In den letzten Monaten haben wir Informationen über ein internetweites Problem veröffentlicht, das als Scraping bekannt ist. Scraping ist das automatisierte Sammeln von Daten von einer Website oder App. Es kann durch autorisierte Mittel geschehen, wie z.B. Web-Crawling durch eine Suchmaschine, oder durch nicht autorisierte Mittel, was die Verwendung von Automatismen zum Sammeln von Informationen unter Verletzung unserer Nutzungsbedingungen beinhaltet. Diejenigen, die dies auf unautorisierte Weise tun, versuchen oft, ihre Aktivität zu verschleiern, damit sie mit der normalen Nutzung verschmilzt.

Wir haben bereits früher darüber berichtet, wie Scraping funktioniert und wie wir es bekämpfen. In diesem Beitrag stellen wir weitere Details zu unseren Bemühungen, unautorisiertes Scraping zu bekämpfen, zur Verfügung und bieten einen tieferen Einblick in das Thema „Telefonnummernaufzählung“ – eine Scraping-Technik, die im Mittelpunkt der jüngsten Berichte über Scraping auf unserer Plattform stand.

Wir glauben, dass es wichtig ist, unsere Arbeit zur Bekämpfung verschiedener Formen von Missbrauch auf unserer Plattform transparenter zu gestalten. Aus diesem Grund haben wir heute auch unser neues Transparenz-Center gestartet, das eine zentrale Anlaufstelle für unsere Integritätsbemühungen bietet. Außerdem haben wir gerade unseren neuesten „Transparency Report“ für das zweite Halbjahr 2020 sowie unseren „Community Standards Enforcement Report“ für das erste Quartal dieses Jahres veröffentlicht.

Wie wir uns vor Datenmissbrauch schützen

Scraping betrifft eine breite Masse von Unternehmen und Branchen. Neben Social-Media-Plattformen wie Facebook, LinkedIn und Clubhouse haben Daten-Scraper auch persönliche Informationen von Fitnessgeräteherstellern wie Echelon und Gesundheits-Apps wie Strava sowie von Branchen wie Banken, E-Commerce und Gastgewerbe gesammelt. Jede Website oder App, über die öffentlich auf Daten zugegriffen werden kann, ist ein potenzielles Scraping-Ziel.

Facebook ist sich diesem Risiko bewusst, und obwohl wir es nie ganz ausschließen können, haben wir mehrere Maßnahmen ergriffen, um das Risiko von Scraping auf unserer Plattform zu mindern. Zum Beispiel:

• Wir haben ein Team für externen Datenmissbrauch aufgebaut, das aus mehr als 100 Mitarbeitern besteht, die sich der Erkennung, Untersuchung und Blockierung von Verhaltensmustern im Zusammenhang mit Scraping widmen.
• Wir verhängen Raten- und Datenlimits, die einschränken sollen, wie viele Daten eine einzelne Person über eine bestimmte Funktion erhalten kann, und errichten weitere Hindernisse gegen unautorisierte Automatismen. Wir blockieren täglich Milliarden von mutmaßlichen Scraping-Aktionen auf Facebook und Instagram.
• Wir arbeiten mit Forschern zusammen, um öffentlich zugängliche Datensätze, die Facebook-Nutzerdaten enthalten, zu finden und zu sichern – unabhängig davon, ob die Daten von Facebook oder einem Facebook-App-Entwickler zu stammen scheinen. Diese Datensätze sind bei einer Reihe von Hosting-Anbietern und Online-Plattformen zu finden. Die böswilligen Akteure, die diese Datensätze handeln oder verkaufen, recyceln oder manipulieren sie oft im Laufe der Zeit, was bedeutet, dass viele von ihnen oft doppelte Informationen oder ungenaue Daten enthalten.
• Wenn wir gescrapte Datensätze, die Facebook-Daten enthalten, finden, gibt es keine 100-prozentig sicheren Optionen, um sie vom Netz zu nehmen oder gegen die Verantwortlichen vorzugehen, aber wir können eine Reihe von Maßnahmen ergreifen.
• Im vergangenen Jahr haben wir mehr als 300 Durchsetzungsmaßnahmen gegen Personen ergriffen, die unsere Plattform missbrauchten. Dazu gehört das Versenden von Unterlassungserklärungen, das Deaktivieren von Konten, das Einreichen von Klagen oder das Anfordern von Unterstützung bei Hosting-Providern, um sie vom Netz zu nehmen. In einem aktuellen Fall haben wir erfolgreich einen Vergleich mit dem Betreiber eines Dienstes namens Massroot8 erzielt, der gegen unsere Bedingungen verstoßen hatte. Neben der Abschaltung des Dienstes haben wir den Betreiber und jeden, der in seinem Namen handelt, dauerhaft von Facebook oder Instagram verbannt.

