Dansk softwareudvikler afslører: Sådan kan du spore dine Facebook-venners søvnvaner

GitHub-projektet fb-sleep-stats høster data om dine venners seneste aktivitet på Facebook. Data bliver omsat til, hvornår og hvor længe vennerne sover.
Detaljerede oplysninger om dine venners søvnvaner kan hives ud af Facebook, har dansk softwareudvikler påvist med open-source-projekt. Facebook vil have stoppet projektet.

Åbne Facebook-data afslører dine og dine venners søvnvaner. Det har softwareudvikler hos e-faktura virksomheden Tradeshift, Søren Louv-Jansen, påvist med et open-source værktøj, han har gjort frit tilgængelig via kodetjenesten GitHub.

»Min pointe har været at vise, at når vi bruger de sociale medier, så lægger vi ikke bare en masse data aktivt op, men vi afslører også en masse informationer uden at tænke over det,« fortæller han.

GitHub-projektet fb-sleep-stats blev startet sidste år i forbindelse med, at Facebook gjorde en ny tjeneste messenger.com tilgængelig. Søren Louv-Jansen har for nyligt forklaret nærmere om projektet i et blogindlæg hos Medium, da han blev opmærksom på, at andre arbejdede med noget lignende.

Som det vil være flere bekendt, har Facebook en funktion, så brugerne kan se, hvornår deres venner sidst har været aktive på Facebook. Eksempelvis for fem minutter siden.

Informationen om seneste aktivitet bliver opdateret, når brugerne interagerer med Facebook og er ikke afhængig af, om chat-funktionen er slået til eller ej.

Denne information opsamler Søren Louv-Jansens værktøj hvert 10. minut. Det fungerer ved, at en bruger lader værktøjet logge ind via brugerens Facebook-profil. Herefter begynder softwaren at indsamle aktivitetsdata om den pågældende brugers venner.

Og ud fra devisen om, at flere brugere tjekker deres Facebook umiddelbart inden de går i seng, og umiddelbart efter de er vågnet, kan disse data bruges til at give et billede af, hvor meget folk sover. Simpelthen ved at se på tidsrum med længere tids inaktivitet. På den måde er det også muligt at holde generelt øje med, hvor meget og hvornår Facebook-vennerne er på det sociale medie.

»Jeg var overrasket over, hvor præcist det var, og hvor præcist et billede, man kan få af folk. Og jeg var egentlig også overrasket over, at Facebook stiller alle de data til rådighed,« fortæller Søren Louv-Jansen.

»Det passer uhyggeligt godt«

Han påpeger, at det naturligvis ikke er alle Facebook-brugere, der logger på det sociale medie, når de går i seng og står op. Eksempelvis var der en af Søren Louv-Jansens venner, der så ud til at sove 16 timer i døgnet. Det var ikke tilfældet.

Men generelt har datagrundlaget ifølge Søren Louv-Jansen vist sig at give et ganske retvisende billede af folks døgnrytmer.

»Jeg har jo spurgt mine venner: kan det passe, du står op klokken seks om morgenen? Kan det passe, du var sent oppe i går? Og det passer uhyggeligt godt.«

Egentlig er Søren Louv-Jansens slet ikke interesseret i at vide, hvornår hans eller andre folks Facebook-venner går i seng og står op.

»Jeg er faktisk imod overvågning, men der er jo kun en måde at gøre folk opmærksomme på det her, og det er ved at vise det,« siger han.

Og Søren Louv-Jansen peger i den forbindelse på, at en ting er, hvad han kan se af sparsomme data om folks Facebook-brug, det er formentlig intet mod, hvad den amerikanske virksomhed har adgang til af data om os.

»Jeg kan se, hvornår mine venner sover, og jeg kan tegne et rimeligt præcist billede af det. Men det kan Facebook også. Og det skal folk bare være klar over,« siger han og tilføjer:

»Det er jo interessant for Facebook i markedsføringssammenhæng. De kan målrette deres reklamer meget bedre, når de har indtryk af, hvem vi er.«

Scraper data fra messenger.com

Facebook stiller forskellige grænseflader til rådighed for udviklere, så det er muligt at integrere forskelligt software op mod den sociale medie-platform. I den forbindelse er det dog langt fra alle data, Facebook giver udenforstående adgang til. Eksempelvis er der ikke en grænseflade til løbende at hente oplysninger om, hvornår folk sidst har været aktive.

