Attacken auf Social Media: Wenn Likes entführt werden

Sicherheitsforscher haben entdeckt, dass sich Likes und Inhalte auf den Seiten sozialer Netzwerke manipulieren lassen. Gerade im Hinblick auf die gemeinsame Verantwortung fragt sich: Was bedeutet das für den Datenschutz?

Verantwortung für Facebook-Fanpages

Bereits 2018 hatte der Europäische Gerichtshof (EuGH) die gemeinsame Verantwortung von Facebook und den Betreibern sogenannter „Facebook-Fanpages“ bejaht.

Das hatte und hat unmittelbare Auswirkungen auf die Unternehmen (und Behörden) als Seitenbetreiber. Sie können nicht allein darauf verweisen, dass Facebook für den Datenschutz zuständig ist. Sondern sie sind selbst mitverantwortlich dafür, den Datenschutz gegenüber den Nutzenden ihrer Fanpage einzuhalten.

Für die Bereiche, in denen Facebook und Fanpage-Betreiber gemeinsam verantwortlich sind, muss eine Vereinbarung festlegen, wer von ihnen welche Verpflichtung der Datenschutz-Grundverordnung (DSGVO) erfüllt. Das fordern die Aufsichtsbehörden für den Datenschutz.

Diese Vereinbarung müssen sie in wesentlichen Punkten den Betroffenen zur Verfügung stellen. Nur so können die Nutzer ihre Betroffenenrechte wahrnehmen.

Nun zeigt sich, dass auch die Sicherheit der Verarbeitung bei sozialen Netzwerken nicht selbstverständlich ist. Hier muss die Verantwortung ebenfalls eindeutig geklärt sein.

So haben Sicherheitsforscher entdeckt, dass sich Inhalte auf den Seiten sozialer Netzwerke und sogar die „Likes“ der Besucherinnen und Besucher manipulieren lassen.

„Chameleon“: Manipulation von Inhalten und Likes

In einer neuen Studie zeigten Forscher in mehreren Experimenten, wie sie einzelne Profile und Gruppen durchdrungen und den als „Chameleon“ bezeichneten Angriff auf soziale Netzwerke ausgeführt haben.

Ein Chameleon-Angriff ändert in böswilliger Absicht die Art und Weise, in der eine Webseite die Inhalte öffentlich anzeigt. Der Post enthält danach keine Hinweise  darauf, dass er geändert wurde. Die schon vorhandenen Likes und Kommentare bleiben erhalten.

Der Angreifer erstellt Chameleon-Posts mit Weiterleitungslinks, ähnlich wie bei Phishing-Attacken. Das verändert die Inhalte von Posts. Die Likes und Kommentare bleiben bestehen, beziehen sich nun aber auf einen anderen Inhalt.

Die Forscher geben dieses Beispiel: „Das Video oder Bild eines niedlichen Hundes, das Sie in den sozialen Medien „mochten“, kann bei einem Cyberangriff tatsächlich in etwas völlig anderes, schädliches und potenziell Kriminelles verwandelt werden“, so Cybersicherheits-Forscher der Ben-Gurion-Universität.

Auch Facebook, Twitter und LinkedIn betroffen

Die Forscher untersuchten sieben Online-Plattformen. Sie identifizierten ähnlich gravierende Schwachstellen in den Posting-Systemen von Facebook, Twitter und LinkedIn.

Twitter erlaubt zwar keine Änderungen an Beiträgen, und normalerweise geben Facebook und LinkedIn an, dass ein Beitrag bearbeitet wurde. Aber der Angriff setzt das außer Kraft.

Mögliche Folgen für den Datenschutz

Betreibt also ein Unternehmen beispielsweise eine Facebook-Fanpage, muss eindeutig geklärt sein, wer für die Sicherheit der Verarbeitung sorgt.

Denn Besucherinnen und Besucher der Facebook-Fanpage könnten manipulierte Inhalte sehen. Und ihre „Likes“ könnten sich ohne ihr Wissen plötzlich auf andere Inhalte beziehen.

Entsprechend würden ihre Nutzungsdaten über die anderen Inhalte und Weiterleitungslinks an Dritte gelangen, also an die Angreifer, die Inhalte in sozialen Netzwerken manipulieren und ersetzen.

Soziale Netzwerke sind informiert

Wie die Sicherheitsforscher berichten, haben sie die betroffenen sozialen Netzwerke über die Sicherheitslücke informiert.

Datenschutz und Datensicherheit bei Facebook & Co sind seit langem ein Thema. Das müssen sie offensichtlich auch bleiben.