen Meta Platforms Inc. – früher bekannt als Facebook.

Bei einem solchen „Man-in-the-Middle“-Angriff handelt es sich um eine Form der Cyberattacke, bei der der Angreifer die Kommunikation zwischen zwei Parteien abfängt, ohne dass diese davon wissen.

Der Angreifer kann die Informationen einsehen, manipulieren und auch blockieren, bevor sie an den Empfänger weitergeleitet werden. Solche Cyberangriffe können sowohl zum Abhören, für den Diebstahl von Daten als zur gezielten Manipulation oder auch für die Einschleusung von Malware oder die Umleitung von Netzwerkverkehrgenutzt werden.

Solche Angriffe stellen zweifellos eine ernsthafte Bedrohung für die Sicherheit von Online-Transaktionen und einer vertrauensvollen Kommunikation dar, da sie das Vertrauen in die Integrität der Kommunikation untergraben.

Das jedenfalls legen jetzt öffentlich einsehbare Gerichtsdokumente nahe, die im Rahmen einer Sammelklage gegen den Facebook-Konzern Meta zusammengestellt wurden.

Darin werden E-Mails zitiert, laut denen Zuckerberg Angestellte angewiesen hat, trotz der Verschlüsselung des Snapchat-Traffics an zuverlässige Nutzungsdaten zu kommen. In der Folge wurde demnach daran gearbeitet, SSL-verschlüsselte Daten von Snapchat mithilfe der hauseigenen VPN-App Onavo zu entschlüsseln.

Die Frage, ob dieses Programm gestoppt werden sollte, wurde demnach später ebenfalls zusammen mit Zuckerberg entschieden.

Diese Dokumente werfen jetzt ein völlig neues Schlaglicht auf einen schon vor Jahren publik gewordenen Skandal. Eine Vielzahl von Juristen – ein ganzes Duzend so lesen wir – beziehen sich die erhobenen Vorwürfe auf das aggressive Vorgehen Facebooks gegen den damals aufstrebenden Konkurrenten Snapchat.

Interes Facebook Project Project Ghostbusters

Um herauszufinden, welche Spionage technisch möglich sei, wurde den Dokumenten zufolge bei Facebook – inzwischen Meta – ein sogenanntes „Project Ghostbusters“ ins Leben gerufen. Der Name „Geisterjäger“ scheint sich dabei auf das Logo von Snapchat zu beziehen, ein weißer Geist auf gelbem Grund.

In einer Mail vom 9. Juni 2016 hat Zuckerberg es demnach für wichtig erklärt, zuverlässige Analysedaten zu Snapchat zu erhalten. Vielleicht müsse man spezielle Software schreiben, schlägt er vor und ergänzt: „Ihr müsst herausfinden, wie man das machen kann.“

Schon wenige Tage später wurde von einem Team der Tochterfirma Onavo vorgeschlagen, Internet-Traffic auf Smartphones von Nutzern und Nutzerinnen mithilfe der gleichnamigen VPN-App abzufangen, um die Verschlüsselung zu umgehen.

Weil ein VPN-Dienst allein dafür nicht reicht, sei außerdem ein Root-Zertifikat installiert worden.

Angriffsvektor Root-Zertifikat

Ein Root-Zertifikat ist ein digitales Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle – der sogenannten Certificate Authority kurz CA – ausgestellt wird. Es befindet sich an der Spitze der digitalen Zertifikatsketteund hat die Aufgabe, die Identität und den öffentlichen Schlüssel des Zertifikatinhabers zu validieren. Root-Zertifikate sind selbstsigniert, was bedeutet, dass sie von der ausstellenden Zertifizierungsstelle selbst signiert werden und nicht von einer übergeordneten Entität.

Ein potentieller Einwand könnte also in etwa lauten, dass solche Zertifikate in dieser Form nicht wirklich viel mehr aussagen als: „Vertraue mir, ich bin verschlüsselt und gehöre zu der Organisation X“.

Die Bedeutung von Root-Zertifikaten im Kontext der Internetsicherheit und digitalen Kommunikation ist trotzdem erheblich:

  1. Vertrauen und Sicherheit: Root-Zertifikate stellen die Grundlage des Vertrauensmodells für digitale Zertifikate dar. Wenn ein Endnutzer oder ein System einem Root-Zertifikat vertraut, vertraut es auch allen Zertifikaten, die von diesem Root-Zertifikat ausgestellt oder indirekt über eine Kette von Zwischenzertifikaten bestätigt werden.
  2. Verschlüsselung und Authentifizierung: Sie ermöglichen verschlüsselte Verbindungen zwischen Webbrowsern und Servern über HTTPS. Wenn Sie eine sichere Website besuchen, überprüft Ihr Browser das Zertifikat der Website, um sicherzustellen, dass es von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde und dass die Identität der Website authentisch ist. Dies schützt vor Man-in-the-Middle-Angriffen, bei denen Angreifer versuchen könnten, den Verkehr abzufangen oder zu manipulieren.
  3. Root-Zertifikatspeicher: Betriebssysteme und Webbrowser enthalten einen Speicher mit vorinstallierten Root-Zertifikaten von Zertifizierungsstellen, denen sie vertrauen. Wenn ein Zertifikat von einem Root-Zertifikat in diesem Speicher ausgestellt wird, wird die Verbindung oder die digitale Signatur als sicher angesehen.
  4. Risiken und Verwaltung: Da Root-Zertifikate an der Spitze der Vertrauenskette stehen, birgt ein Missbrauch oder Kompromittierung eines Root-Zertifikats ernsthafte Sicherheitsrisiken. Eine böswillige oder kompromittierte Zertifizierungsstelle könnte Zertifikate für betrügerische Zwecke ausstellen. Daher ist eine sorgfältige Verwaltung und Sicherheit der Root-Zertifikate entscheidend.

