Facebook Datenpanne – die wievielte?
Etwa 533 Millionen Facebook-Nutzer sind seit zwei Jahren weit weniger sicher, als sie dachten. Facebook hätte sie schon damals warnen können, dass ihre persönlichen Daten gestohlen wurden, tat es aber nicht. Kürzlich tauchten die Daten im Darknet auf. Zum Verkauf angeboten wurden unter anderem Daten wie Namen, Telefonnummern, Geburtsdaten, E-Mail-Adressen von Facebook Nutzern aus über 100 Ländern. Sie alle sind potenziell anfällig für eine neue Welle von Betrug und Phishing.
In einem Darknet Hacking-Forum wurden die persönlichen Daten von Facebook-Nutzern zur kostenlosen Nutzung online gestellt. Die IT-Sicherheitsexperten waren zunächst etwas uneinig, schließlich gab es in den letzten Jahren einige Datenpannen bei Facebook. Jede einzelne betraf mehrere 100 Millionen Nutzer. In einem Kommentar sprach SANS IT-Sicherheitsexperte Lee Neely über den aktuellen Fund. Neely ging davon aus, dass es sich um Daten handelt könnte, die bei einer Sicherheitsvorfall 2019 gestohlen wurden. Vermutlich, so Neely, seien viele der Daten immer noch aktuell. So um die Zeit herum hatte der Socialmedia-Riese dann seine Facebook- und Instagram-Suchfunktion entfernt. Bis dahin war es möglich gewesen, nach Telefonnummern von Nutzern zu suchen, was aber oft missbraucht wurde.
Laut Neely sind genau die Daten nun im Darknet veröffentlicht worden. Das würde den Kriminellen Tür und Tor für Social-Engineering- oder SIM-Swapping-Kampagnen öffnen. Neely rät allen Facebook-Usern, dass sie ihre Handynummer vor unbefugtem Austausch schützten. Auch Spam-Filter sollten gut konfiguriert sein und funktionieren. Wer eine Identitäts- oder Kreditüberwachung nutzt, sollte sicherstellen, dass er bei Missbrauch seiner persönlichen Daten alarmiert wird.
Woher stammten die 533 Millionen Datensätze?
Alon Gal von der Sicherheitsfirma Hudson Rock entdeckte das Datenpaket am 03. April 2021 im Darknet. Facebook selbst reagierte zunächst nicht auf den Fund. Als man schließlich doch reagierte, verwies man auf den Bericht über eine Datenpanne aus 2019 und das Update dazu im August. Besagter Bericht war seinerzeit von Forbes veröffentlicht worden. Aber dort ging es nur um einen sehr ähnlichen Fall. So ganz genau haben sie also wohl nicht hingeschaut, woher die Daten stammten. Na ja, bei der Anzahl von Datenpannen bei Facebook kann man ja auch schnell mal was verwechseln. Nur zur Erinnerung, es gab:
- 540 Millionen Datensätze, welche die Sicherheitsfirma UpGuard im April 2019 entdeckte.
- 419 Millionen Datensätze wurde 2018 abgesaugt und im September 2019 veröffentlicht.
- Cambridge Analytica gab dann 2018 zu, auch noch Unmengen an Daten weiter zu verarbeiten.
- 30 Millionen Nutzerdaten waren 2018 kompromittiert worden durch.
Und nein, es handelte sich nicht um einer dieser Pannen. Facebook ging in Klausur und fand dann letztendlich heraus, woher die Daten stammten. Tatsächlich, so Facebook, war es gar nicht deren Schuld oder gar ein Datenpanne. Ihre Kenntnisse veröffentlichte das Unternehmen in einem Blogbeitrag ein paar Tage später. Demnach waren diese Daten bereits 2019 im Dark Web aufgetaucht. Sie stammten aus einer Schwachstelle, über die Facebook damals nur am Rande informiert hatte. Demnach hatten findige Kriminelle eine Schwachstelle in einer Importfunktion für Facebook-Adressbuchkontakte missbraucht. Laut Facebook war die Schwachstelle im August 2019 gepatcht worden. Man wisse aber nicht, wie oft sie vor dem Patch missbraucht wurde.
Keine Datenpanne – so Facebook
Facebook versuchte sich aus der Verantwortung zu ziehen und argumentierte, dass man die Telefonnummern selbst nicht gefährdet hätte und schrieb:
„Es sei wichtig zu verstehen, dass böswillige Akteure diese Daten nicht durch Hacken unserer Systeme erhalten haben. Vielmehr erhielten sie diese durch Scraping von unserer Plattform vor dem September 2019“.
Facebook will allen den Unterschied klarmachen: Zu unterscheiden sei zwischen dem Ausnutzen einer Schwachstelle in einer legitimen Funktion für massenhaftes Scraping und dem Finden einer Schwachstelle in Systemen, um Daten aus seinem Backend zu holen. Klingt zumindest für die Betroffenen nach einer Schwachstelle.
Auch SANS IT-Sicherheitsexperte Brian Honan befasste sich mit dem Fall und war auch etwas entsetzt darüber, wie Facebook hier vorgegangen war. Die europäische Zentrale von Facebook sitzt in Irland. Daher hatte die irische Datenschutzkommission eine Stellungnahme veröffentlicht, in der es hieß:
„Am Wochenende hatten wir versucht, den vollständigen Sachverhalt zu ermitteln und tun dies auch weiterhin. Wir erhielten aber keine proaktive Kommunikation von Facebook.“
Das stach für Honan stark hervor.
„Wenn es Facebook mit den persönlichen Daten seiner Nutzer ernst wäre, würde ich erwarten“,
so Honan,
„dass es die Datenschutzkommission aktiv über ihre Ermittlungen in dieser Angelegenheit informiert“.
Artikel von cyberscoop.com, 05.04.2021: 533 million Facebook users’ personal data leaked online
Artikel von zdnet.com, 04.04.2021: Facebook data on 533 million users posted online
Artikel von bleepingcomputer.com, 03.04.2021: 533 million Facebook users’ phone numbers leaked on hacker forum
Artikel von govinfosecurity.com, 04.04.2021: 533 Million Facebook Account Records Posted to Forum
Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0