Vor einiger Zeit hatte ich beim Stöbern durch die API-Dokumentation von Facebook das Message-Objekt gefunden. Zuerst dachte ich, es würde sich um ganz normale öffentliche Posts handeln, doch als ich mir dieses Objekt genauer ansah wurde mir klar, dass es sich um private Chatverläufe handelt. Nach ein paar Tests stellte sich heraus, dass ich tatsächlich meine eigenen Facebookkonversationen lesen konnte – Krass!

Von meinem Fund berichtete ich ein paar anderen meiner Entwicklerfreunde und diese belächelten mich zuerst nur und es kamen Sprüche wie: “Das ist doch schon alt”, oder “natürlich kann man Nachrichten von anderen Nutzer via Api auslesen”. Ich habe mich gewundert, ob nicht irgendetwas an mir vorbei gegangen sein muss, denn immerhin war die Funktion einerseits für mich als Entwickler total erstaunlich und interessant, anderseits aber auch recht kritisch, denn hier kann jeder Entwickler auf die Nachrichten seiner App-Nutzer zugreifen. Als ich dann das Ganze trotzdem meinen Freunden etwas weiter erläuterte, kam plötzlich das “WOW”. Sie hatten meine Entdeckung falsch interpretiert, denn sie konnten sich diese Funktionalität selbst nicht richtig vorstellen. Es ist doch glücklicherweise nichts an mir vorbei gegangen 😉

Kurz darauf schrieb ich eine kleine Test-App um diese Funktion Freunden vorzuführen. Die Probanten mussten lediglich die App autorisieren und ich konnte voll automatisiert auf dessen Nachrichten zugreifen, diese lesen und speichern. Die Entwicklerdokumentation hatte für diese Funktion kaum Likes oder sogar Meldungen im Bugtracker. Wie kann so eine Funktion so lange “unentdeckt” bleiben? Ich weiß es nicht…

Mit einer gut genutzten und getarnten Grußkartenapp ging es dann zu Weihnachten weiter. Innerhalb kürzester Zeit hatte ich Einsicht in etliche Nachrichten von Nutzern, da diese während der authentifizierung nicht aufgepasst haben welche Daten sie mir frei geben. Das Experiment war ein Erfolg und ich war verblüfft, wie viele Menschen trotz – so könnte man meinen – Aufklärung in den Medien und inzwischen sogar schon in Schulen! Gelesen hatte ich die Nachrichten natürlich nicht, gelöscht habe ich sie zu Ende des Experiments, denn sicher ist sicher! Don’t be evil.

Doch ist der naive Nutzer daran schuld, dass ich seine Nachrichten lesen konnte? Sind manche Nutzer einfach zu faul zum Lesen? Oder ist es der Milliarden schwere Konzern aus Paolo Alto?
Beides! Ich denke, dass die Nutzer immer noch genauer lesen müssen und immer weiter hinterfragen. Heute noch mehr als jemals zuvor, denn Facebook wird immer attraktiver für Firmen. So verbessert Facebook die Schnittstellendokumentation immer weiter, damit es auch möglichst viele Entwickler gibt, die ihre ganzen Ideen in die Tat umsetzen können. Dadurch steigt die Anzahl der Entwickler von Tag zu Tag und ein paar (wenige) schwarze Schafe, die nur auf solche Funktionen, wie das Auslesen von persönlichen Nachrichten, warten.

Viele dieser Schnittstellenfunktionen um an private Daten von Nutzern zu kommen sind vollkommen legitim und haben ihre Berechtigung, beispielsweise um Geburtstagserinnerungen zu zeigen, Kalender zu verwalten oder coole Bidlertools bereitzustellen. Wenn es allerdings um eine Funktion wie hier, das Auslesen von privaten Chatnachrichten geht, sollte Facebook den Kreis, der diese nutzen kann, enger ziehen. Entwickler kann fast jeder sein, denn ein Facebooknutzer muss lediglich seinen Account via Handynummer verifizieren und schon kann er loslegen. Die Ads-API und die Chat-API beispielsweise hat Facebook limitiert und jeder Entwickler / Publisher durchläuft zum Nutzen der Funktionen einem strengen Bewerbungsverfahren. Klar, es geht dabei um wirkliches Geld, denn Werbung muss man bezahlen.

Doch sollte Facebook nicht bei sehr intimen Dingen wie den persönlichen Nachrichten mehr darauf achten wer an die Daten kommt? Ja, Nachrichten kosten kein Geld, man kann damit kein Konto plündern, doch es sind die Daten der Nutzer und genau jene sind doch Facebooks größtes Kapital.

Cedric

Liebe in jeder Zeile Code, egal ob Java, PHP, Groovy oder HTML. Größter Spaß: Facebook-Development und CSS3-Spielereien.