22 März, 2019 | Webfundsachen
Facebook knew about Cambridge Analytica prior to ‚Guardian‘ exposé
Facebook knew about Cambridge Analytica prior to ‚Guardian‘ exposé
https://engt.co/2HNJEYO
SIPA USA/PA Images
Facebook has admitted that it suspected Cambridge Analytica of scraping data from the platform even before the first reports about its massive data collection were published. The Guardian has learned about the social network’s suspicion from a court filing by Washington DC’s attorney general’s office, which sued the company over the scandal. That filing opposed Facebook’s motion to seal one of the documents the attorney general submitted to the court: an email exchange between the social network’s senior managers revealing that they knew of CA’s „improper data-gathering practices“ as early as September 2015. The Guardian didn’t publish its first piece on Cambridge Analytica until December 2015, and the scandal didn’t blow up until 2018.
While the company admitted to the publication that it had concerns about CA’s practices months before its data gathering became public knowledge, it insisted that it „absolutely did not mislead anyone.“ A spokesperson said the employees were talking about a different issue in the email exchange, and that it wasn’t about CA’s data purchase from Aleksandr Kogan. If you’ll recall, the Cambridge University professor sold CA up to 87 million users‘ information gathered through his personality quiz app. Data extraction didn’t go against Facebook’s policies in the past, and the social network maintains that it was Kogan’s sale specifically that was against its TOS.
He said:
„In September 2015 employees heard speculation that Cambridge Analytica was scraping data, something that is unfortunately common for any internet service. In December 2015, we first learned through media reports that Kogan sold data to Cambridge Analytica, and we took action. Those were two different things.“
A few days ago, The Guardian also reported that Facebook execs met CA whistleblower Christopher Wylie back in the summer of 2016, way before the scandal became public. Unlike this incident, however, Facebook denied that one and called it „flatly and totally untrue.“
Technologie
via Engadget German https://engt.co/2O2sS7J
March 22, 2019 at 11:03AM
21 März, 2019 | Webfundsachen
Datensicherheit: Facebook speicherte Hunderte Millionen Passwörter unverschlüsselt
Datensicherheit: Facebook speicherte Hunderte Millionen Passwörter unverschlüsselt
http://bit.ly/2HyWElO
Passwörter von vielen Millionen Facebook-Nutzern sind für Mitarbeiterinnen und Mitarbeiter von Facebook im Klartext zugänglich gewesen. „Wir gehen davon aus, dass wir Hunderte Millionen Nutzer von Facebook Lite, Dutzende Millionen weitere Facebook-Nutzer sowie zehntausende Instagram-Nutzer benachrichtigen werden“, teilte das Unternehmen mit. Facebook habe keine Hinweise darauf, dass jemand intern missbräuchlich darauf zugegriffen habe, hieß es weiter. Die Passwörter seien auch für niemanden außerhalb des Unternehmens sichtbar gewesen.
Die betroffenen Nutzerinnen und Nutzer sollen dennoch „als Vorsichtsmaßnahme“ benachrichtigt werden, obwohl es keinen Hinweis auf einen Missbrauch der Daten gebe. Die Passwörter hätten eigentlich auch intern unkenntlich sein müssen. Der Fehler sei bei einer Routine-Prüfung im Januar aufgefallen und inzwischen behoben worden – Facebook machte keine Angaben dazu, wann genau.
Facebook Lite ist eine abgespeckte Version für Nutzer des Online-Netzwerks in Regionen mit langsamen Internet-Leitungen.
Kurz vor der Facebook-Mitteilung hatte der IT-Sicherheitsexperte Brian Krebs in seinem Blog von dem Fall berichtet. Er schrieb unter Berufung auf einen nicht namentlich genannten Facebook-Insider, mehr als 20.000 Mitarbeiterinnen und Mitarbeiter des Online-Netzwerks hätten Zugriff auf die im Klartext gespeicherten Passwörter haben können. Insgesamt könnten 200 bis 600 Millionen Nutzerinnen und Nutzer betroffen sein.
Die Archiv-Dateien mit unverschleierten Passwörtern gingen bis ins Jahr 2012 zurück, schreibt Krebs. Laut Logdaten hätten rund 2.000 Entwicklerinnen und Entwickler etwa neun Millionen interne Abfragen für Daten-Elemente gemacht, die ungeschützte Passwörter enthielten. Facebook machte dazu keine Angaben.
