Die düstere Geschichte von Facebook, Apps von Drittanbietern sich selbst an Benutzerdaten bedienen zu lassen, an die Sie sich vielleicht erinnern, explodierte 2018 zu einem großen globalen Datenschutzskandal (auch bekannt als Cambridge Analytica), der den Aktienkurs des Unternehmens in Mitleidenschaft zog und dazu führte, dass sein Gründer nach vorne gezerrt wurde des Kongresses – und schließlich Mitte 2019 zu einer 5-Milliarden-Dollar-Vereinbarung mit der FTC über das, was manchmal euphemistisch als „Datenschutzverletzungen“ bezeichnet wurde – scheint zurückzukommen, um sie durch unversiegelte rechtliche Entdeckungen zu verfolgen.
Interne Dokumente in einem damit verbundenen Datenschutzstreit, der Ende letzten Monats aufgetaucht ist, haben die Vorsitzenden des Geheimdienstausschusses des US-Senats, Mark Warner und Marco Rubio, zum Schreiben veranlasst ein Brief an Mark Zuckerberg von Meta, der neue Fragen darüber stellte, was er und sein Unternehmen darüber wussten, wie viele Benutzerdaten die Plattform damals preisgab. Und welche Auswirkungen auf die Sicherheit können mit diesen Lecks verbunden sein.
Laut den unversiegelten Dokumenten scheint das Unternehmen, das jetzt als Meta bekannt ist, vermutet zu haben, dass Entwickler aus Ländern mit hohem Risiko, in denen autoritäre Regime bekanntermaßen „Daten für Geheimdienst-Targeting und Cyber-Spionage sammeln“ – einschließlich Nordkorea, Russland, China und Iran – gehörten zu Tausenden, die auch auf die personenbezogenen Daten von Facebook-Nutzern über die gleiche Art von Datenberechtigungsweg von Freunden zugegriffen haben, über den der Datensatz von Cambridge Analytica vom beauftragten Entwickler GSR extrahiert wurde.
„Aus diesen Dokumenten geht hervor, dass Facebook seit mindestens September 2018 bekannt ist, dass Hunderttausende von Entwicklern in Ländern, die Facebook als „risikoreich“ eingestuft hat, einschließlich der Volksrepublik China (VRC), Zugang zu erheblichen Mengen an Entwicklern hatten sensible Benutzerdaten“, schreiben sie.
„Als Vorsitzender und stellvertretender Vorsitzender des Geheimdienstausschusses des Senats sind wir ernsthaft besorgt darüber, inwieweit dieser Zugang Aktivitäten ausländischer Geheimdienste ermöglicht haben könnte, die von böswilliger ausländischer Beeinflussung bis hin zu gezielten Aktivitäten und Spionageabwehraktivitäten reichen“, so das Paar fügte hinzu und drückte Meta, um auf eine Reihe von Fragen zu antworten, wie es gehandelt hatte, nachdem sein internes Audit festgestellt hatte, dass möglicherweise Tausende von Entwicklern an Standorten mit hohem Risiko auf Benutzerdaten zugegriffen haben.
Es ist fair zu sagen, dass Meta sich nicht gerne mit einem Datenzugriffs-/Policy-Enforcement-Skandal aufhält, der dazu führte, dass sein Gründer im Kongress auf einem Booster-Kissen saß und von wütenden US-Gesetzgebern mit Fragen bedrängt wurde. Sehr wahrscheinlich, weil sie der FTC 5 Milliarden Dollar gezahlt hat, um den ganzen Skandal verschwinden zu lassen – eine Einigung, die ihren Führungskräften praktischerweise pauschale Immunität für alle bekannten oder unbekannten Datenschutzverletzungen gewährte.
Aber das Problem mit Meta, der wollte, dass die ganze Episode unter „für immer gelöst“ abgelegt wird, ist, dass sie nie wirklich alle Fragen beantwortet hat, die der Gesetzgeber damals gestellt hat. Auch nicht in den folgenden Jahren – da weitere Details bekannt wurden.