Im Kontext von „Man-in-the-Middle“-Angriffen präsentiert ein Angreifer also sein gefälschtes Zertifikat, das scheinbar von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde. Ein korrekt installiertes und vertrauenswürdiges Root-Zertifikat hilft dem Endbenutzer jedoch, die Echtheit der Verbindung zu verifizieren und solche Angriffe zu erkennen.

Entlarvt: Großangriff verletzt die Privatsphäre von Millionen Nutzern – Die geheime Überwachung von Snapchat, YouTube und Amazon

Das ist die „Man-in-the-Middle“-Herangehensweise, fasste das ein Manager zusammen. Dokumente und Zeugenaussagen würden beweisen, dass diese Vorgehensweise tatsächlich in großem Umfang eingesetzt worden sei, heißt es von dem Team der Kläger.

Dort ist von einem Zeitraum zwischen Juni 2016 und Anfang 2019 die Rede. Später sei damit auch verschlüsselter Traffic von YouTube und Amazon analysiert worden. Bei Facebook seien die so gesammelten Daten benutzt worden, um zu verstehen, wie Snapchat genutzt wird und eigene Produkte darauf aufbauend zu überarbeiten. Dutzende Anwälte und Anwältinnen seien bei Facebook eingebunden gewesen und hätten versichert, dass das Vorgehen legal sei.

Dabei stelle sich die Frage, ob es sich nicht um einen Verstoß gegen Hackinggesetze handle. Dass Facebook Onavo benutzt hat, um wichtige Einblicke in die Apps der Konkurrenz bekommen und darauf zu reagieren, war seit Jahren bekannt. Onavo hat die App Onavo Protect angeboten, die den Traffic des Mobilgeräts durch ein VPN schleuste und auf Sicherheitsgefahren hin analysierte. Mit diesem Versprechen war sie prominent beworben worden.

Anfang 2019 war Apple dann gegen die Anwendung vorgegangen, woraufhin Facebook die App zurückgezogen und das dafür verantwortliche Tochterunternehmen geschlossen hat.

Die juristische Aufarbeitung erfolgt jetzt im Rahmen einer Sammelklage gegen Facebook (Az.: 3:20-cv-08570-JD). Dabei wurden diese brisanten Dokumente nun zutage gefördert.

Jetzt anhören:

Listen on Spotify: https://bit.ly/49gizXS

Enjoy on Apple Podcasts: https://apple.co/42lNbVB

Was bedeutet das für die Datensouveränität und Informationsfreiheit aller Facebook-Nutzer?

Die Enthüllungen um die „Man-in-the-Middle“-Angriffe und die damit verbundenen Praktiken werfen ernste Fragen bezüglich der Datensouveränität und der Informationsfreiheit nicht nur die der Facebook-Nutzer auf. Einerseits könnte dies als Beweis dafür dienen, dass das Vertrauen der Nutzer in Facebooks Umgang mit ihren privaten Daten tiefgreifend zerstört wurde. Die Möglichkeit, dass Facebook aktiv Verschlüsselung umgangen hat, um Nutzungsdaten von Wettbewerbern zu sammeln, ist weit mehr als nur ein blosser Hinweis darauf, dass die Privatsphäre und die Kontrolle der Nutzer über ihre eigenen Daten möglicherweise kompromittiert wurden.

Diese Vorfälle unterstreichen die Notwendigkeit einer transparenten und verantwortungsbewussten Datenpolitik, die die Rechte der Nutzer auf Privatsphäre und Kontrolle über ihre eigenen Informationen in den Vordergrund stellt. Es könnte ein Weckruf für Nutzer sein, kritischer darüber nachzudenken, welche Daten sie online teilen und wie diese Daten von Plattformen verwendet werden könnten.

Darüber hinaus könnten diese Enthüllungen zu verstärkten Forderungen nach strengeren Datenschutzgesetzen und –regelungen führen, die die Souveränität der Nutzer*innen und ihre Eigentumsrechte zu ihren Daten sicherstellen und somit auch die Freiheit der Information schützen. Die Debatte um Datenschutz und Datensicherheit wird sich definitiv intensivieren, mit gravierenden Auswirkungen auf die gesamte Tech-Industrie.

Die Frage ist immer zu welchem Preis wir bereit sind, unsere personenbezogenen Daten aufs Spiel zu setzen. Ein Spiel, das mehr über uns verrät, als uns lieb sein könnte.