Digitalisierung – Digitale Transformation
via Digital: Alles digital http://bit.ly/2UlBFpL
March 21, 2019 at 06:13PM
12 März, 2019 | Webfundsachen
Facebook führt Liste von Bedrohern und lässt dringende Fragen unbeantwortet
Facebook führt Liste von Bedrohern und lässt dringende Fragen unbeantwortet
http://bit.ly/2TxShOj
Die Negativ-Schlagzeilen um Facebook reißen nicht ab. Nun räumte das Netzwerk selbst ein, eine Beobachtungsliste von Personen zu führen, die für die Plattform eine Gefahr darstellen. Laut CNBC wird für die interne Facebook-Liste auch der Aufenthaltsort der besagten Personen via Handy-Ortung getrackt.
Gerade erst wurde bekannt, dass Facebook die für die Zwei-Faktor-Authentifizierung hinterlegte Telefonnummer für Werbezwecke verwendet. Kurz darauf überraschte Konzern-Chef Zuckerberg Anleger und Kunden gleichermaßen: Das größte soziale Netzwerk wolle privater werden und den Datenschutz seiner Nutzer in den Mittelpunkt rücken.
Konkrete Pläne, wie er dies umsetzt und wie sein erfolgreiches Geschäftsmodell weiterzuführen ist, darüber verlor Zuckerberg kein einziges Wort.
Nun sorgt eine Meldung für Erstaunen, die Facebook erneut in Bedrängnis bringt: Wie von CNBC bereits im Februar veröffentlicht, führt Facebook eine Liste von potenziellen Bedrohern, die Drohungen gegen das Unternehmen oder seine Mitarbeiter ausgesprochen haben.
Diese Facebook-Liste heißt laut Bericht intern im Konzern „BOLO-Liste“. Die Abkürzung steht dabei für „be on outlook“ („unter Beobachtung stehen“).
Eine Sprecherin des Netzwerks teilte nun gegenüber dem ZDF mit, dass auch die Standort-Daten eingeschlossen werden können, und bezeichnet das eigene Vorgehen als „branchenüblich“.
Facebook-Liste: Konkret wird das Netzwerk auch dieses Mal nicht
Eine konkrete Zahl, wie viele Personen sich auf dieser Facebook-Liste befinden, nannte das Netzwerk nicht.
Ebenso bleibt Facebook eine Antwort darauf schuldig, welche Kategorien beziehungsweise Hinweise vorliegen müssen, um als Person auf dieser Liste zu stehen.
In der Vergangenheit habe es vermehrt Drohungen gegenüber Mitarbeiter des sozialen Netzwerks gegeben, so die Sprecherin weiter. Doch jene Beobachtung dieser Personen erfolge in Übereinstimmung mit der eigenen Datenschutzrichtlinie.
Praktiken, die einem Geheimdienst ähneln
Die aktuellen Meldungen über Facebooks Kontrollpraktiken lassen natürlich nicht nur Nutzer unberührt, sondern beschäftigen auch Datenschützer.
In den Datenschutzrichtlinien von Facebook finden Nutzer folgende Angaben:
Förderung von Schutz, Integrität und Sicherheit.
Wir verwenden die uns zur Verfügung stehenden Informationen, um auf und außerhalb von unseren Produkten Aktivitäten und Konten zu verifizieren, schädliches Verhalten zu bekämpfen, Spam und andere negative Erlebnisse aufzudecken und zu verhindern, um die Integrität unserer Produkte zu wahren und um den Schutz sowie die Sicherheit zu fördern.
Grundsätzlich ist gegen diese Richtlinien nichts einzuwenden. Das Wohlergehen seines Unternehmens und das seiner Mitarbeiter zu schützen, ist das Gebot jedes Konzerns.
Dass Facebook vor dem Hintergrund seines umfassenden Datenbestands keine konkreten Angaben macht, ist jedoch in der aktuellen Lage mehr als unglücklich. Bleibt zu hoffen, dass Mark Zuckerberg nicht nur konkret wird, wie er künftig den Umgang mit den Daten seiner Nutzer sicherer macht.
Er sollte auch offenlegen, nach welchen Kriterien bedrohte Personen erfasst werden und auf der internen Beobachtungsliste auftauchen. Denn für eine Neuerfindung des sozialen Netzwerks ist eine Eigenschaft grundlegend: Transparenz.
Auch unteressant:
Facebook: Ein soziales Netzwerk, das keines mehr ist
Apps teilen deine Gesundheitsdaten ungefragt mit Facebook
Facebook-Influencer trifft Marke: Wie Facebook die Agenturen aussticht
Gewusst wie: So erstellst du automatische Facebook-Antworten
Der Beitrag Facebook führt Liste von Bedrohern und lässt dringende Fragen unbeantwortet von Philip Bolognesi erschien zuerst auf BASIC thinking. Folge uns auch auf Facebook und Twitter.