Når Søren Louv-Jansen alligevel har fået fat i disse data er det fordi, han - i programmeringsmæssig sammenhæng - er gået mere lavpraktisk til værks. Det vil sige, at han har hentet data ud af kildekoden bag hjemmesiden for Facebooks chat-klient messenger.com. Teknikken kaldes også scraping. Kildekoden kan alle få adgang til, eksempelvis via deres browser.

Når en bruger logger ind på messenger.com er det i den bagvedliggende kode muligt at se en liste med alle venner, og hvornår disse sidst har været aktive.

Dataene ligger i et liste-format (array) og kan uden de store problemer hentes ud og anvendes i anden sammenhæng. Tidspunktet for hvornår folk sidst har været online er angivet i Unix-tidsformatet. Det vil sige, at det nuværende tidspunkt er angivet i antallet af sekunder, der er gået siden 1. januar 1970 (UTC-tid).

Og på den baggrund er det muligt at få en ganske præcis tidsangivelse for folks online-aktiviteter.

Brugerne, der matcher 'senest aktiv'-informationen, er opført med id-numre i stedet for navne i listen i kildekoden. For at omdanne id-numrene til egentlige navne anvender Søren Louv-Jansen en af Facebooks officielle grænseflader.

Ikke Facebooks kop te

Selvom de data, Søren Louv-Jansen anvender, som sådan er frit tilgængelige for alle, der kigger i kildekoden på messenger.com, så er den danske softwareudviklers kortlægning af venners søvnmønstre ikke just noget, der er sket med Facebooks billigelse.

I hvert fald er har han efter at have blogget om GitHub-projektet for nyligt modtaget en henvendelse fra Facebook.

»De skrev til mig, at det ikke var i orden, og at det var imod deres betingelser at lave automatiseret dataindsamling. Og jeg må heller ikke opfordre andre til at gøre det. Så jeg skal fjerne alt, der handler om det her.«

På baggrund af henvendelsen har Søren Louv-Jansen føjet en note til GitHub-projektet om, at det kun er tænkt til videnskabeligt brug og ikke til at overvåge sine venner med. Derudover har han dog ikke planer om at fjerne hverken blogindlægget eller selve projektet fra GitHub.

»Nu er katten jo ude af sækken. Der er mange mennesker, der har klonet (kopieret, red.) mit projekt, så det vil ikke give så meget mening, hvis jeg tager mit ned. Der ligger flere hundrede kopier derude alligevel,« siger han.

Og desuden har Søren Louv-Jansen umiddelbart også svært ved at få øje på, hvad Facebook skal gøre ved muligheden for at tilgå aktivitetsdata om Facebook-venner, så længe den information er at læse for folk, der bruger Facebook.

Han peger dog på, at Facebook godt kunne fjerne oplysningen for folk, der har slået chat-funktionen fra.

»Det synes jeg er lidt af en fejl. Hvis man slår chat-funktionen fra, så skal Facebook jo slet ikke vise noget om hvornår man sidst var online.«

Søren Louv-Jansen gætter på, at den primære grund til, at Facebook ønsker hans projekt fjernet fra nettet er, at projektet sætter fokus på, hvor meget data om vores adfærd, den amerikanske virksomhed faktisk har adgang til.

»Det her er jo bare toppen af isbjerget, hvad jeg lige har kunnet scrape mig frem til.«

Det har ikke umiddelbart været muligt for Version2 at få en kommentar fra Facebook.

Blotlagde politikeres cpr-numre

Hvis navnet Søren Louv-Jansen virker bekendt, så er det måske fordi, han tidligere har gjort sig bemærket i forbindelse med kreativ anvendelse af offentligt tilgængelige data.

I 2012, da han var studerende på ITU, påviste han sammen med en medstuderende, hvordan det var muligt at gætte sig til folks cpr-numre via grænseflader hos teleselskaberne. Det udviklede sig til en hjemmeside med et såkaldt cpr-lotteri, hvor det var muligt at gætte sig frem til folketingspolitikeres og ministres cpr-numre.

Forløbet resulterede i, at Søren Louv-Jansen blev idømt en bødestraf på 3.500 i 2014. Strafferammen var op til 10.000 kroner, men Københavns Byret fandt det som en formildende omstændighed, at formålet med cpr-lotteriet havde været at påpege et sikkerhedsproblem. Sidenhen har teleselskaberne ændret praksis, så det ikke er muligt - ad den vej - at gætte folks cpr-numre.

Søren Louv-Jansen har lagt en video på Youtube, der viser GitHub-projektet i aktion.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (17)

Dave Pencroof

Fremragende gået !
At påvise denne ekstreme overvågning i al sin vederstyggelighed er smukt !
At nægte at bøje sig for pression er ligeledes smukt !
Det er dog muligt for fjæsbog at dømme dig "persona non grata" og så skal du starte forfra fordækt og så vil deres AI sikkert hurtigt finde dig og terminere også den nye konto samt fremtidige forsøg !
Men kanon at udstille disse datagribbe !

