Im Jahr 2016 startete Facebook ein geheimes Projekt, das darauf abzielte, den Netzwerkverkehr zwischen Personen, die die Snapchat-App nutzen, und den Servern von Snapchat abzufangen und zu entschlüsseln. Das Ziel war es, das Verhalten der Nutzer zu verstehen und Facebook dabei zu helfen, mit Snapchat zu konkurrieren, wie aus neu veröffentlichten Gerichtsdokumenten hervorgeht. Facebook nannte dies „Project Ghostbusters“, in klarem Bezug auf das geisterhafte Logo von Snapchat.

Am Dienstag veröffentlichte ein Bundesgericht in Kalifornien neue Dokumente, die im Rahmen der Sammelklage zwischen Verbrauchern und Meta, dem Mutterunternehmen von Facebook, entdeckt wurden.

Die neu veröffentlichten Dokumente zeigen, wie Meta versuchte, sich einen Wettbewerbsvorteil gegenüber seinen Konkurrenten, einschließlich Snapchat und später Amazon und YouTube, zu verschaffen, indem es den Netzwerkverkehr analysierte, wie die Nutzer mit den Konkurrenten von Meta interagierten. Angesichts der Verschlüsselung dieser Apps musste Facebook spezielle Technologien entwickeln, um dies zu umgehen.

Ein Dokument beschreibt Facebooks „Project Ghostbusters“. Das Projekt war Teil von Facebooks „In-App Action Panel“ (IAPP)-Programm, das eine Technik zur „Abfangung und Entschlüsselung“ des verschlüsselten App-Verkehrs von Nutzern von Snapchat und später von Nutzern von YouTube und Amazon verwendete, schrieben die Anwälte der Verbraucher in dem Dokument.

Das Dokument enthält interne E-Mails von Facebook, die das Projekt diskutieren.

„Wenn jemand eine Frage zu Snapchat stellt, lautet die Antwort normalerweise, dass wir aufgrund der Verschlüsselung ihres Datenverkehrs keine Analysen über sie haben“, schrieb Meta-Chef Mark Zuckerberg in einer E-Mail vom 9. Juni 2016, die im Rahmen der Klage veröffentlicht wurde. „Angesichts ihres schnellen Wachstums scheint es wichtig zu sein, eine neue Möglichkeit zu finden, zuverlässige Analysen über sie zu erhalten. Vielleicht müssen wir Panels erstellen oder benutzerdefinierte Software schreiben. Du solltest herausfinden, wie man das macht.“

Die Lösung der Facebook-Entwickler bestand darin, Onavo zu verwenden, einen VPN-ähnlichen Dienst, den Facebook 2013 erworben hatte. Im Jahr 2019 stellte Facebook Onavo nach einer Untersuchung von TechCrunch ein, in der enthüllt wurde, dass Facebook heimlich Jugendliche bezahlt hatte, um Onavo zu nutzen, damit das Unternehmen auf alle ihre Webaktivitäten zugreifen konnte.

Nach Zuckerbergs E-Mail nahm sich das Onavo-Team des Projekts an, und einen Monat später schlug es eine Lösung vor: sogenannte Kits, die auf iOS und Android installiert werden können und den Verkehr für bestimmte Subdomains abfangen, „damit wir verschlüsselten Verkehr lesen können, der sonst verschlüsselt wäre, um die In-App-Nutzung zu messen“, heißt es in einer E-Mail von Juli 2016. „Dies ist ein ‚Man-in-the-Middle‘-Ansatz.“

Ein Man-in-the-Middle-Angriff – heute auch Adversary-in-the-Middle genannt – ist ein Angriff, bei dem Hacker den Internetverkehr abfangen, der von einem Gerät zu einem anderen über ein Netzwerk fließt. Wenn der Netzwerkverkehr unverschlüsselt ist, ermöglicht dieser Angriff den Hackern das Lesen der Daten darin, wie Benutzernamen, Passwörter und andere In-App-Aktivitäten.

Da Snapchat den Verkehr zwischen der App und seinen Servern verschlüsselte, würde diese Netzwerkanalysetechnik nicht effektiv sein. Aus diesem Grund schlugen die Facebook-Ingenieure vor, Onavo zu verwenden, das bei Aktivierung den Vorteil hatte, den gesamten Netzwerkverkehr des Geräts zu lesen, bevor er verschlüsselt und über das Internet gesendet wurde.

„Wir haben jetzt die Möglichkeit, detaillierte In-App-Aktivitäten zu messen“ aus „Analyse von Snapchat-Daten, die von incentivierten Teilnehmern im Onavo-Forschungsprogramm gesammelt wurden“, lautet eine weitere E-Mail.

Später, so die Gerichtsdokumente, erweiterte Facebook das Programm auf Amazon und YouTube.

Innerhalb von Facebook gab es keine Einigkeit darüber, ob Project Ghostbusters eine gute Idee war. Einige Mitarbeiter, darunter Jay Parikh, der damalige Leiter der Infrastrukturentwicklung von Facebook, und Pedro Canahuati, der damalige Leiter der Sicherheitstechnik, äußerten Bedenken.

„Ich kann keinen guten Grund dafür finden, warum das in Ordnung ist. Keine Sicherheitsperson fühlt sich jemals damit wohl, egal welche Zustimmung wir von der Allgemeinheit erhalten. Die Allgemeinheit weiß einfach nicht, wie das funktioniert“, schrieb Canahuati in einer E-Mail, die in den Gerichtsdokumenten enthalten ist.

Im Jahr 2020 reichten Sarah Grabert und Maximilian Klein eine Sammelklage gegen Facebook ein, in der sie behaupteten, dass das Unternehmen über seine Datensammlungsaktivitäten gelogen habe und die Daten, die es „täuschend extrahiert“ habe, ausgenutzt habe, um Wettbewerber zu identifizieren und dann unfair gegen diese neuen Unternehmen vorzugehen.