Millionen persönlicher Daten von Facebook-Nutzern tauchen in einem Hacker-Forum auf. Die aus einer Sicherheitslücke im Jahr 2019 abgeschöpften Personendaten wurden im Januar 2021 über einen Bot angeboten und wurden jetzt noch einmal relativ leicht zugänglich gemacht. Facebook verharmlost den Zwischenfall.
Am Osterwochenende 2021 schreckte eine Meldung die Social-Media-Community auf: Persönliche Daten (darunter der vollständige Name, das Geschlecht, das Geburtsdatum, Wohnort und Land, die E-Mail-Adresse, Telefonnummer und die Facebook-ID) von rund 533 Mio. Facebook-Nutzern wurden erneut in einem Hacker-Forum entdeckt. Darunter befinden sich auch Daten von rund 6,05 Mio. Nutzern aus Deutschland, 1,25 Mio. Nutzer aus Österreich und 1,59 Mio. Nutzer aus der Schweiz.
Die Überprüfung einer Stichprobe hat ergeben, dass die Daten noch valide und verwertbar sind. So konnte über die Funktion zum Zurücksetzen des Passworts auch die Gültigkeit der angegebenen Telefonnummern bestätigt werden.
Facebook verharmloste den Vorfall und erklärte via Twitter, dass es sich um alte Daten handle, über die bereits im Jahr 2019 berichtet wurde. Diese stammten aus einer Sicherheitslücke, welche im August 2019 entdeckt und geschlossen wurde. Damals waren u.a. Mobilnummern von Facebook-Profilen zugänglich, die zwar nicht offen sichtbar waren, jedoch über automatisierte Anfragen in großem Stil abgerufen und verifiziert werden konnten. Durch dieses sog. „Scraping“ (Ankratzen) lassen sich solche Informationen mit weiteren personenbezogenen Daten zusammenführen. Obwohl beim Scraping keine Passwörter ausgelesen werden können, lassen sich die Daten dennoch missbrauchen, um sich Zugang zu Nutzerkonten zu verschaffen oder um Nutzer über gezielte Phishing-Attacken per E-Mail oder SMS auf manipulierte Websites lenken, wo sie zur Eingabe von Zugangsdaten aufgefordert werden.
Scraping wurde für Facebook immer wieder zum Problem. So musste das Online-Netzwerk im Jahr 2018 einräumen, dass vermutlich alle öffentlich zugänglichen Daten der mehr als 2,1 Mrd. Nutzer durch automatische Abrufe systematisch eingesammelt wurden.
Später gab es Datenschutzdebatten um die Firma Clearview AI, die alle öffentlich sichtbaren Bilder der Facebook-Fotoplattform Instagram sammelte und auf dieser Basis eine Datenbank zur Gesichtserkennung zusammenstellte. Unter den Kunden von Clearview AI sind u.a. auch US-Polizeibehörden.
Im Dezember 2019 wurde bekannt, dass persönliche Daten von 267 Mio. Facebook-Nutzern offen im Internet verfügbar waren, die wahrscheinlich über Smartphone-Apps unbemerkt gesammelt wurden. Es ist wichtig zu wissen, dass Facebook in diesem Fall mit Apps nicht seine eigenen Anwendungen meint, sondern Programme, die Facebook als Plattform nutzen und dort ebenfalls als Apps bezeichnet werden. Solche Apps werden z.B. von Firmen eingesetzt, um den Facebook-Log-in für ihre eigenen Web-Angebote zu ermöglichen. Dadurch muss der Nutzer kein neues Konto auf der Website anlegen und spart sich die Vergabe eines weiteren Passworts.
Im September 2020 hatten Sicherheitsforscher eine Datenbank mit 420 Mio. Telefonnummern von Facebook-Nutzern entdeckt, die öffentlich zugänglich im Internet stand. Diese wurde offenbar über den Missbrauch einer Funktion zur Freundesuche per Telefonnummer zusammengestellt.
Quelle: Business Insider, Berlin
04.04.2021