Es hat nicht einmal die Ergebnisse des von Zuckerberg im Jahr 2018 versprochenen Drittanbieter-App-Audits veröffentlicht. (Obwohl wir – indirekt im Jahr 2021 – herausgefunden haben, dass eine Einigung mit der britischen Datenschutzbehörde eine Knebelklausel enthielt, die den Kommissar daran hinderte, öffentlich über die Untersuchung zu sprechen.)
Doch diese noch unveröffentlichte Prüfung von Drittanbieter-Apps bildete damals den Eckpfeiler von Facebooks PR-Reaktion auf die Krise – eine versprochene umfassende Bilanzierung, die Zuckerberg und sein Unternehmen erfolgreich vor einer tieferen Prüfung schützte. Genau dann war der Druck auf ihm am größten, zu erklären, wie Informationen über Millionen von Nutzern von einem Entwickler mit aus seiner Plattform gehoben wurden Bona Fide Zugriff auf seine Tools ohne das Wissen oder die Zustimmung der tatsächlichen Facebook-Nutzer.
Der Preis für diese Abschirmung war wahrscheinlich ziemlich hoch – sowohl für den guten Ruf von Meta (die schließlich das Bedürfnis verspürten, ein teures Firmen-Rebranding durchzuführen und zu versuchen, ihr Geschäft in der neuen Arena von VR neu zu gestalten); und auch in zukünftigen Compliance-Kosten (die offensichtlich nicht nur Meta betreffen werden) als eine Reihe von Gesetzen, die in den Jahren seit dem Skandal entworfen wurden und darauf abzielen, Plattformen neue Betriebsgrenzen aufzuerlegen – Grenzen, die oft durch eine Rahmung gerechtfertigt werden, die eine Wahrnehmung in den Vordergrund stellt des Mangels an Rechenschaftspflicht von Big Tech. (Siehe z. B. das Online Safety Bill des Vereinigten Königreichs, das kürzlich sogar strafrechtliche Sanktionen für CEOs enthält, die gegen Anforderungen verstoßen. Oder der Digital Services Act und der Digital Markets Act der EU.)
Dennoch ist Meta äußerst erfolgreich darin geblieben, die Art von eingehender Prüfung seiner internen Prozesse, Richtlinien und Entscheidungsfindung zu vermeiden, die den Weg für Cambridge Analytica unter Zuckerbergs Aufsicht geebnet hat – und möglicherweise für Dutzende ähnlicher Datendiebstähle , zumindest nach Details, die durch rechtliche Entdeckung entstehen.
Aus diesem Grund ist das Gespenst von Facebooks gescheiterter Rechenschaftspflicht, das wieder auftaucht, unwiderstehlich. (Siehe auch: Ein Datenschutzstreit, den Meta letztes Jahr schließlich beilegen wollte, mit einem Timing, das Zuckerberg und der ehemaligen COO Sheryl Sandberg anscheinend erspart hatte, persönlich zu erscheinen, nachdem sie abgesetzt worden waren, um Zeugnis zu geben – für einen Vergleichspreis das wurde nicht bekannt gegeben.)
Ob aus dem jüngsten Besuch des Geistes der ungelösten Facebook-Datenschutzskandale etwas Wesentliches wird, bleibt abzuwarten. Aber Meta hat jetzt eine neue lange Liste unangenehmer Fragen von Gesetzgebern. Und wenn es versucht, sich vor substanziellen Antworten zu drücken, könnten seine Führungskräfte mit einer neuen Vorladung zu einem öffentlichen Gremium konfrontiert werden. (Es ist nie das Verbrechen, es ist die Vertuschung usw.)
Hier ist, was das Komitee von Meta um Antwort zu den Ergebnissen der internen Untersuchung bittet:
1) Das unversiegelte Dokument stellt fest, dass Facebook separate Überprüfungen von Entwicklern mit Sitz in der VR China durchgeführt hat [People’s Republic of China] und Russland „angesichts des mit diesen Ländern verbundenen Risikos“.
