Im Jahr 2016 startete Facebook ein geheimes Projekt, das darauf abzielte, den Netzwerkverkehr zwischen Nutzern der Snapchat-App und ihren Servern abzufangen und zu entschlüsseln. Das Ziel bestand darin, das Verhalten der Nutzer zu verstehen und Facebook dabei zu helfen, mit Snapchat zu konkurrieren, wie aus kürzlich veröffentlichten Gerichtsdokumenten hervorgeht. Facebook nannte dies „Projekt Ghostbusters“, in klarer Anspielung auf das geisterhafte Logo von Snapchat.
Am Dienstag veröffentlichte ein Bundesgericht in Kalifornien neue Dokumente, die im Rahmen der Sammelklage zwischen Verbrauchern und Meta, der Muttergesellschaft von Facebook, entdeckt wurden.
Die neu veröffentlichten Dokumente zeigen, wie Meta versuchte, sich einen Wettbewerbsvorteil gegenüber seinen Konkurrenten, darunter Snapchat und später Amazon und YouTube, zu verschaffen, indem es den Netzwerkverkehr analysierte, wie seine Benutzer mit den Konkurrenten von Meta interagierten. Da diese Apps Verschlüsselung nutzen, musste Facebook eine spezielle Technologie entwickeln, um diese zu umgehen.
Eines der Dokumente Einzelheiten zum Projekt Ghostbusters von Facebook. Das Projekt war Teil des In-App Action Panel (IAPP)-Programms des Unternehmens, das eine Technik zum „Abfangen und Entschlüsseln“ des verschlüsselten App-Verkehrs von Nutzern von Snapchat und später von Nutzern von YouTube und Amazon verwendete, schrieben die Anwälte der Verbraucher das Dokument.
Das Dokument enthält interne Facebook-E-Mails, in denen das Projekt besprochen wird.
„Wenn jemand eine Frage zu Snapchat stellt, lautet die Antwort normalerweise, dass wir keine Analysen über ihn haben, weil sein Datenverkehr verschlüsselt ist“, schrieb Mark Zuckerberg, CEO von Meta, in einer E-Mail vom 9. Juni 2016, die im Rahmen der Klage veröffentlicht wurde . „Angesichts ihres schnellen Wachstums erscheint es wichtig, einen neuen Weg zu finden, um zuverlässige Analysen über sie zu erhalten. Vielleicht müssen wir Panels erstellen oder kundenspezifische Software schreiben. Sie sollten herausfinden, wie das geht.“
Die Lösung der Facebook-Ingenieure bestand darin, Onavo zu nutzen, einen VPN-ähnlichen Dienst, den Facebook 2013 erworben hatte. Im Jahr 2019 schloss Facebook Onavo, nachdem eine Tech-Untersuchung ergab, dass Facebook heimlich Teenager für die Nutzung von Onavo bezahlt hatte, damit das Unternehmen auf ihr gesamtes Web zugreifen konnte Aktivität.
Nach Zuckerbergs E-Mail nahm sich das Onavo-Team dem Projekt an und schlug einen Monat später eine Lösung vor: sogenannte Kits, die auf iOS und Android installiert werden können und den Datenverkehr für bestimmte Subdomains abfangen, „so dass wir lesen können, was ansonsten verschlüsselter Datenverkehr wäre.“ „Wir können die In-App-Nutzung messen“, heißt es in einer E-Mail vom Juli 2016. „Dies ist ein ‚Man-in-the-Middle‘-Ansatz.“
Ein Man-in-the-Middle-Angriff – heutzutage auch Adversary-in-the-Middle genannt – ist ein Angriff, bei dem Hacker den Internetverkehr abfangen, der über ein Netzwerk von einem Gerät zum anderen fließt. Wenn der Netzwerkverkehr unverschlüsselt ist, ermöglicht diese Art von Angriff den Hackern, die darin enthaltenen Daten wie Benutzernamen, Passwörter und andere In-App-Aktivitäten zu lesen.
Angesichts der Tatsache, dass Snapchat den Datenverkehr zwischen der App und ihren Servern verschlüsselte, war diese Netzwerkanalysetechnik nicht effektiv. Aus diesem Grund schlugen Facebook-Ingenieure die Verwendung von Onavo vor, das bei Aktivierung den Vorteil hatte, den gesamten Netzwerkverkehr des Geräts zu lesen, bevor er verschlüsselt und über das Internet gesendet wurde.
„Wir haben jetzt die Möglichkeit, detaillierte In-App-Aktivitäten zu messen“ von „Snapchat analysieren“. [sic] „Analysen, die von incentivierten Teilnehmern des Forschungsprogramms von Onavo gesammelt wurden“, heißt es in einer anderen E-Mail.
Später weitete Facebook den Gerichtsunterlagen zufolge das Programm auf Amazon und YouTube aus.
Bei Facebook herrschte kein Konsens darüber, ob Project Ghostbusters eine gute Idee sei. Einige Mitarbeiter, darunter Jay Parikh, der damalige Leiter der Infrastrukturtechnik bei Facebook, und Pedro Canahuati, der damalige Leiter der Sicherheitstechnik, äußerten ihre Besorgnis.
„Mir fällt kein gutes Argument dafür ein, warum das in Ordnung ist. Keinem Sicherheitsbeamten wird das jemals gefallen, ganz gleich, welche Zustimmung wir von der Öffentlichkeit erhalten. Die breite Öffentlichkeit weiß einfach nicht, wie dieses Zeug funktioniert“, schrieb Canahuati in einer E-Mail, die den Gerichtsdokumenten beigefügt war.
Im Jahr 2020 Sarah Grabert und Maximilian Klein reichte eine Sammelklage gegen Facebook einmit der Begründung, das Unternehmen habe über seine Datenerfassungsaktivitäten gelogen und die Daten, die es den Nutzern „in betrügerischer Absicht entzogen“ habe, ausgenutzt, um Konkurrenten zu identifizieren und diese neuen Unternehmen dann unfair zu bekämpfen.
Ein Amazon-Sprecher lehnte eine Stellungnahme ab.
Google, Meta und Snap antworteten nicht auf Anfragen nach Kommentaren.