Ich verabscheue den Facebook Messenger. Ich habe ihn nicht installiert. Irgendwie bereitet der mir Sorge, was den Datenschutz betrifft. Und das ist auch richtig. Ich habe es immer wieder mitbekommen, wie der Messenger irgendwelchen Datenschutz-rechtlich relevanten Kram macht, dem der Nutzer so nie zugestimmt hat. Und es wurde bekannt, dass das noch verstärkter mit der App passiert. Was der Nutzer als „privat“ ansieht, muss längst nicht privat sein.
Irgendwann habe ich mal den Facebook Messenger von meinem Smartphone verbannt. Wann immer ich mal einen Chat bei Facebook einfange, muss halt die mobile Webseite herhalten. Aber ich betrachte Facebook ja eh nur als notwendiges Übel, weil sonst so viele meiner Kontakte für mich nicht mehr greifbar wären. Aber das ist für mich kein Grund, den Messenger zu installieren. Und ich sehe, dass das die richtige Entscheidung war. Ich werde auch mal kurz erklären, wieso ich das leider so sehen muss.
Denn über den Facebook Messenger werden auch gern mal sensible Daten an die Öffentlichkeit / Facebook-Nutzer getragen. Im Entwickler-Bereich von Facebook soll es eine Funktion geben, die so nicht richtig sein kann, aber vom Netzwerk-Riesen tatsächlich so gewollt ist. Wenn ich diesen Artikel richtig verstanden habe, dann kann ich über den „Graph API Explorer“ eine ID zu einem Dokument am Ende einem Link zuordnen. Das wäre soweit nicht problematisch. Das wird es erst, wenn es sich um Links handelt, die ich privat über den Messenger teile.
Wird ein Link über den normalen Feed bei Facebook verteilt, hat sicherlich niemand ein Problem damit. Das funktioniert aber auch mit Links, die ausschließlich privat geteilt wurden. Nehmen wir einmal an, es handelt sich um einen FTP-Link, der ja so aussehen kann:
ftp://username:passwort@ftp-server.tld
In diesem Fall ist ein kompletter FTP-Zugang auslesbar. Und damit reißt man sich ein riesiges Sicherheitsloch. Wenn jemand nur über Facebook erreichbar ist und ich ihm einen solchen Link zuschicken will, dann kann diesen Link und diese sensiblen Daten dahinter jeder, der Zugang zum „Graph API Explorer“ hat, diese auslesen und ggf. für seine Zwecke miss- oder gebrauchen. Denn das Problem ist, dass jedem Objekt bei Facebook eine eindeutige ID zugeordnet ist und an die ID im Explorer die Link-Abfrage angehängt werden kann. Und schon erhalte ich alles, was mich interessiert.
Im oben verlinkten Artikel sehen Sie, welche Daten da auslesbar sind. Es kann sich auch um Google Docs und dergleichen handeln. Ein Dokument dort, welches die Bankdaten enthält, zum Beispiel. Ich weiß, das klingt alles sehr weit hergeholt. Aber es ist ein real existierendes Problem. Und dabei sieht Facebook die ganze Sache nicht mal als Problem an, sondern stuft das als gewollte Funktion ein.
Wir müssen also definitiv festhalten, dass Links zu privaten Dokumenten und dergleichen auf Facebook und auch im Facebook Messenger nichts verloren haben. Links und sonstige Adressen werden eben aus Chats extrahiert und in eine Datenbank geschrieben. Die kann ausgelesen werden. Die Sicherheitsmechanismen von Facebook stellen dabei keine große Hürde dar. Und deshalb rate ich davon ab, so etwas darüber oder über andere Chatdienste zu teilen.