Technologie
via Basic Thinking http://bit.ly/2z23CK7
March 12, 2019 at 05:16AM
12 März, 2019 | Webfundsachen
30 Jahre World Wide Web: Du bist aber groß geworden!
30 Jahre World Wide Web: Du bist aber groß geworden!
http://bit.ly/2EW3vly
Vor 30 Jahren war das World Wide Web nur eine Idee, die ein junger britischer Informatiker am europäischen Kernforschungszentrum Cern ungefragt zu Papier brachte. „Vage, aber spannend“ – so lautete die erste Reaktion, die Tim Berners-Lee von seinem Chef erhielt, als er ihm seinen Vorschlag am 12. März 1989 präsentierte. Berners-Lee schwebte ein Informationsmanagementsystem vor, das den Datenaustausch unter Forschern vereinfachen sollte.
Das Revolutionäre am WWW war der simple Datentransfer mit einem universellen Übertragungsstandard. Alle Websites konnten unabhängig vom Computersystem über das gleiche Adressformat angesteuert werden. Zum Navigieren genügten Mausklicks auf elektronische Querverweise, sogenannte Hyperlinks. Vor allem verfolgte Berners-Lee keine Geschäftsinteressen. Das WWW sollte eine kostenlos nutzbare Infrastruktur für den freien Austausch von Informationen sein.
Bereits zum 25. Jubiläum hatten wir die Meilensteine der Geschichte in ihrem damaligen Layout vorgestellt. Zum 30. Geburtstag zeigen wir sie noch einmal, ergänzt um Entwicklungen wie Reddit, Instagram und Netflix.
World Wide Web: Wie alles begann
Netscape: Der erste richtige Browser
GeoCities: Online-Community mit bewegten Bildern
eBay und Amazon: Der Aufstieg des E-Commerce
Google: Don’t be evil!
Napster: Der Feind der Musikindustrie
Wikipedia: Wir sammeln das Wissen der Welt
Facebook: Das soziale Netzwerk
YouTube: Jeder ist ein Star
Reddit: Die „Startseite des Internets“
Twitter: 140 Zeichen sind genug
WhatsApp: 😂
© Screenshot/Montage ZEIT ONLINE
Instagram: #instalike
Netflix: Kino im Wohnzimmer
Alle Bilder: © Screenshot/Montage ZEIT ONLINE. Instagram-Bild: © Dado Ruvic/Reuters
Digitalisierung – Digitale Transformation
via Digital: Alles digital http://bit.ly/2UlBFpL
March 12, 2019 at 03:33PM
8 März, 2019 | Webfundsachen
Cookie walls dont comply with GDPR says Dutch DPA
Cookie walls don’t comply with GDPR, says Dutch DPA
https://tcrn.ch/2HsNZAL
Cookie walls that demand a website visitor agrees to their internet browsing being tracked for ad-targeting as the “price” of entry to the site are not compliant with European data protection law, the Dutch data protection agency clarified yesterday.
The DPA said it has received dozens of complaints from internet users who had had their access to websites blocked after refusing to accept tracking cookies — so it has taken the step of publishing clear guidance on the issue.
It also says it will be stepping up monitoring, adding that it has written to the most-complained-about organizations (without naming any names) — instructing them to make changes to ensure they come into compliance with GDPR.
Europe’s General Data Protection Regulation, which came into force last May, tightens the rules around consent as a legal basis for processing personal data — requiring it to be specific, informed and freely given in order for it to be valid under the law.
Of course consent is not the only legal basis for processing personal data, but many websites do rely on asking internet visitors for consent to ad cookies as they arrive.
And the Dutch DPA’s guidance makes it clear internet visitors must be asked for permission in advance for any tracking software to be placed — such as third-party tracking cookies; tracking pixels; and browser fingerprinting tech — and that that permission must be freely obtained. Ergo, a free choice must be offered.
So, in other words, a “data for access” cookie wall isn’t going to cut it. (Or, as the DPA puts it: “Permission is not ‘free’ if someone has no real or free choice. Or if the person cannot refuse giving permission without adverse consequences.”)
“This is not for nothing; website visitors must be able to trust that their personal data are properly protected,” it further writes in a clarification published on its website [translated via Google Translate].
“There is no objection to software for the proper functioning of the website and the general analysis of the visit on that site. More thorough monitoring and analysis of the behavior of website visitors and the sharing of this information with other parties is only allowed with permission. That permission must be completely free,” it adds.
We reached out to the DPA with questions. A spokesperson told us it can’t comment on any individual complaints, but added: “Cookie walls are non-compliant with the principles of consent of the GDPR. Which means that any party with a cookie wall on their website has to be compliant ASAP, whether or not we will check that in a couple of months, which we certainly will do.”