Wie erklären wir den Schutz der #Privatsphäre und die Wichtigkeit von #Datenschutz unseren Kindern in einer von #Internet und #SocialMedia beherrschten Welt? Der #BfDI schlägt eine faszinierende Brücke mit kostenlosen #Pixi Büchern, die genau das leisten! ✅

Transparenz der Datenverarbeitung und Nutzerrechte im Schatten von Facebooks Skandal

Im Zuge der Enthüllungen um Facebooks „Man-in-the-Middle“-Angriffe auf Konkurrenten wie Snapchat, sowie die Analyse verschlüsselter Datenströme von YouTube und Amazon, geraten Transparenz der Datenverarbeitung und der Schutz unserer Rechte als Nutzer*innen immer weiter in den Fokus unserer öffentlichen Diskussion. Wir Nutzer*innen haben das berechtigte Anliegen, dass Facebook und alle Plattformen nicht nur ihre Nutzeroberfläche und Funktionen verbessert, sondern uns umfassende Datenschutzgarantien bieten.

Diese Vorfälle sind scheinbar nur der Gipfel eines Eisbergs, von dem der weitaus besorgniserregende Brocken noch unter der Wasserlinie verborgen ist. Es zeichnet sich optimisch formuliert zwar möglicherweise bereits ein Trend ab, bei dem große Technologieunternehmen nach außen hin um Vertrauen, Transparenz und Sicherheit werben, wenn dabei im Verborgenen jedoch die Privatsphäre und Datensouveränität von uns Nutzern untergraben wird und Gesetze und nicht wirksam schützen ist all dies nichts wert.

Die Enthüllungen rund um Facebook werfen drängende Fragen auf:

  • Wie finden Unternehmen eine Balance zwischen der Einfachheit der Nutzung ihrer Dienste, dem Schutz der Privatsphäre ihrer Nutzer und den regulatorischen Anforderungen finden?
  • Wie wird uns Nutzern gegenüber wirksam garantiert, dass unser Vertrauen und unsere Rechte gewahrt bleiben?
  • Wie können Audits und offene Code-Policies hierzu wirksam beitragen?

Angesichts der Schwere der Vorwürfe gegen Facebook wird eine breite Diskussion über die Rolle von Großkonzernen in der Gestaltung digitaler Identitäten, der damit verbundenen Nutzerrechte und der Notwendigkeit einer strengeren Regulierung und Überwachung digitaler Plattformen unvermeidlich. Nutzer und Datenschützer fordern zunehmend, dass Technologieunternehmen nicht nur in ihren Serviceangeboten, sondern auch in ihrem Umgang mit Nutzerdaten eine nutzerzentrierte Haltung einnehmen müssen.

Neustart im digitalen Raum: Warum wir jetzt einheitliche Datenschutz-Standards brauchen

In unserer immer stärker digitalisierten Welt Zeit sind diese Bedenken hinsichtlich der Datensicherheit und -privatsphäre nicht nur absolut berechtigt, sondern zwingend ernstzunehmen.

Wenn Hyperscaler wie Apple, Amazon oder Microsoft neue Standards setzen orientiert sich die Tech-Industrie zwangsläufig daran. Es sei denn, wir ändern die Spielregeln grundlegend und denken und handeln in interoperablen und datenschutzkonformen Standards die unser globales, digitales Ökosystem und somit unsere Rolle als Nutzer und Konsumentenund neu definieren. Das bedeutet wachsam zu sein und proaktiv mitzudenken und auch aktiv zu werden.

Was wir brauchen, ist die Entwicklung und Implementierung eines einheitlichen, tragfähigen Konzepts zur Digitalisierung.

Vertrauensvolle digitale Identitäten sind EIN elementarer Baustein und ein wertvolles Puzzlestück, das sich letztlich in ein großes Bild zum Ganzen einfügt…

Nicht mehr und nicht weniger…

Unterstützt uns bitte mit Eurem Abo unseres Podcast & YouTube Kanals ➡️ Jetzt direkt ansehen: https://lnkd.in/ewzbRKaQ ⬅️ und wir freuen uns natürlich ebenso über Euer Feedback und Eure Kommentare und Likes!

Unser verschafft Dir wie immer einen kompakten Überblick, und mit unseren Links bieten wir Dir die Möglichkeit für einen komfortablen Deep Dive, wenn Du mehr erfahren möchtest…

: https://lnkd.in/exv82i4M Kompakte Informationen – leicht verständlich!

Bis dahin, bleibt sicher, kreativ und vor allem neugierig!

Euer Sascha Block

Über den Autor:

Sascha Block - Rock the Prototype

Sascha Block

Ich bin Sascha Block – IT-Architekt in Hamburg und der Initiator von Rock the Prototype. Ich möchte Prototyping erlernbar und erfahrbar machen. Mit der Motivation Ideen prototypisch zu verwirklichen und Wissen rund um Software-Prototyping, Softwarearchitektur und Programmierung zu teilen, habe ich das Format und die Open-Source Initiative Rock the Prototype geschaffen.