Telefonnummernaufzählung

Eine besondere Scraping-Technik, gegen die wir intensiv gekämpft haben, ist die sogenannte „Telefonnummernaufzählung“. Dabei werden automatisierte Tools in großem Umfang eingesetzt, um Informationen über Personen anhand ihrer Telefonnummern abzurufen.

Vor einer Reihe von Verbesserungen, die wir im September 2019 vorgenommen haben, hatten Scraper Wege gefunden, verschiedene Funktionen zur Erkennung von Kontakten zu missbrauchen, die wir zur Verfügung gestellt haben und die es Menschen ermöglichen sollten, ihre Kontakte auf Facebook zu finden und sich mit ihnen zu verbinden. Zu diesen Funktionen gehört die Funktion zum Importieren von Kontakten, mit der Personen ihre Kontakte von ihren Mobilgeräten auf Facebook hochladen und passende Personen anhand ihrer Telefonnummern finden konnten. Wir glauben, dass die Scraper die Telefonnummernaufzählung verwendet haben, um diese Funktion zu missbrauchen und Informationen zu scrapen. Im Folgenden erläutern wir, wie die Telefonnummernaufzählung im Allgemeinen mit der Kontakt-Importer-Funktion funktioniert. Sie können sich auch diese visuelle Darstellung des Prozesses ansehen, um zu sehen, wie wir gegen diese Technik vorgehen.

• Bei der Aufzählung von Telefonnummern zielen Scraper auf dicht besiedelte Bereiche ab, in denen es eine Fülle von Mobiltelefonnummern gibt, die wahrscheinlich mit Konten auf Facebook oder anderen beliebten Plattformen verbunden sind.
• Sie wählen ein Rufnummernformat und generieren automatisch eine Liste mit Zielrufnummern.
• Diese Nummern werden verwendet, um Kontaktlisten auf einer großen Anzahl von simulierten mobilen Geräten zu erstellen. Die Scraper verteilen ihre Aktivität auf zahlreiche simulierte Geräte, um ein Überschreiten von Raten- oder Datenlimits zu vermeiden und zu versuchen, sich in die normale Nutzeraktivität einzufügen.
• Die verschiedenen simulierten Geräte werden jeweils verwendet, um eine Kontaktliste (die jeweils ein Segment der Telefonnummern auf der Liste der Scraper enthält) in den Kontakt-Importer der anvisierten Website oder App hochzuladen.
• Der Kontakt-Importer gibt Informationen zu übereinstimmenden Kontakten, abhängig von deren Datenschutzeinstellungen, zurück. Die Scraper aggregieren diese Informationen im Laufe der Zeit in einer separaten Datenbank.

Die oben beschriebenen Änderungen an der Funktion des Kontakt-Importers zielten darauf ab, diese Technik zu bekämpfen. Da Scraper ihre Methoden ständig ändern, überprüfen und aktualisieren wir regelmäßig unsere Schutzmaßnahmen, um ihnen einen Schritt voraus zu sein. Wir haben einige unserer Methoden, einschließlich der Ratenbeschränkungen, Datenbeschränkungen, Verhaltenserkennung und andere Schutzmaßnahmen in einem früheren Beitrag ausführlich beschrieben.

Um eines klarzustellen: Unsere erste Verteidigungslinie gegen unautorisiertes Scrapen ist es, das Sammeln von Daten in großem Umfang so schwer wie möglich zu machen. Wir möchten, dass sich die Menschen bei der Nutzung unserer Dienste wohlfühlen und darauf vertrauen können, dass wir ihre Daten schützen. Daher arbeiten wir daran, den Zugriff auf unsere Funktionen durch Scraper einzuschränken, während die Menschen diese Funktionen weiterhin nutzen können, um sich mit anderen zu verbinden und auszutauschen.