In light of this ruling clarification, the cookie wall on the Internet Advertising Bureau (IAB)’s European site (screengrabbed below) looks like a textbook example of what not to do — given the online ad industry association is bundling multiple cookie uses (site-functional cookies; site-analytical cookies; and third-party advertising cookies) under a single “I AGREE” option.
It does not offer visitors any opt-outs at all. (Not even under the “MORE INFO” or privacy policy options pictured below.)
If the user does not click “I I AGREE” they cannot gain access to the IAB’s website. So there’s no free choice here. It’s agree or leave.
Clicking “MORE INFO” brings up additional information about the purposes the IAB uses cookies for — where it states it is not using collected information to create “visitor profiles.”
However, it notes it is using Google products, and explains that some of these use cookies that may collect visitors’ information for advertising — thereby bundling ad tracking into the provision of its website “service.”
Again the only “choice” offered to site visitors is “I AGREE” or leave without gaining access to the website. Which means it’s not a free choice.
The IAB told us no data protection agencies had been in touch regarding its cookie wall.
Asked whether it intends to amend the cookie wall in light of the Dutch DPA’s guidance, a spokeswoman said she wasn’t sure what the team planned to do yet — but she claimed GDPR does not “outright prohibit making access to a service conditional upon consent”; pointing also to the (2002) ePrivacy Directive which she claimed applies here, saying it “also includes recital language to the effect of saying that website content can be made conditional upon the well-informed acceptance of cookies.”
“We’re not going to change our implementation of our cookie banner on this point because the law does not require us to allow people to access our website without consenting to the use of cookies,” Matthias Matthiesen, the IAB’s director for privacy and public policy, told us in a follow-up call.
The IAB’s position appears to be that the ePrivacy Directive trumps GDPR on this issue.
Though it’s not clear how they’ve arrived at that conclusion. (The more than 15-year-old ePrivacy Directive is also in the process of being updated — while the flagship GDPR only came into force last year.)
On this Matthiesen cited a “general principle of law” that he said means that “in a conflict between two rules that cover the same thing it’s the more specific law prevails.” (Though that does assume the GDPR and ePrivacy Directive are in conflict where cookie walls are concerned.)
The portion of the ePrivacy Directive that the IAB appears to be referring to is recital 25 — which includes the following line:
Access to specific website content may still be made conditional on the well-informed acceptance of a cookie or similar device, if it is used for a legitimate purpose.
However, “specific website content” is hardly the same as full site access, i.e. as is entirely blocked by their cookie wall.
The “legitimate purpose” point in the recital also provides a second caveat vis-à-vis making access conditional on accepting cookies — and the recital text includes an example of “facilita[ting] the provision of information society services” as such a legitimate purpose.
What are “information society services”? An earlier European directive defines this legal term as services that are “provided at a distance, electronically and at the individual request of a recipient” [emphasis ours] — suggesting it refers to Internet content that the user actually intends to access (i.e. the website itself), rather than ads that track them behind the scenes as they surf.
So, in other words, even per the outdated ePrivacy Directive, a site might be able to require consent for functional cookies from a user to access a portion of the site.
But that’s not the same as saying you can gate off an entire website unless the visitor agrees to their browsing being pervasively tracked by advertisers.
That’s not the kind of “service” website visitors are looking for.
Add to that, returning to present day Europe, the Dutch DPA has put out very clear guidance demolishing cookie walls.
The only sensible legal interpretation here is that the writing is on the wall for cookie walls.
The IAB’s Matthiesen disagrees, of course.
“Law’s complicated and [the definition of an information society service is] not as simple as that statement,” he said debating this point. “When a browser connects to a website it’s making technically a request on the things that are being loaded. So it is technically requesting the content that is loaded on the site.”
“The website is the property of the website owner. There are fundamental rights attached to property too,” he added. “There is nothing in the GDPR that says I must make my website’s content available to people. I am perfectly fine to determine the conditions under which I am making my property available.
“You’re not entitled to it. I can’t force you to accept tracking, right, maybe. The way in which you aren’t forced is that you don’t have to use my property. That is the fundamental disagreement between the position [that cookie walls can’t be used] and mine [i.e. that they can].”
He suggested it will be up to the European Court of Justice to provide legal clarity on the issue — assuming any Dutch websites targeted by the regulator to take down their cookie walls choose to bring a legal challenge.
This report was updated with comment from the DPA and the IAB.
Technologie
via TechCrunch https://tcrn.ch/2S7UdIS
March 8, 2019 at 11:37AM