Peter Christiansen

Ja det virker ud fra devisen om at man checker sin facebook når man går i seng og når man står op. Hvem helvede gør det? Det lyder sgu lidt bizart hvis det er den verden vi lever i.

Bent Jensen

Hvis der ligger en besked, så gør man vel det.

Du sider vel også og læser (sletter/sotere) mail og besvarer dem, sammen med din morgen kaffe. Så google kan gøre det samme.

Kan ikke forstå nogen har noget mod dette ?

Der forgår en lang større data indsamling, af hvad vi gør, laver, ser på, ...
Dagligt fra google, Facebook, NSA, og de fortæller ikke hvad de gør, eller hvem de sælger dine data til.

Bare ved dit besøg her på Version2 har du sendt data om din færden og klik til mindst 16 forskellige, ukendte firmaer og organationer.

Beklager stave fejl, som ordblind bruger jeg normalt hjælp, men er også kommet blokere det sted, da det også i sammen omgang sender informationer, om alt din gøren og laden :-)

SÅ fald ned, man har vel intet at skjule ?

Peter Christiansen

Jeg bruger ikke google til mail og bruger ikke facebook,
twitter og andre stazi-gone-hipster services, netop fordi
jeg værner om mit privatliv.

Men som du siger, hvis man bruger de gratis services,
kan man være sikker på at eens data bliver brugt og
videresolgt. Der er en grund til det er gratis i første omgang.

Konti på version2 er ikke verificeret og der er ikke noget
netværk af "friends" bag, så systemet med god sansynlighed kan
beregne at du er den du siger i din profil.

Hvis version 2 udelukkende havde login med facebook,google etc.
var jeg den første til at stoppe med at debattere her.

Det været sagt, så bruger jeg mit rigtige navn her, i respekt for
reglerne i debatten.

Søren Louv

Hvem helvede gør det?

Nu har jeg jo lidt data til at bakke mig op, så til det kan jeg sige: Nej, det er ikke noget alle gør - men nogen gør det :)

Ud fra hvad jeg indtil nu har set, er ca. 30-40% af mine Facebook venner online få minutter efter de er stået op, og kort før sengetid. Det gør det uhyre nemt at afkode deres døgnrytme.

De resterende 60% tjekker Facebook mindre regelmæssigt, men mange i denne gruppe bruger også til tider Facebook kort før/efter sengetid. Det betyder, at over længere tid, kan man stadig udlede deres døgnrytme.

Som sagt er jeg ikke blot ude på at overvåge, men mener dette er en meget effektiv måde at vise folk der ikke er så "tech-savvy", at de sætter spor de end ikke er klar over.

Daniel Rasmussen

»Det synes jeg er lidt af en fejl. Hvis man slår chat-funktionen fra, så skal Facebook jo slet ikke vise noget om hvornår man sidst var online.«
Jeg er helt enig, det er en smule grotesk at man ikke kan "skjule sig", hvis man bare i fred og ro vil "tjekke Facebook", vel at mærke uden at ens Facebook-venner, kan se at man faktisk er online.
Det modvirker jo lidt idéen bag at man kan slå chatten fra.

Googles forslag til en sms-afløser, skulle angiveligt også vise hvornår man er "på". Hvis det bliver en realitet, bliver det endnu svære at koble af og holde fri, og selv bestemme hvornår man har tid eller lyst til at svare på en "sms". Men man kan jo håbe at Google vil tillade en at være "usynlig".

Jeg ville i hvert fald foretrække om jeg selv bestemte, om mine Facebook-venner kan se hvornår jeg lige kigger forbi Facebook eller ej.

Peter Christiansen

Som sagt er jeg ikke blot ude på at overvåge, men mener dette er en meget effektiv måde at vise folk der ikke er så "tech-savvy", at de sætter spor de end ikke er klar over.

Det er er skide god ide Søren,
og jo det give stof til eftertanke er jeg sikker på!
Jeg var ikke selv klar over hvilken data de stiller til rådighed via deres api.

Lidt fesent af fb at de har brokket sig, når de selv stiller et api til rådihed,
og ikke har rate limiting for at forhindre det de åbenbart synes du gør forkert.

Men som du siger giver det et indblik i hvad fb har af muligheder omend deres
handleflade ikke har nogle begrænsninger overhovedet mht. søgning på kryds
og tværs af alle profiler.

