Schlagwort: Facebook Inc

Facebook droht Rekordstrafe wegen Datenschutz-Ignoranz | heise online

Die Amtsträger in der US-Handelsbehörde Federal Trade Commission (FTC) beraten über eine Rekordstrafe für Facebook. Der Datenkonzern soll eine 2011 mit der FTC eingegangene Vereinbarung über Datenschutz-Maßnahmen nicht eingehalten haben. Nach dem Auffliegen des Cambridge-Analytica-Skandals hat die FTC Ermittlungen gegen Facebook aufgenommen.

Die Strafe der FTC soll deutlich höher ausfallen, als die von der Behörde 2012 über Google verhängte Geldbuße von 22,5 Millionen US-Dollar. Das berichtet die Washington Post unter Berufung auf drei nicht namentlich genannte Personen, die an den Beratungen beteiligt waren. FTC-Mitarbeiter werden den FTC-Kommissaren bald einen Bericht über das Ermittlungsverfahren unterbreiten; dann müssen die fünf Kommissare abstimmen.

Allerdings trifft der “Shutdown” weiter Teile der US-Bundesbehörden auch die FTC. Daher ist offen, wann der Bericht fertig wird. Es wäre die erste ernstzunehmende Strafe im Cambridge-Analytica-Skandal für Facebook in den USA. Die US-Hauptstadt Washington hat Facebook vor einem Bundesgericht verklagt, bis zu einem rechtskräftigen Urteil dürften aber Jahre vergehen. Zusätzlich bremst auch hier der Shutdown.

Datenweitergabe an Dritte erfordert Zustimmung

2011 hat sich Facebook gegenüber der FTC verpflichtet, Nutzer zu informieren und deren Zustimmung einzuholen, bevor Daten in einer Weise an Dritte weitergegeben werden, die den Datenschutzeinstellungen des Users widerspricht. Überhaupt muss Facebook seither eine ausdrückliche Zustimmung einholen, bevor Daten an Dritte weitergegeben werden.

Im Fall der besonders umfangreichen Datenweitergabe an Endgeräte-Hersteller versucht Facebook sich aus der Affäre zu ziehen, in dem es eine überraschende Definition von “Dritte” bemüht: Endgeräte-Hersteller seien keine Dritten, sondern “Service Provider”. Nicht bekannt ist, ob auch dieser später aufgeflogene Datenschutz-Skandal Thema der laufenden FTC-Ermittlungen ist.

Siehe dazu auch:

(ds)

Source

Categories: IT - News

Tags:

Gravierende Sicherheitslücken in Fortnite-Anmeldung geschlossen | heise Security

Fortnite ist momentan das meistgespielte Videospiel auf dem PC. Millionen Spieler spielen es zu jeder Tages- und Nachtzeit. Da die Entwickler des Free-to-Play-Shooters ihr Geld mit In-App-Käufen im Spiel machen, haben viele Spieler ihren Account mit Zahlungsmitteln verknüpft, um den Fortnite Store nutzen zu können. Das hat sich auch bei Online-Kriminellen herumgesprochen, die es immer öfter neben FIFA- und Counterstrike-Spielerkonten auch auf Fortnite-Accounts abgesehen haben. Sicherheitsforscher haben jetzt entdeckt, wie Angreifer durch einfache Manipulation eines Links die Kontrolle über ein Fortnite-Konto erlangen konnten.

XSS-Angriff auf OAuth-Session

Epic Games, das Entwicklerstudio hinter Fortnite, hat die Sicherheitslücke in den eigenen Systemen mittlerweile behoben. Die Entwickler waren von der Sicherheitsfirma Checkpoint darauf aufmerksam gemacht worden. Die Sicherheitsforscher hatten entdeckt, dass über bestimmte Subdomains auf den Epic-Servern, die selbst nichts mit Fortnite zu tun hatten, Cross-Site-Scripting-Angriffe (XSS) möglich waren.

