Ein Psychologie Lehrsatz lautet: Vergangenes Verhalten ist die beste Vorhersage für zukünftiges Verhalten. Facebook ist hierfür ein Paradebeispiel wie aus dem Lehrbuch.

IT-Sicherheitsforscher des Cybersecurity-Unternehmens UpGuard lassen ihre Suchprogramme immer wieder los. Ziel: Sicherheitslücken auf der Datenwolke zu finden. Es hat den Anschein, dass es heutzutage gar nicht so schwer ist, dort auf hochkarätige, frei zugängliche Dokumente zu stoßen. Und tatsächlich – auf Servern der Amazon Web Services S3 Buckets wurden sie wieder fündig. Dort lagen zwei Datenbanken mit ungeschützter Daten von Millionen von Facebook-Nutzern. Hunderte von Millionen Datensätze von Nutzer, einschließlich Namen, Passwörter, Kommentare, Interessen und Vorlieben waren dort bespeichert. In der Vergangenheit hatten zwei verschiedene Facebook-App-Entwickler diese Datensätze in die Amazon Cloud hochgeladen. Der Amazon S3-Bucket war so konfiguriert, dass Dateien von jedermann, der sie fand, heruntergeladen werden konnten – sie waren demnach nicht kennwortgeschützt.

Mark Zuckerberg hatte nach dem Cambridge Analytica Datenskandal Rede und Antwort stehen müssen wegen der Sicherheit der Daten seiner Nutzer. Er beteuerte kleinlaut Besserung. Auch gibt es mittlerweile ein offizielles Schriftstück, wie wichtig Facebook die Sicherheit seiner Nutzerdaten ist. Alles schön und gut – Papier, heißt es, sei geduldig. Denn was niedergeschrieben ist, wirkt nicht einfach von alleine, es muss auch wirklich gelebt werden. Facebook kriegt das aber offenbar nicht hin. Es hat ganz offensichtlich immer noch keinen blassen Schimmer, was wirklich mit den Daten passiert, die es seinen Dienstleistern überlässt. Ganz klar fehlt hier eine echte Kontrolle über die überlassenen Daten. Dabei wären solche Prozesse innerhalb der Facebook-Struktur durchaus vorhanden. Eines der Grundsätze dort lautet, dass es verboten ist, Facebook-Daten in einer öffentlichen Cloud zu speichern. Regeln müssen von allen eingehalten werden. Sie entfalten aber erst dann ihre volle Wirkung, wenn derjenige, der die Regeln aufgestellt hat, auch kontrolliert, dass sie eingehalten werden.

Die Forscher von UpGuard fanden heraus, dass eine der Datenbanken zu dem mexikanischen Unternehmen Cultura Colectiva gehörte. Cultura Colectiva nutzte die Amazon Cloud-Services, um 146 Gigabyte an Daten zu speichern. Gleich nach dem Fund Anfang Januar informierte UpGuard das mexikanische Unternehmen über das Problem. Doch UpGuard erhielt weder eine Antwort, noch wurden die Daten gesichert. Wochen verstrichen und als am Ende des Januars immer noch nichts geschehen war, schlugen sie bei Amazon Alarm. Amazon musste aber ein zweites Mal daran erinnert werden am 21. Februar. Die Cultura Colectiva Datenbank wurde jedoch erst gesichert am 03. April, nachdem das Informations-Dienstleistungsunternehmen Bloomberg Kontakt aufgenommen hatte mit Facebook selbst.

Die zweite Datenbank gehörte zu einer App mit dem Namen „At the Pool“. Diese Datensammlung war insgesamt deutlich kleiner, enthielt aber auch Klartext-Benutzerkennwörter für die App von 22.000 Nutzern. Obwohl diese App bereits seit 2014 nicht mehr existiert, hat irgendjemand die Sicherheitslücke schnell aber kommentarlos geschlossen – sogar noch während die Forscher dabei waren, die Daten zu untersuchen, und den App-Entwickler noch gar nicht informiert hatten. Den UpGuard Forschern ist nicht bekannt, wie lange die Daten frei zugänglich in der Wolke gelegen hatten.

Besonders der zweite Fall lässt bei IT-Sicherheitsforschern die Frage aufkommen, ob die großen Datensammler der Branche überhaupt noch wissen, wem sie welche Daten anvertraut haben. Es mag sogar sein, dass es manche Dienstleister gar nicht mehr gibt – was ist mit den ihnen überlassenen Daten geschehen? Die IT-Sicherheitsforscher könnten sich vorstellen, dass die ursprünglichen Dateninhaber (wie in diesem Fall Facebook), mit den Cloudanbietern kollaborieren sollten. Falls nicht, könnten sie sich auch vorstellen, dass dies gesetzlich vorgeschrieben werden muss.

Auch wenn Mark Zuckerberg erst kürzlich einen Plan vorgestellt hatte, der die Verschlüsselung aller auf seinen sozialen Medien verbreiteten Inhalten vorsieht, ist noch lange nicht sichergestellt, dass das fehlerlos ist. Aber immerhin ein Ansatz, den die Verbraucher durchaus positiv entgegensehen.

Artikel von wired.com, 03.04.2019: In Latest Facebook Data Exposure, History Repeats Itself
Artikel von govinfosecurity.com, 03.04.2019: Millions of Facebook Records Found Unsecured on AWS

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0