Auf Twitter macht sich seit Tagen eine Datenkrake breit: User werden dazu motiviert, Spielereien der Webseite «roundyearfun.org» zu nutzen. Wer sich mit einem Klick einloggt, erfährt angebliche Antworten auf die interessantesten Fragen des Lebens: Wer sind meine «Eltern»? Wer sind meine «Kinder»? Und vor allem: Wer ist mein «Crush»?
Die Antworten darauf machen Spass: watson-Recherchen zufolge haben alleine in den vergangenen zehn Tagen über 40'000 User die Spielerei genutzt. Die Beliebtheit von Internet-Dienstleistungen mag kreativen Produkten gegönnt sein, die Sache hat aber einen grossen Haken: Sie ist ein gewaltiges Datenschutzproblem und erinnert an den Skandal um die britische Analysefirma «Cambridge Analytica».
Wir erklären, worum es sich beim aktuellen Fall handelt, was du als Opfer tun kannst und wo die Parallelen zum Facebook-Skandal sind.
Seit Tagen finden sich auf Twitter mehrere Beiträge, in denen irgendwelche Spielereien von «roundyearfun.org» geteilt werden. Dort lesen sich nicht nur angebliche Ergebnisse zur eigenen «Twitter-Familie», sondern auch andere spielerischen Auswertungen etwa zur Frage: «Wann werde ich sterben?» oder «Welchen Wert hat mein Twitter-Account?» Der Twitter-User «steph» konnte so Anfang Woche seine 144 Follower darüber informieren, dass sein Benutzerkonto angeblich 396.95 US-Dollar wert ist.
Was «steph» und abertausend andere User nicht wissen, ist, welche Missbrauchsmöglichkeiten sie mit der Teilnahme an dieser Spielerei ermöglicht haben: Sie erlauben den Macherinnen und Macher hinter «roundyearfun.org» eine lange Reihe von Zugriffsmöglichkeiten auf den Twitter-Account.
Diese können nun nicht nur alle Tweets aus der Timeline (auch jene von «versteckten» Profilen), die Profilinformationen und Kontoeinstellungen auslesen und verändern. Sie können auch selbstständig Tweets veröffentlichen, löschen, retweeten und liken. Zudem können die Macherinnen und Macher der Spielereien nach Belieben neuen Leuten folgen, entfolgen, stummschalten und blockieren.
Möglich gemacht wird das durch die technische Twitter-Programmierschnittstelle, die in der Fachsprache kurz API genannt wird. Über diese Dienstleistung können Journalisten – wie etwa für diese Recherche – maschinell zehntausende Tweets auswerten und durchsuchen. Möglich sind auch automatisierte Tweets, beispielsweise um jede Erdbebenwarnung tweeten zu können.
Diese Schnittstelle kann aber auch missbraucht werden: Durch die unzähligen Zugriffsgewährungen könnten sich die Macherinnen und Macher von «roundyearfun.org» im Informationskrieg beteiligen, Propaganda verbreiten und unliebsame Konten heimlich für abertausende Opfer stummschalten. Im Internet kursieren einzelne Warnungen, wonach das passiert sein soll. watson konnte diese Behauptungen jedoch nicht überprüfen.
Verschlimmernd kommt hinzu, dass unklar ist, wer überhaupt hinter der Spielerei steckt. Internet-Archive erfassten die Webseite «roundyearfun.org» erstmals im Jahr 2018, nachdem die Webadresse im März 2017 registriert wurde. Halterschaftsangaben gibt es genau so wenig wie ein Impressum oder Angaben zu Datenschutzbestimmungen.
Eine erste tiefergehende Analyse deutet viel mehr darauf hin, dass hinter der Webseite ein grösseres Netzwerk steckt: Sie war oder ist über andere Adressen wie «qweasdzxc.live», «funaroundy.me» oder «funallaruon25.fun» erreichbar.
Twitter-eigene Schutzmechanismen sollten solche massenhafte Datenabfragen eigentlich verhindern. Diese werden aber geschickt umgangen: Die Macherinnen und Macher verwenden seit mindestens einer Woche eine Vielzahl von Schnittstellen-Entwicklerkonten. Dies verraten die Metadaten der automatisiert erstellten Tweets in den Profilen der Teilnehmenden: Als Quelle wird dort beispielsweise «Your Around Fun #EF9A» oder «Fun Around Your #E211» angegeben. Die Zifferfolge nach der Raute existiert in verschiedenen Variationen, was auf die Nutzung mehrerer Schnittstellen-Zugriffskonten deutet.
Auf wie viele User-Konten sie nun zugreifen können, kann derzeit noch nicht genau bestimmt werden. watson analysiert seit den Morgenstunden die Tweets dazu und wird die Angaben dazu laufend aktualisieren. Stand 11:10 Uhr lässt sich sagen, dass seit einer Woche über 40'000 mal ein Link zur Spielerei getweetet wurde. Andere Auswertungen gehen von zehn mal mehr Opfern aus.
Einen direkten Zusammenhang gibt es zu «Cambridge Analytica» nicht. Die Art und Weise der massenhafter Datensammlerei erinnert jedoch stark an den Skandal, der 2018 die Internet-Welt erschütterte.
Wir erinnern uns: Der Whistleblower Christopher Wylie machte publik, dass die britische Datenanalyse-Firma gestützt auf Datensätze von über 320'000 Facebook-Usern Persönlichkeitsprofile erstellen konnte. Das Vorgehen war möglich dank dem dilettantischen Umgang von Facebook mit User-Daten und der User selbst: Sie gaben die Daten über Spass-Spielchen freiwillig weiter, indem sie sich bei einem Online-Psychologie-Test mit Facebook einloggten.
Umstritten bleibt, welche Wirkung Cambridge Analytica damit erzielen konnte. Berichten zufolge konnte die Firma damit individualisierte Facebook-Werbung schalten und so quasi jedem US-Wähler und jeder US-Wählerin ein passendes Inserat zeigen – den Skandalberichten zufolge ermöglichten diese angeblich den Sieg von Donald Trump bei den US-Präsidentschaftswahlen im Jahr 2016.
Mit den Zugriffsrechten, die «roundyearfun.org» erhalten hat, können Meinungen gezielt manipuliert werden, indem unliebsame Tweets, Hashtags oder Links eliminiert werden, bestimmte Twitter-Konten klammheimlich stummgeschaltet werden oder gar missbräuchliche Tweets verbreitet werden.