Die Sicherheitsforscher verleiten einen Server von Epic Games dazu, das Fortnite-Anmelde-Token des Opfers auszugeben

(Bild: Checkpoint)

Ein Angreifer konnte einem Fortnite-Spieler so einen Link unterschieben – etwa über eine Messenger-Nachricht oder ein soziales Netzwerk – der beim Klick durch das Opfer dessen OAuth-Login-Token an die Website des Angreifers übermittelte. Um das zu missbrauchen, hätte der Angreifer nur eine überzeugende Angriffswebsite bauen und Fortnite-Spieler dort hin locken müssen. Der Angriff funktioniert allerdings nur, wenn der Spieler per Single Sign-on sein Fortnite-Konto mit einem anderen Dienst verknüpft hat, etwa Facebook, Google, Nintendo, dem PlayStation Network oder XBox Live. Das ist vor allem wahrscheinlich, wenn der Nutzer das Spiel neben dem PC auch noch auf einer Konsolen-Plattform spielt. Das bei dieser Anmeldung genutzte OAuth-Token kann der Angreifer dann kopieren.

Handel mit In-Game-Gegenständen

Mit dem Zugriff auf das Fortnite-Konto des Opfers hätte der Angreifer dann Gegenstände im Fortnite Store über die Zahlungsmittel des Opfers kaufen können. Da man in Fortnite Gegenstände verschenken kann, können Online-Kriminelle solche ergaunerten Items über Drittseiten weiterverkaufen und damit Geld machen. Angreifer hätten außerdem den Ingame-Chat des Opfers mithören können, ohne dass dem betroffenen Spieler dies auffällt. Da der Hacker bei dem Angriff ein Anmelde-Token kopiert nutzt er dieselbe Session wie das Opfer. Der angegriffene Spieler wiederum bekommt von dem Angriff nichts mit.

Der Beschreibung von Checkpoint nach gab es keine Anzeichen dafür, dass bisher Fortnite-Konten über diese Lücke gekapert wurden. Und da Epic Games die Lücke geschlossen hat, sind Fortnite-Konten wohl auch in Zukunft erst einmal sicher. Fortnite-Spieler, wie andere Internet-Nutzer auch, sollten trotzdem Vorsicht walten lassen und nicht auf unbekannte Links klicken. Manchmal reicht schon ein solcher unachtsamer Klick, um die Login-Daten bei anderen Webseiten abzugreifen.
(Fabian A. Scherschel) /

(fab)

Source

Categories: IT - News

Tags:

EU-Rat tritt abrupt auf die Bremse | heise online

In der seit 2016 geführten Schlacht um die EU-Copyright-Reform gibt es eine unerwartete Wende: Der Ministerrat konnte sich am Freitag nicht auf eine gemeinsame Linie für den Endspurt zu der geplanten Richtlinie einigen. Das Gremium der Mitgliedsstaaten erteilte so der neuen rumänischen Ratspräsidentschaft nicht das erforderliche Mandat für den Abschluss der Trilogverhandlungen mit dem EU-Parlament und der Kommission. Die vorgesehene abschließende Gesprächsrunde am Montag ist damit geplatzt, der weitere Fahrplan in Gefahr.

Rumänischen Kompromissvorschlag abgelehnt

Elf EU-Länder haben sich gegen den jüngsten Kompromissvorschlag (PDF-Datei) der Rumänen ausgesprochen, den diese am Donnerstag vorgelegt hatte. Dies berichtet die Politikerin der Piratenpartei Julia Reda, die sich der Fraktion der Grünen im europäischen Parlament angeschlossen hat und für diese beim Trilog dabei ist. Neben Deutschland, Belgien, den Niederlanden, Finnland und Slowenien, die bereits vorab skeptisch waren, stimmten demnach auch Italien, Polen, Schweden, Kroatien, Luxemburg und Portugal gegen die skizzierte Verhandlungsposition.

Größter Stein des Anstoßes waren die Artikel 11 und 13 des Entwurfs, in denen es um ein Leistungsschutzrecht für Presseverleger im Internet sowie die mögliche neue Haftung von Plattformen mit nutzergenerierten Inhalten wie YouTube, Vimeo oder Facebook geht. Praktisch hätte das zunächst vorgesehene Regime die Portalbetreiber dazu gezwungen, Lizenzen von Rechteinhabern zu erwerben oder die gefürchteten Upload-Filter einzuführen.