- Welche zusätzlichen Überprüfungen wurden bei diesen Entwicklern durchgeführt?
- Wann wurde diese zusätzliche Überprüfung abgeschlossen und was waren die wichtigsten Schlussfolgerungen?
- Welchen Prozentsatz der in der VR China und Russland ansässigen Entwickler konnte Facebook eindeutig identifizieren?
- Welche Kommunikation, wenn überhaupt, hat Facebook mit diesen Entwicklern seit seiner ersten Identifizierung geführt?
- Welche Kriterien verwendet Facebook, um das „Risiko im Zusammenhang mit“ Operationen in der VR China und Russland zu bewerten?
2) Für die Entwickler, die sich in der VR China und Russland befinden, stellen Sie bitte eine vollständige Liste der Arten von Informationen bereit, auf die diese Entwickler Zugriff hatten, sowie die Zeiträume, die mit diesem Zugriff verbunden sind.
3) Verfügt Facebook über umfassende Protokolle zur Häufigkeit, mit der Entwickler aus Ländern mit hohem Risiko auf seine APIs zugegriffen haben, und zu den Datenformen, auf die zugegriffen wird?
4) Bitte geben Sie eine Schätzung der Anzahl diskreter Facebook-Nutzer in den Vereinigten Staaten an, deren Daten mit einem Entwickler geteilt wurden, der sich in jedem Land befindet, das als „Risikogebiet“ identifiziert wurde (aufgeschlüsselt nach Ländern).
5) Das interne Dokument weist darauf hin, dass Facebook einen Rahmen schaffen würde, um die „Entwickler und Apps zu identifizieren, die als potenziell riskant eingestuft wurden[.]”
- Wie hat Facebook diese Rubrik erstellt?
- Wie viele Entwickler und Apps mit Sitz in der VR China und Russland haben diesen Schwellenwert erreicht? Wie viele Entwickler und Apps in anderen Rechtsgebieten mit hohem Risiko haben diese Schwelle erreicht?
- Was waren die spezifischen Eigenschaften dieser Entwickler, die zu dieser Feststellung geführt haben?
- Hat Facebook Entwickler als zu riskant für einen sicheren Betrieb identifiziert? Wenn ja, welche?
6) Das interne Dokument verweist auf Ihre öffentliche Verpflichtung, „eine vollständige Prüfung jeder App mit verdächtigen Aktivitäten durchzuführen“.
- Wie charakterisiert Facebook „verdächtige Aktivitäten“ und wie viele Apps haben diesen vollständigen Prüfungsprozess ausgelöst?
7) Hat Facebook Hinweise darauf, dass der Zugriff von Entwicklern koordinierte, nicht authentische Aktivitäten, gezielte Aktivitäten oder andere böswillige Verhaltensweisen ausländischer Regierungen ermöglicht hat?
8) Hat Facebook Hinweise darauf, dass der Zugriff von Entwicklern böswillige Werbung oder andere betrügerische Aktivitäten ausländischer Akteure ermöglicht hat, wie in der öffentlichen Berichterstattung aufgedeckt wurde?
Um eine Antwort auf die Bedenken des Gesetzgebers gebeten, antwortete Meta-Sprecher Andy Stone nicht auf spezifische Fragen – einschließlich der Frage, ob es das App-Audit endlich veröffentlichen wird; und ob es sich verpflichten wird, Benutzer zu informieren, deren Informationen aufgrund von Funktionen seiner Entwicklerplattform kompromittiert wurden (also vermutlich ein „Nein“ und ein „Nein“) – und sich stattdessen dafür entscheidet, diese kurze Erklärung zu senden:
Diese Dokumente sind ein Artefakt aus einem anderen Produkt zu einem anderen Zeitpunkt. Vor vielen Jahren haben wir wesentliche Änderungen an unserer Plattform vorgenommen und den Zugriff von Entwicklern auf wichtige Datentypen auf Facebook gesperrt, während wir alle Apps überprüft und genehmigt haben, die den Zugriff auf sensible Informationen anfordern.