Gettr versprach Benutzern, dass es sie von Big Tech befreien würde, aber es verfolgt sie für Facebook und Google

Jan 12 2022

Das Gettr-Logo auf einem Smartphone; Bild einer Bildagentur. Gettr, nur einer der endlosen Facebook/Twitter-Klone für MAGA-Chuds, die wütend über Social-Media-Regeln gegen Verschwörungstheorien und Bigotterie sind, verkaufte sich an potenzielle Benutzer, um der totalitären Tyrannei von Technologiegiganten wie Facebook und Google zu entkommen.

Das Gettr-Logo auf einem Smartphone; Bild einer Bildagentur.

Gettr, nur einer der endlosen Facebook/Twitter-Klone für MAGA-Chuds, die wütend über Social-Media-Regeln gegen Verschwörungstheorien und Bigotterie sind, verkaufte sich an potenzielle Benutzer, um der totalitären Tyrannei von Technologiegiganten wie Facebook und Google zu entkommen. Überraschung! Dieser Pitch kommt mit einer Million Vorbehalten, von denen der erste und wichtigste ist, dass Gettr das überhaupt nicht zu tun scheint.

Laut einer neuen Studie, die vom Gründer des Datenschutzlabors der Yale Law School, Sean O'Brien, durchgeführt und kürzlich von Talk Liberation Investigates veröffentlicht wurde , enthalten Gettrs Web- und Smartphone-Apps Tracker, die es Facebook und Google ermöglichen würden, Benutzern zu folgen, während sie Gettrs vermeintliche Redefreiheit durchstreifen. (O'Brien ist auch der Chief Security Officer von Panquake.com, einem Crowdfunding-Blockchain-fähigen sozialen Netzwerk, das noch gestartet werden muss, was bedeutet, dass er für einen Konkurrenten arbeitet.)

Der Code von Gettr enthält zwei Tracker, die im gesamten Web allgegenwärtig sind – ein Browser-Cookie, das Benutzer für das weitläufige AdSense-Netzwerk von Google verfolgt , und das berüchtigte Facebook-Pixel , ein winziger Punkt, der in Millionen von Websites im gesamten Web eingebettet ist und Facebook jedes Mal anpingt, wenn es geladen wird . Diese Tools ermöglichen es Gettr, die gleiche Art von allgegenwärtiger Web-Tracking-Technologie zu nutzen , die seine Auftraggeber, wie der ehemalige Berater von Donald Trump und CEO Jason Miller, kritisiert haben . Der Eintrittspreis ist natürlich, diesen Datenschatz mit Facebook und Google zu teilen.

Zusätzlich zu den Facebook- und Google-Trackern verwendet Gettr ähnliche Tools von Drittanbietern wie AppsFlyer und Countly, die Webbrowser-Fingerprinting (die Erstellung eindeutiger Benutzerkennungen) und Verhaltensdaten bereitstellen. Insgesamt sind diese Tracker dem Bericht zufolge in der Lage, „feinkörnige Verhaltens- und Standortdaten“ zu übermitteln und ein dauerhaftes, geräteübergreifendes Tracking von Gettr-Benutzern zu ermöglichen. AppsFlyer allein ist in der Lage, Details wie „IP-Adresse, Mobilfunkanbieter, Betriebssystemversion, Telefonmodell und sowohl grobe als auch feinkörnige Standortinformationen“ zu sammeln.

Die Datenschutzprobleme enden hier nicht, der Bericht identifiziert auch eine Reihe schwerwiegender Sicherheitslücken.

„Eine große Menge an JavaScript-Code wird über Cloud [Content Delivery Networks] wie Amazon AWS und Cloudflare bereitgestellt, zusätzlich zu eingebetteten Inhalten, die direkt aus dem Internet geladen werden“, heißt es in O'Briens Bericht. „Während die Benutzer GETTR durchsuchen, sind sie gleichzeitig mit buchstäblich Dutzenden von Domains verbunden … GETTR nutzt eine Vielzahl von Drittanbieterdiensten für die Benutzerkommunikation und den Support. Transparenz über die Beziehungen von GETTR zu diesen Parteien fehlt. Dazu gehören ZenDesk, Postmark, Mailgun und SolarWinds Pingdom.“