Einigung vor EU-Wahlen im Mai “unwahrscheinlich”

Eigentlich hatten die beteiligten EU-Gremien geplant, am Montagabend einen Deal präsentieren zu können. Dieser hätte dann nur noch vom federführenden Rechtsausschuss und dem Plenum des Parlaments sowie vom Rat formal bestätigt werden müssen. Zunächst war sogar vorgesehen, schon Mitte Dezember eine Einigung noch unter der damaligen österreichischen Ratspräsidentschaft zu erzielen. Doch aus daraus war nichts geworden.

Für Reda ist es nun “ein ganzes Stück unwahrscheinlicher geworden, dass die Verhandlungen über die Urheberrechtsrichtlinie noch vor den Europawahlen im Mai zu einem Abschluss kommen”. Damit habe auch “die öffentliche Aufmerksamkeit für die Gefahren der Urheberrechtsreform” Wirkung gezeigt. Die Rumänen können jetzt zwar noch einmal versuchen, die nationalen Regierungen auf eine gemeinsame Position einzuschwören und dafür eine qualifizierte Mehrheit zu finden. Da sie mit immer mehr Gegenwind aus den unterschiedlichsten Lagern zu kämpfen haben, dürfte dies aber eine Herkulesaufgabe werden.

Internetnutzer-Rechte nicht hinreichend geschützt

Die Länder, die gegen das Verhandlungsmandat waren, sind laut Reda “für eher kritische Positionen zu Artikel 11 oder 13 bekannt”, weil sie die Rechte der Internetnutzer nicht hinreichend geschützt sehen. So hatte sich die hiesige schwarz-rote Koalition in ihrem Vertrag voriges Jahr gegen Upload-Filter, aber zugleich für eine bessere “Stellung von Rechteinhabern gegenüber Internetprovidern” ausgesprochen.

Die rumänische Ratsspitze war diesen Kritikern mit ihren jüngsten Kompromissvorschlagen schon recht weit entgegengekommen. So sollten Inhalteproduzenten wie YouTuber etwa gegenüber “Sharing-Plattformen” nachweisen können, dass sie selbst Rechte an verwendeten Materialien besitzen beziehungsweise erworben haben. Dieser Content hätte dann quasi von vornherein freigeschaltet werden können.

Streit um Einsatz von Upload-Filtern

Für hochgeladene Inhalte, bei denen die Rechtesituation zunächst unklar ist, machten sich die Rumänen für einen “spezifischen Haftungsmechanismus” stark. Die Plattformbetreiber sollten demnach in Kooperation mit den Rechteinhabern und im Einklang mit gängigen Industriestandards “alles in ihrer Macht Stehende tun”, um die Verfügbarkeit nicht autorisierter Werke und anderer Inhalte zu verhindern, die die Rechteverwalter als eigene ausgewiesen haben. Letztere hätten die Provider dafür zunächst mit einschlägigen “relevanten Daten” über die Gültigkeit ihrer Ansprüche versorgen müssen, was die Ratsposition vom Mai so noch nicht vorsah.

Prinzipiell legen auch diese Formulierungen den Einsatz von Upload-Filtern nahe. Für die Rechteinhaber würden sie aber mehr Aufwand bedeuten im Gegensatz etwa auch zu der vom Parlament zunächst vorgesehenen pauschalen Haftung für rechtswidrig hochgeladene Inhalte. Zudem drängte die Ratspräsidentschaft darauf, eine Ausnahmeklausel für kleine und mittlere Portalbetreiber einzuführen. Dafür hatten zwar auch schon die Abgeordneten gestimmt. Ihr Verhandlungsführer, Axel Voss (CDU) hatte diese Bestimmung im Trilog aber zur Disposition gestellt. Nicht zuletzt plädierten die Rumänen für eine Möglichkeit für Nutzer, die beliebten Internet-Memes beziehungsweise Parodien erstellen zu dürfen.