Johnnie Hougaard Nielsen

Googles forslag til en sms-afløser, skulle angiveligt også vise hvornår man er "på". Hvis det bliver en realitet, bliver det endnu svære at koble af og holde fri, og selv bestemme hvornår man har tid eller lyst til at svare på en "sms". Men man kan jo håbe at Google vil tillade en at være "usynlig".

For det første er det ikke Googles forslag. "The Rich Communication Services program is a GSM Association (GSMA) program for the creation of inter-operator communication services". Google tilslutter sig blot en standard (og en fælles profil), naturligt med en klient til Android, hvor de har købt Jibe som basis. For det andet er det indbygget i RCS at synligheden kan vælges til eller fra. Dette er i modsætning til SMS, hvor delivery report bare er en del af standarden.

Jeg håber virkelig ikke at du bruger Version2 overskrifter, og hyppig stærk spin i kommentarer, som billede af virkeligheden.

Peter Christiansen

Jeg læste den hurtigt men kan se nu at jeg der var tale om scraping,
så fair enough det er ikke med fbs billigelse.

Men Søren har stadig en god pointe når han viser hvad fb kan se
om brugerne, der er mange andre ting de kan gøre, men et praktisk
eksempel som dette hilser jeg i hvert fald velkommen.

Var skeptisk om at det var normalt at man loggede på fb når man
går i seng / står op, men det har Søren kva hans data sandsynliggjort
at der rent faktisk er mange der gør

Johnnie Hougaard Nielsen

Men Søren har stadig en god pointe når han viser hvad fb kan se
om brugerne, der er mange andre ting de kan gøre, men et praktisk
eksempel som dette hilser jeg i hvert fald velkommen.

Det er jeg da ikke uenig i, men det kan da ikke komme som en overraskelse for nogen som helst at Facebook kan se hvornår folk er på Facebook.

Det er jo så noget andet at "vennerne", for nu at holde sig til Facebook-misbruget af sproget, kan få en oversigt over sovevaner i en stor del af deres netværk. Og andre mønstre, som hvornår Facebook bruges i arbejdstiden. Det er jo ikke ligefrem alle arbejdspladser der har det med i den måde der kommunikeres internt på.

Peter Bech-Lutzka

Måske lidt off topic, men du slipper ikke for at få min kommentar med på vejen:

På flere områder synes jeg mange af os godt kan blive bedre til at tage styringen, frem for at lade os styre af notifikationer fra vores gadgets.
Der er SÅ mange gode grunde til ikke at bruge enheder med "blåt lys" om aftenen og mindst lige så mange gode grunde til at det første du gør om morgenen ikke er at kaste din hjernes opmærksomhed i armene på Facebook og andre online tjenester.
Vågn op. Mærk efter og se din familie i øjnene.

Jeg har sat Google Inbox til at gøre arbejdet for mig og kontrollerer dermed hvornår jeg vil forstyrres af sociale sites. Jeg har ikke Facebook m.fl. på min smartphone, men får e-mailnotifikationer, som Google Inbox "gemmer" for mig indtil jeg ønsker at få dem vist. Hver formiddag vises den samlede mængde notifikationer i et samlet feed og jeg kan hurtigt skimme dem igennem om det er noget der har relevans for mig. Ofte har det ikke.

Som med så meget andet kræver det, at man ønsker kontrollen og bruger lidt tid på at finde den metode der passer bedst til én selv - men for hulen hvor giver det bare en god fornemmelse og en "støjfri" hverdag.
/Peter

Daniel Korsgaard

Bliv endeligt ved!

Hver gang jeg diskuterer it-privatlivsproblemer med selv teknisk kompetente folk, så lader det til at langt de fleste ganske enkelt ikke tror på at man kan bruge deres data til noget overhovedet. Og der kommer altid et spørgsmål i retningen af: "Hvad har du at skjule?".
Og svaret er altid i retningen af: "Det ved jeg ikke... endnu. For hverken du eller jeg kan gennemskue hvad vores data potentielt kan bruges til, og netop dét er selve problemet!"

Så er det altså bare fedt, når nogen finder bare de mindste illustrative eksempler, som det Søren har lavet.

Nogen vil så sikkert sige: "Jammen jeg er da ligeglad med om folk kan se jeg sover", og så har man helt misset pointen. Spørgsmålet er, om de allerede var klar over at det var muligt. Og hvad er så i øvrigt muligt?!

Jeg glæder mig til at høre om det næste Søren finder på!

Log ind eller opret en konto for at skrive kommentarer