Der Hamburger IT-Spezialist Harro Müller hat einen geschickten Angriff implementiert, um mithilfe einiger Browser-Tricks gerade eingeloggte Facebook-Mitglieder teilweise zu deanonymisieren. Indem er sich als "Targeted Post" von Facebook ausgibt, kann Müller über ein Javascript Geschlecht, Alter und Wohnort der NutzerInnen ermitteln.
Der Exploit funktioniert aktuell nur in Chrome und Firefox. Edge und Safari haben die dazu notwendigen Browser-APIs (noch) nicht implementiert. Es kann generell zu ungenauen Werten kommen, da mit Zeitmessungen gearbeitet wird. Die Wohnort-Angaben sind auf Deutschland beschränkt.
Am besten gleich mal selbst ausprobieren; Müller verspricht, keine der erhobenen Daten zu speichern.
// Update: Harro Müller weist darauf hin, dass der Test bei uns nicht als iFrame funktioniert. Deswegen besser gleich den Link hier benutzen und es auf seiner Test-Website versuchen.
[Hier war mal ein iFrame mit Harro Müllers Facebook-Test]
Der Angriff funktioniert so, dass Müller bei Facebook teilautomatisiert etliche Targeted Posts zu allen Kombinationen aus Geschlecht, Alter und Wohnort (nur für Städte mit mehr als 100.000 Einwohnern) angelegt hat. Führt man nun das Skript aus, misst Müllers Website, wie lange Facebook braucht, um auf die einzelnen Posts, die Müller dem Netzwerk vorspielt, zu reagieren. Bei eine Treffer reagiert Facebook langsamer, damit weiß Müller, dass ein Post mit den jeweiligen demografischen Daten ein Treffer ist.
Das geht allerdings nur, wenn man im Browser Dritthersteller-Cookies aktiviert hat - bis jetzt ist das noch die Standardeinstellung in neuinstallierten Browsern. Deaktiviert man sie oder unterdrückt sie durch Browser-Erweiterungen, funktioniert auch der Angriff nicht. Und übrigens gibt es nur sehr wenige Gründe, warum man Dritthersteller-Cookies, also Cookies, die nicht von der aktuell besuchten Website genutzt werden, aktiviert haben sollte. Müllers Rat:
Wer weiterhin tolle, auf den User abgestimmte Produktvorschläge bekommen möchte, kann die Einstellung ja so lassen, alle anderen sollten sie deaktivieren.