[update] Path strapaziert die Vertrauensfrage
Path, das private Freundesnetzwerk für iPhone und Android, lädt zum Kontaktabgleich das gesamte iPhone-Adressbuch (ohne erkennbare Anonymisierung) auf die eigenen Server und verspielt sich damit einige seiner Freunde.
Das Thema fühlt sich seit vergangener Nacht bereits durchgekaut an, birgt durch den großen Aufschrei allerdings Änderungspotenzial.
Die Geschichte verlief so:
I started to observe the various API calls made to Path’s servers from the iPhone app. It all seemed harmless enough until I observed a POST request to https://api.path.com/3/contacts/add.
Upon inspecting closer, I noticed that my entire address book (including full names, emails and phone numbers) was being sent as a plist to Path.
Die (entschuldigende) Antwort von CEO Dave Morin beschränkt sich auf den fehlenden Nutzer-Hinweis und greift damit speziell für seinen explizit privat ausgerichteten Service zu kurz. Die Flucht aus diesem PR-Armageddon ist für den Dienst mit zwei Millionen Kunden nicht schwierig: „Hey Path, just nuke all the data.“
Das generelle Problem vom Upload und Zugriff auf das Adressbuch unter iOS bleibt. Path ist kein Einzelfall und Apple am Drücker, zumindest von seiner Seite aus klare Regeln aufzustellen.
Während iOS–Apps bei Ortsabfragen zwangsläufig mindestens einen Warnhinweis einblenden, verlässt sich Apple beim Adressbuchzugriff weiterhin auf die Drittentwickler und einen freiwilligen Hinweis […].
Update
So, as a clear signal of our commitment to your privacy, we’ve deleted the entire collection of user uploaded contact information from our servers. […] In Path 2.0.6, released to the App Store today, you are prompted to opt in or out of sharing your phone’s contacts with our servers in order to find your friends and family on Path.
Gute Entscheidung.