Rechteinhaber wollen nicht auf Geld verzichten

Den Rechteinhabern ging diese Kompromissbereitschaft nebst einem solchen Mini-Recht auf Remix schließlich zu weit. Zunächst erklärten vor allem Unternehmen und Verbände der Film- und Fernsehwirtschaft, dass sie Artikel 13 nur ganz oder gar nicht mit voller Haftung beziehungsweise Upload-Filtern haben wollten. Am Donnerstag unterstrichen dann auch diverse Produzentenvereinigungen unter Einschluss des weltweiten Dachverbands der Musikindustrie (IFPI), dass der rumänische Entwurf “nicht das ursprüngliche Ziel von Artikel 13 abdeckt” und dringend umfassend geändert beziehungsweise wiederhergestellt werden müsse.

Vor allem die Musikwirtschaft sollte ursprünglich der größte Nutznießer der Reform sein. Sie beklagt seit Langem eine große Lücke zwischen den gigantischen Werbeeinnahmen von Online-Plattformen wie YouTube und den vergleichsweise bescheiden ausfallenden Vergütungen für die Künstler und Produzenten (“Value Gap“). Die Rechteinhaber wollen mit ihrer Distanz zu einem “verwässerten” Artikel 13 aber keineswegs auf mehr Geld verzichten. Sie setzen nun jedoch offenbar vor allem auf eine anstehende Entscheidung des Europäischen Gerichtshofs (EuGH) zu ihren Gunsten in einem Fall zur Haftung von Online-Plattformen wie YouTube, den der Bundesgerichtshof (BGH) vorgelegt hat (C-682/18).

(tiw)

Source

Categories: IT - News

Tags:

Facebook unterstützt Erforschung künstlicher Intelligenz in München | heise online

Facebook wird die Erforschung ethischer Fragen rund um künstliche Intelligenz in München mit 7,5 Millionen Dollar unterstützen. Das Geld soll an das neue unabhängige Institut für Ethik in künstlicher Intelligenz in einer Partnerschaft mit der Technischen Universität München über einen Zeitraum von fünf Jahren fließen, wie Facebook am Sonntag ankündigte.

Das Institut wolle diverse Aspekte künstlicher Intelligenz wie Fairness, Transparenz und Sicherheit untersuchen, hieß es am Rande der Innovationskonferenz DLD in München. Die Ergebnisse sollen Gesellschaft, Wirtschaft sowie Gesetzgebern zur Verfügung gestellt werden. Von Facebook kommt die Anschubfinanzierung, das Institut will sich aber auch um Geld von weiteren Partnern bemühen. Das Institut wird von Professor Christoph Lütge von der TU München geleitet.

Vorurteile der Entwickler könnten KI beeinflussen

Die Ausbreitung lernender Maschinen und künstlicher Intelligenz wirft immer mehr auch ethische Fragen auf. Dazu gehört zum Beispiel, inwieweit Vorurteile von Entwicklern in Algorithmen einfließen und von ihnen verstärkt werden könnten. Inzwischen wurden bereits Fälle bekannt, in denen zum Beispiel Software für Finanzdienstleistungen oder zur Auswahl von Job-Bewerbern einzelne soziale oder ethnische Gruppen diskriminierte.

Facebook steht auch im Zentrum dieser Debatten, zum Beispiel mit dem Vorwurf der sogenannten Filterblase, in der Nutzer von der Software nur Informationen aufgetischt bekommen, die ihre Weltsicht verstärken. Facebook setzt – genauso wie zum Beispiel auch Google – zudem auf künstliche Intelligenz, um Inhalte mit Hassrede oder Terrorpropaganda zu finden und zu löschen.

Künstliche Intelligenz benötigt große Datenmengen

Künstliche Intelligenz nutzt Erfahrungen aus der Analyse großer Datenmengen, um Entscheidungen zu treffen. Bisher ist ihr Einsatz vor allem auf einzelne Aufgaben beschränkt – zum Beispiel die Verbesserung von Fotos oder die Prüfung von Dokumenten in Anwaltskanzleien. Es wird aber auch an universell einsetzbaren künstlichen Intelligenzen gearbeitet.

(bme)

Source

Categories: IT - News

Tags: