Das Ende der Ära des "Einladungsspams"? Was macht die Find Friends-Funktion von Bluesky anders?

„Freunde finden“——Diese Funktion, die in sozialen Netzwerken selbstverständlich geworden ist, war tatsächlich jahrelang ein „Problemkind“. Sie liest die Kontakte im Smartphone aus, um festzustellen, wer ebenfalls im selben Netzwerk ist, und sendet gleichzeitig Einladungsnachrichten an nicht registrierte Personen. Für den Nutzer ist dies eine Abkürzung zum Wiedersehen, aber für den Empfänger wird es oft zu einer plötzlichen „App-Werbe-SMS“. Da es sich um persönliche Informationen wie Telefonnummern handelt, bestand immer das Risiko von Lecks und Missbrauch. Als Bluesky im Dezember „Find Friends“ als „datenschutzorientiert“ einführte, war dies ein klares Zeichen dafür, dass sie nicht einfach dem alten Erfolgsmuster folgen wollten. TechCrunch

Eine Erklärung gegen „Einladungsspam“

TechCrunch berichtet klar über den aktuellen Punkt: Bluesky sendet keine automatischen Einladungs-SMS, selbst wenn Kontakte hochgeladen werden. Die App sendet keine automatischen Einladungs-SMS. Wenn überhaupt, bleibt es bei der manuellen Aktion, dass „der Nutzer aus eigenem Willen eine Nachricht an Freunde sendet“. Angesichts der Tatsache, dass viele soziale Netzwerke das Abgleichen von Kontakten als Wachstumshack (viraler Kanal) genutzt haben, um Einladungen fast schon zwangsweise zu versenden, ist dies eine ziemlich herausfordernde Stellungnahme. TechCrunch

Allerdings gibt es hier einen Trade-off. Da Bluesky so konzipiert ist, dass „keine individuellen Telefonnummern gespeichert oder verfolgt werden“, kann nicht im Voraus festgestellt werden, ob die andere Person bereits bei Bluesky ist. Infolgedessen kann es vorkommen, dass selbst wenn ein Freund gut gemeinte Einladungstexte sendet, der Empfänger diese erhält, obwohl er bereits teilnimmt. 9to5Mac bezeichnet dies als „Nachteil“, bewertet es jedoch als kleinen Preis für den Datenschutz. 9to5Mac

Mechanismus: Doppeltes Opt-in + Nummernverifizierung

Blueskys Find Friends funktioniert nur unter den folgenden Bedingungen:

• Beide Parteien haben Find Friends aktiviert.

• Beide haben sich gegenseitig in ihren Kontakten gespeichert (einseitige Kontaktregistrierung reicht nicht aus)

• Die eigene Nummer wird per SMS verifiziert, bevor die Kontakte hochgeladen werden

Laut TechCrunch wird bei der Nutzung ein sechsstelliger Code per SMS gesendet, um die Nummer zu verifizieren und Missbrauch wie „Phishing“ durch massenhaftes Einfügen zufälliger Nummern zu verhindern, um zu ermitteln, „ob diese Nummer bei Bluesky ist“. Außerdem wird, wenn man die Funktion nicht nutzt, man auch nicht „über die Telefonnummer gefunden“——wer nicht von Arbeitskollegen gefunden werden möchte, hat die Wahl, die Funktion nicht zu nutzen. TechCrunch

Die Bereitstellung erfolgt schrittweise und ist anfangs auf einige Länder der mobilen App (einschließlich Japan) beschränkt. TechCrunch

„Hash-Paare“ + „separater Hardware-Schlüssel“—Verteidigung unter der Annahme eines Lecks

Das Interessanteste ist, dass Bluesky das „Kontaktabgleich“ als Sicherheitsdesignproblem direkt angeht. Laut TechCrunch und dem offiziellen Blog von Bluesky werden hochgeladene Telefonnummern nicht einfach gehasht, sondern als „hashed pairs“, also Paare aus „eigener Nummer × Nummer des anderen“, gespeichert. Dadurch soll es im Falle eines Datenlecks schwieriger werden, diese zurückzurechnen (Reverse Engineering). Darüber hinaus wird die Verschlüsselung mit einem Hardware-Sicherheitsschlüssel verknüpft, der separat von der Datenbank gespeichert wird. Nutzer können ihre Daten auch nachträglich löschen oder sich abmelden. TechCrunch

TechCrunch berichtet auch, dass diese technischen Details im Voraus als RFC mit der Sicherheitsgemeinschaft geteilt wurden, um Feedback zu sammeln. Dies zeigt, dass auch Bluesky selbst anerkennt, dass „Kontaktabgleich oft unsicher implementiert wird“ und sie das Design offenlegten, um es zu diskutieren, anstatt es sofort in die Produktion zu bringen. TechCrunch

Warum all das? „Cold Start“ und „echte Freunde“

Bluesky stellt in seinem Blog die Frage, warum soziale Netzwerke, die ursprünglich „ein Ort waren, um sich mit Menschen zu verbinden, die man tatsächlich kennt“, durch Algorithmen und Engagement-Wettbewerbe diesen Zweck verloren haben. Wenn man nun erneut ein „Netzwerk, in dem man Bekannte treffen kann“ anstrebt, ist das Finden von Freunden unvermeidlich. Im Kontext der RFC spricht Bluesky auch das „Cold Start Problem beim Aufbau der Dichte des sozialen Graphen“ an und erwähnt die Nutzergröße. Bluesky

Letztendlich ist Find Friends weniger eine Funktionserweiterung als vielmehr ein zentrales Thema, wie ein verteiltes (angestrebtes) soziales Netzwerk die initialen menschlichen Beziehungen aufbaut.

Reaktionen in der SNS-Community: Begrüßung und Skepsis

Das aktuelle Design hat sofort Diskussionen ausgelöst. Hier wird die „Reaktion der sozialen Netzwerke“ anhand von Stimmen auf Hacker News und GitHub Discussions zusammengefasst.

1) „Ein Ansatz wie Private Set Intersection“—Vorschlag einer kryptografischeren Lösung

Auf Hacker News wurde Private Set Intersection (ein Konzept, um nur den gemeinsamen Teil von Mengen geheim zu ermitteln) als verwandtes technisches Gebiet erwähnt, wobei die Richtung, „Telefonnummern nicht im Klartext zu teilen, um eine ganze Angriffsklasse zu vermeiden“, diskutiert wurde. Gleichzeitig gibt es Kommentare, die eine realistische Abgrenzung ziehen, indem sie sagen, „es könnte übertrieben sein, was die Skalierung betrifft“. Hacker News

2) „Sicherheit ist beschrieben, aber letztendlich vertraut man dem Server, oder?“

Auch auf Hacker News gibt es skeptische Ansichten, dass die RFC zwar „Sicherheit“ behandelt, aber letztendlich „scheint es darauf hinauszulaufen, dem Server/der Instanz zu vertrauen“. Die gleichzeitige Umsetzung von Nummernverifizierung (Spoofing-Schutz) und einem Design, das die Nummer nicht an den Server weitergibt, ist schwer zu vereinbaren, so ein praxisnaher Kommentar. Hacker News

3) „Telefonnummern sind auch als Hash unsicher“—Problem der kleinen Nummernmenge

Ein anderer Kommentar weist darauf hin, dass „Telefonnummern nicht einzigartig genug sind und Hashes durch Lookup-Tabellen umgangen werden können“, was das sogenannte „Problem der kleinen Nummernmenge“ anspricht. Blueskys Ansatz, die Rückrechenbarkeit durch „Hash-Paare“ zu erschweren, zielt darauf ab, aber die Nutzer sind weiterhin besorgt. Hacker News

4) Auf GitHub: „Klarere Spezifikationen“ und „Kontakte sind nicht gleich sozial“

In den Diskussionen auf GitHub fällt konstruktives Feedback auf, das sich mit den Details des Designs befasst. Zum Beispiel wird vorgeschlagen, frühzeitig Pseudocode bereitzustellen, da die Erklärung zur **Recycling von Telefonnummern (Wiederzuweisung von Nummern)** unklar ist. GitHub

Ein anderer Kommentar besagt, „mein Telefonbuch stimmt nicht mit meinem sozialen Netzwerk überein, daher werde ich diese Funktion nicht nutzen“, während er gleichzeitig eine distanziertes Verhältnis zeigt, solange es opt-in bleibt und keine unnötigen „Zusatzinformationen für die Zusammenführung“ gespeichert werden. GitHub

Zusammenfassung: Find Friends ist mehr ein „Versprechen“ als eine „Funktion“

Blueskys Find Friends ist oberflächlich betrachtet ein Update, das „endlich die Freundessuche bringt“. Aber in Wirklichkeit ist es eine Implementierung eines „Versprechens“ in Bezug auf das Gleichgewicht zwischen Datenschutz und Wachstum, indem (1) die Versuchung, durch automatische Einladungen zu wachsen, abgeschnitten wird, (2) durch doppeltes Opt-in die „gefundenen“ auch eine Wahl haben, (3) das Design unter der Annahme eines Lecks gefestigt wird und (4) vorab RFCs veröffentlicht werden, um externe Überprüfungen zu erhalten. TechCrunch

Natürlich wird die Diskussion nie vollständig verschwinden, da Telefonnummern an sich schon zu mächtig sind. Wie die Reaktionen auf Hacker News und GitHub zeigen, bleiben Fragen des Serververtrauens, der Nummernmenge und die grundlegende Debatte, dass „Kontakte nicht gleich Freunde sind“. Hacker News

Dennoch könnte der Ansatz, Kontaktabgleich als „Sicherheitsdesignproblem“ und nicht als „Wachstumsinstrument“ zu behandeln, ein Maßstab für andere soziale Netzwerke werden, die ähnliche Funktionen implementieren möchten. Bluesky