Darüber hinaus heißt es in dem Bericht, dass Gettr „eine Verbindung zu zahlreichen externen Domains herstellt“, um Inhalte wie Nachrichtenartikel, Blogs und Videos zu verlinken. Es wird darauf hingewiesen, dass standardmäßige Sicherheitspraktiken wie das Hinzufügen von Sicherheitsheadern, Referrer-Headern und anderen Standardeinstellungen anscheinend nicht implementiert wurden, während GETTR viele unverschlüsselte oder gemischte HTTP-Inhalte lädt. Dies ist nicht nur ein großes Sicherheitsrisiko – Inhalte aus diesen Domänen von Drittanbietern könnten theoretisch mit Malware infiziert sein – es setzt Benutzer möglicherweise auch der „Überwachung durch die Ursprungsquelle“ aus. Es schafft auch Möglichkeiten für Polizei- oder Netzwerkadministratoren, wie z. B. Universitäts- oder Unternehmens-IT-Abteilungen, unverschlüsselten Datenverkehr zu überwachen. Da dies eine Website ist , die gehackt wurde innerhalb von Stunden nach dem Öffnen und dem offensichtlichen Mangel an technischem Fachwissen unter den Benutzern, um die Gettr wirbt, ist dies eine ziemlich klaffende Schwachstelle.

Trotz eines massiven Datenlecks mit geschabten personenbezogenen Daten im vergangenen Jahr erlaubt Gettr immer noch jedem, ohne Sicherheitsmaßnahmen wie einen Verifizierungsschlüssel auf seine API zuzugreifen, schrieb O'Brien. Während Gettr nach dem Leak E-Mail-Adressen und Standortdaten aus der API entfernte, bedeutet die fehlende Überprüfung laut dem Bericht, dass sie „von jedem mit grundlegenden technischen Fähigkeiten abgefragt“ werden kann, um Daten wie den gesamten Beitragsverlauf eines Benutzers oder jeden herunterzuladen sie folgen praktisch ohne Einschränkungen.

O'Brien sagte dem Daily Dot in einem Interview, dass Gettrs Versprechen gegenüber den Benutzern in Bezug auf Datenschutz und Sicherheit „unaufrichtig“ seien, und fügte hinzu: „Die Leute erkennen nicht die gesamte Bandbreite des Trackings mit Gettr …. Ich denke, es gibt eine Reihe von Dingen sie müssen sich architektonisch ändern.“

Die Datenschutzrichtlinie von Gettr lässt die Verwendung von Trackern zu und erkennt ausdrücklich an, dass Google-Tools verwendet werden: „Wir können Dienste von Drittanbietern wie Google Analytics verwenden, um uns bei der Analyse unserer Leistung und unserer Bereitstellung von Diensten und Werbung für Sie zu helfen.“

Millers Kernaussage war, dass Gettr Benutzer nicht in der gleichen Weise zensieren wird, wie es Rechte soziale Netzwerke wie Facebook und Twitter vorwerfen . Aber obwohl es möglicherweise lockerere Regeln als diese Konkurrenten hat (und fragwürdige Möglichkeiten , sie tatsächlich durchzusetzen), stellt es fest, dass das Löschen von Inhalten, das Sperren von Konten und das Entfernen von Spam das absolute Minimum ist , um die Website überhaupt nutzbar zu halten. Wie TechDirt letzten Monat feststellte , verbot Gettr nicht nur den weißen Rassisten Nick Fuentes wegen Verstoßes gegen seine Nutzungsbedingungen, es ging sogar so weit, das Wort „groyper“ zu verbieten.– ein Internet-Meme, das für Fuentes‘ kleine Legion von Anhängern zu einer Umgangssprache geworden ist – vollständig von der Website. Gizmodo hat dies am Dienstag getestet und festgestellt, dass beim Versuch, den Begriff „groyper“ zu posten, ein Fehler mit der Meldung „Oops! Es gab einen Fehler beim Abschicken ihres Beitrags." Welches System auch immer vorhanden ist, scheint jedoch nicht sehr gut zu funktionieren, da wiederholte Versuche, den Begriff zu veröffentlichen, schließlich zum Erfolg führen.

Getter hat nicht auf eine Bitte um einen Kommentar zu dieser Geschichte geantwortet, aber wir werden aktualisieren, wenn wir eine Rückmeldung erhalten. Miller hat Motherboard eine Erklärung geschickt, die unten auszugsweise ist :