tech

Snapchat-Mitarbeiter haben Daten missbraucht, um User auszuspionieren

Ein Tool namens "SnapLion" gibt Angestellten Zugriff auf die Daten von Snapchat-Usern. Das sagen ehemalige und aktuelle Mitarbeiter sowie interne E-Mails.

von Joseph Cox
24 Mai 2019, 1:00pm

Bild: Hunter French

Mehrere Abteilungen des Social-Media-Unternehmens Snap sollen bewusst Tools einsetzen, die den Mitarbeiterinnen und Mitarbeitern Zugriff auf die Daten der User gewährt. Angestellte sollen mithilfe dieses Zugangs Snapchat-User ausspioniert haben. Diese Informationen wurden VICE zugespielt.

Zwei ehemalige Mitarbeiter sagen, dass einige Snap-Angestellte vor mehreren Jahren den Zugang zu Snapchat-Userdaten missbraucht hätten. Zwei weitere Ex-Angestellte, ein derzeitiger Mitarbeiter und eine Reihe an firmeninternen E-Mails, die VICE vorliegen, beschreiben interne Tools, mit denen Snap-Mitarbeitende damals auf diverse Userdaten zugreifen konnten – darunter auch Informationen über den Aufenthaltsort, privat gespeicherte Snaps, Telefonnummern und E-Mail-Adressen.

Unter der Bedingung, anonym zu bleiben, haben sich mehrere Quellen bereit erklärt, für diesen Artikel offen über die internen Vorgänge bei Snap zu sprechen.


VICE-Video: Dieser Mann hütet eines der wichtigsten Kabel des Internets


Den Quellen zufolge kontrolliere Snap den Zugang zu Userdaten inzwischen sehr streng. Zudem nehme das Unternehmen jeglichen Missbrauch sowie das Thema Privatsphäre sehr ernst. Dennoch zeigen die Neuigkeiten mal wieder etwas auf, das viele User schnell vergessen: Hinter den Apps und Programmen, die wir täglich nutzen, stecken Menschen, die die sensiblen Daten nutzen, um an ihrem Produkt zu arbeiten. Ohne entsprechende Schutzmassnahmen könnten diese Menschen die Daten theoretisch missbrauchen und die User ausspionieren.

So funktioniert "SnapLion"

Eines der internen Snap-Tools, mit dem die Mitarbeiter und Mitarbeiterinnen auf Userdaten zugreifen können, heisst laut mehrere Quellen "SnapLion". Ursprünglich wurde dieses Tool dazu genutzt, um User-Infos zusammenzutragen, falls dies im Zuge von strafrechtlichen Ermittlungen nötig sein sollte. Das sagen zwei ehemalige Mitarbeiter. Einer von ihnen gibt ausserdem an, dass die "Spam and Abuse"-Abteilung von Snap das Tool nutze. Laut einem derzeitigen Angestellten werde SnapLion gebraucht, um gegen Mobbing und Belästigung auf der Social-Media-Plattform vorzugehen.

In einer VICE zugespielten internen Snap-E-Mail heisst es, dass auch die "Customer Ops"-Abteilung Zugang zu SnapLion habe – genauso wie die für die Sicherheit zuständigen Mitarbeiter, so der derzeitige Angestellte. Bisher war nicht öffentlich bekannt, dass es SnapLion überhaupt gibt. SnapLion sei wie ein Schlüssel zum Königreich, so einer der ehemaligen Snap-Angestellten.

Viele der 186 Millionen Snapchat-User wissen wahrscheinlich gar nicht, welche Daten die App überhaupt von ihnen speichert. 2014 verhängte die Federal Trade Commission, die US-Bundesbehörde für Verbraucherschutz, eine Geldstrafe gegen Snap, weil das Unternehmen nirgendwo angegeben hatte, Geodaten zu sammeln, zu speichern und zu übertragen.

In dem öffentlichen Snapchat-Guide dazu, was passiert, wenn strafrechtliche Behörden Informationen zu Usern anfordern, steht auch, welche Daten in einem solchen Fall herausgegeben werden können – darunter die mit einem Account verknüpfte Telefonnummer, die Ortungsdaten (falls aktiviert), Metadaten zu Nachrichten und teilweise sogar tatsächliche Snaps (wenn sie als Erinnerungen gespeichert sind). Eine interne Snap-E-Mail zeigt, wie ein Angestellter SnapLion nutzt, um eine mit einem Account verknüpfte E-Mail-Adresse herauszufinden.

Missbräuchliche Zugriff seien "ein paar Mal" vorgekommen

Tools wie SnapLion sind Standard in der Tech-Welt und es gibt eine Reihe legitimer Gründe für Unternehmen, auf die Daten ihrer User zugreifen zu können. In einer zweiten Mail wird zum Beispiel beschrieben, wie das Tool auch bei Ermittlungen in Kindesmissbrauchsfällen hilfreich sein kann. Snap sagte, dass die Firma diverse Tools verwende, die ihr bei gemeldeten Nutzern und Nutzerinnen helfe, Gesetze einzuhalten und Nutzungsbedingungen durchzusetzen. Dennoch haben Mitarbeiter in der Vergangenheit den Zugang zu Nutzerdaten ungerechtfertigt verwendet, um User auszuspionieren. Das sagen zwei ehemalige Angestellte.

Dieser missbräuchliche Zugriff sei "ein paar Mal" bei Snap vorgekommen, sagt einer der ehemaligen Angestellten. Diese Quelle und ein weiterer ehemaliger Snap-Mitarbeiter sagen, dass dies durch mehrere Personen geschehen sei. Eine VICE vorliegende E-Mail von Snapchat zeigt, wie Mitarbeitende offen darüber diskutieren, dass Firmeninsider mit Zugang zu Daten ein Problem sein können und wie man dagegen vorgehen müsste.

Motherboard konnte nicht prüfen, wie genau der Datenmissbrauch vonstatten ging oder welche bestimmten Systeme oder Prozesse die Angestellten verwendeten, um auf Snapchat-Nutzerdaten zuzugreifen.

Ein Unternehmenssprecher teilte VICE in einer E-Mail mit: "Der Schutz der Privatsphäre steht bei Snap an erste Stelle. Wir behalten sehr wenige Nutzerdaten und haben robuste Regelungen und Kontrollen etabliert, um den internen Zugang zu den Daten, die wir haben, zu beschränken. Unautorisierter Zugang zu Daten jeglicher Art stellt eine klare Verletzung der Unternehmensstandards zum Geschäftsgebaren dar und führt, insofern er bemerkt wird, zu sofortiger Entlassung."

Auf die Frage, ob es jemals zu Datenmissbrauch gekommen sei, antwortete ein ehemaliger führender Snap-Angestellter für Informationssicherheit: "Ich kann das nicht kommentieren, aber wir hatten schon früh gute Systeme. Wahrscheinlich sogar früher als jedes andere Start-up." Er verneinte die Frage zwar nicht, aber äusserte sich auch nach wiederholten Nachfragen nicht weiter.

Einer der ehemaligen Mitarbeiter war der Meinung, dass SnapLion vor einigen Jahren über kein zufriedenstellendes Logging verfügte, um nachverfolgen zu können, welche Daten von den Mitarbeitenden aufgerufen werden. Logging beschreibt den Vorgang, wenn eine Firma verfolgt, wer ein System verwendet und welche Daten die Person damit aufruft. Damit soll sichergestellt werden, dass Daten nur wie vorgesehen verwendet werden. Das Unternehmen habe daraufhin mehr Überwachungsmethoden implementiert, ergänzte der ehemalige Mitarbeiter. Snap selbst gibt an, dass es aktuell den Zugang zu Userdaten überwacht. Aber: "Das Logging ist nicht perfekt", sagte der zweite ehemalige Angestellte, der den Datenmissbrauch beschrieben hatte.

Snap sagt, dass die Firma den Zugang zu den Tools auf diejenigen beschränkt, die sie brauchen. SnapLion würde allerdings nicht mehr nur zur Unterstützung von Strafverfolgungsbehörden eingesetzt. Ein ehemaliger Mitarbeiter, der mit SnapLion gearbeitet hat, sagte, dass das Tool verwendet werde, um Passwörter von gehackten Konten zurückzusetzen, und für "andere User-Administrations-Aufgaben".

"Der User muss verstehen, dass alles, was er nicht verschlüsselt tut, an irgendeinem Punkt für Menschen zugänglich ist"

Ein aktueller Angestellter betonte, dass die Firma vieles für die Privatsphäre ihrer User unternimmt. Auch zwei frühere Mitarbeitende verwiesen auf die Kontrollen, die Snap zum Schutz der Privatsphäre seiner Nutzer implementiert hat. Im Januar dieses Jahres hat Snap die Ende-zu-Ende-Verschlüsselung eingeführt.

In der Tech-Industrie passiert es immer wieder, dass Insider ihren Zugang zu Nutzerdaten missbrauchen. Vergangenes Jahr berichtete VICE darüber, wie Facebook-Mitarbeiter Nutzerdaten ausspionieren können. Uber prahlte auf Partys mit seinem "God View", der die Echtzeitposition echter Kunden und Fahrer anzeigt. Uber-Angestellte verwendeten ausserdem interne Systeme, um Ex-Partner, Politiker und Prominente auszuspionieren.

"Der User muss verstehen, dass alles, was er nicht verschlüsselt tut, an irgendeinem Punkt für Menschen zugänglich ist", sagt Alex Stamos, der frühere Chef für Informationssicherheit bei Facebook und heutige Stanford-Dozent, über die Bedrohung durch Insider bei Tech-Giganten im Allgemeinen. Derartiger Datenmissbrauch sei "nicht besonders selten".

Folge VICE auf Facebook, Instagram und Snapchat.

This article originally appeared on VICE US.