Falls Sie noch nicht von Blippy gehört haben, stellen Sie sich den Service einfach als einen unendlich langen Kassazettel vor. Für die Nutzer des Diensts ist Blippy dennoch mehr als eine bloße Liste. Blippy ist persönlicher Ausdruck, Ort der Vorlieben und Geschmäcker, Statussymbol für die, die ihr Geld nicht zu verstecken brauchen.

Amerikanischen Mitgliedern wird eine Fülle an unterstützten Accounts und Zahlungsmöglichkeiten geboten, der deutschsprachige Raum beschränkt sich bisweilen auf Dienste wie iTunes, Amazon oder Ebay. Blippy listet die Einkäufe im eigenen Profil, zusammen mit Zeit, Ort und Betrag. Eine Kreditkarte wird fast immer vorausgesetzt.

Im April vermeldete Blippy immerhin 125.000 Besucher, erstmals wurde das Internet-Startup mit externen Geldinvestements in Höhe von $ 11,2 Millionen bedacht. Nur kurze Zeit später machte die Nachricht von einem Datenleck auf Blippy die Runde. Wie überraschend die Aktion für das Unternehmen gewesen sein muss, zeigt ein Blogposting, indem von ungefähr 200 von Google entfernten Links berichtet wird, die vier Kreditkarteninhabern zugerechnet werden. Das ganze Ausmaß ist aber wahrscheinlich selbst den Blippy Mitarbeiter noch nicht vollends bekannt. Jedes dieser Google Ergebnisse listete Transaktion, Geldbetrag, Ort und die komplette Kreditkartennummer.

Die Sicherheitslücke entstand Anfang Februar als unverschlüsselte Transaktionsdaten (raw transaction data) in Blippy’s HTML Code gelangten und somit einlesbar wurden. Obwohl nicht länger als einen halben Tag zugänglich, indexierte Google (Anm. Web Crawler) Teile der Webseite und somit ebenso im HTML Code lesbare Daten. Die sensiblen Informationen waren von da an fast drei Monate zugänglich. Blippy’s Entschuldigung ist erschreckend einfach gehalten:

“We overlooked the fact that Blippy could have been crawled by Google during the period of the exposure.”

Neuer Sicherheitsplan

Es ist halt passiert und wir haben es übersehen. Gestern wurde ein neuer Fünf-Punkte-Sicherheitsplan vorgestellt, der das Vertrauen der Nutzer zurückgewinnen soll. Ein Auszug aus dem Blogpost:

“This is a very serious issue and simply apologizin is not enough. We’ve spent the last 48 hours working around the clock to dissect the issues, reach out to affected users, and put together a plan to ensure this never happens again”.

1. Die Einstellung eines eigens für die Sicherheit verantwortlichen Teams

2. Regelmäßige Sicherheitsprüfungen und -Kontrollen durch externe Unternehmen

3. Stärkere Investments in Filtersysteme um sensible Daten besser zu schützen

4. Kontrolle des Caching von Suchmaschinen

5. Schaffung eines Sicherheits- und Privatsphärezentrums zur Kommunikation mit den Nutzern

Weitere Vorschläge zur Verbesserung der Sicherheit können an hello@blippy.com gerichtet werden. Dieser Vorfall zeigt sehr eindringlich, wie untrennbar die Inhalte im Web verknüpft sind und wie einfach Daten der Aufsichtspflicht ihrer Betreiber entgleiten können. Bei Internet- Startups mit wenig Kapital und dementsprechend meist nur gering ausgeprägten Sicherheitsvorkehrungen sollte die Verwendung sensibler Daten sehr gut überlegt sein, auch wenn in diesem Fall größerer Schaden verhindert werden konnte.

Seit der f8 Konferenz , auf der Mark Zuckerberg über die nahe Zukunft Facebooks sprach, wurde viel über neue Funktionen und Inhalte berichtet. Unter dem Namen “Open Graph” führt Facebook nun eine neue Strategie ein. Ziel ist es Facebook noch mehr Menschen zugänglich zu machen und eine permanente Verbindung zum User zu schaffen. Dafür wurden mehrere “Social Plugins” geschaffen, der Bekannteste darunter ist der “Like Button”.

Dieser ermöglicht jeden Beitrag, Artikel oder Eventtipp zu favorisieren und mittels eines simplen Klicks in den eigenen Facebook Stream einzugliedern. Somit ist eine ständige Verbindung zu Facebook gegeben, auch wenn die Webseite nicht explizit aufgesucht wird. Weiters ist das “Open Graph-Protokoll” in der Lage, Daten bestimmter Dienste direkt in die Profile der Nutzer zu schreiben. In erster Linie werden hier Filme, Musik, Restaurants und Lifestyle Produkte bedient. Der Online-Filmdienst IMDb gehört zu den ersten von 30 teilnehmenden Unternehmen. “Open Graph” beschert Facebook unglaubliche Datenmengen zur Auswertung und Weitergabe, Webseitenbetreiber erhalten im Gegensatz Zugang zur weltweit größten Online-Community und mit Web-Analytics-Tool auch Einsichten in das Benutzerverhalten ihrer Besucher.

Facebook Credits

Die Verknüpfung Facebooks mit immer mehr Webseiten steigert auch das Interesse an einer übergreifenden Zahlungsmöglichkeit. Das derzeit noch im Beta-Stadium befindliche “Facebook Credits” ist der nächste logische Schritt in der Montearisierung des kalifornischen Unternehmens.

Bisher sind es vor allem Social-Games wie Farmville, die von “Facebook Credits” Gebrauch machen. Die Nutzer können Guthaben per Kreditkarte, Paypal oder über ihr Mobiltelefon kaufen, in Zukunft sind weitere Zahlungsmöglichkeiten geplant. Facebook spricht von angepeilten 100 bis 200 weiteren Zahlungsoptionen, entsprechend mit regionalen Schwerpunkten. Den entstandenen Aufwand lässt sich Facebook mit 30% der Einnahmen entschädigen. Ziel des Unternehmens ist es, langfristig eine Internet-Währung zu installieren.

Vorteil für den Kunden: Dieser muss nicht ständig seine Kreditkartennummer angeben und ist somit weniger gehemmt für Inhalte zu bezahlen. Die geschlossene Betaphase mit 100 Partnern wird kontinuierlich weiterentwickelt, teilnehmen lässt sich bei dem Programm über credits-onboarding@facebook.com.