Viele offene Fragen zu Facebook-Datenleck

dj

7.4.2021

Besonders sicher waren Telefonnummern bei Facebook nicht
Besonders sicher waren Telefonnummern bei Facebook nicht.
Keystone

Das am Osterwochenende bekannt gewordene Datenleck bei Facebook ist offenbar doch nicht eine so alte Geschichte, wie es das Unternehmen behauptete. Die irische Datenschutzbehörde hat nun eine Untersuchung eingeleitet.

dj

7.4.2021

Über die Feiertage wurde von einem Datenleck bei Facebook berichtet. Die E-Mail-Adressen und Telefonnummern von mehr als 500 Millionen Nutzer*innen, darunter knapp 1,5 Millionen Schweizer*innen, waren in einschlägigen Foren im Internet abrufbar. Die ersten Reaktionen vonseiten Facebook waren abweisend. Das sei doch alles schon bekannt und bereits 2019 durch die Medien gegangen.

Doch inzwischen scheint sich herauszustellen, dass es sich keineswegs nur um Schnee von gestern handelt. 2019 wurde zwar in der Tat bekannt, das Telefonnummern von Facebook-Nutzer*innen kursierten. Diese wurden offenbar durch sogenanntes «Scraping» entwendet, ein automatisiertes und massenhaftes Abfragen von Daten über Facebook-Schnittstellen.

Damalige Berichte betrafen allerdings nur bis April 2018 entwendete Daten. Der nun kursierende Datensatz enthält jedoch offenbar auch bis September 2019 abgesaugte Daten, als Facebook die Lücke nach eigenen Angaben endgültig schloss. Diese zeitliche Diskrepanz ist entscheidend.

Aufsichtsbehörden wurden nicht benachrichtigt

Denn im Mai 2018 trat die Europäische Datenschutzgrundverordnung in Kraft, die Tech-Firmen wie Facebook verpflichtet, sowohl Nutzer*innen als auch Aufsichtsbehörden über allfällige Datenlecks zeitnah zu informieren. Die für Facebook primär zuständige irische Datenschutzbehörde DPC teilte allerdings mit, dass man von Unternehmen nicht «proaktiv» über den Vorfall in Kenntnis gesetzt wurde.

Wie schon beim Cambridge Analytica-Fall steht also der Verdacht im Raum, dass Facebook Datenlecks verschwiegen hat. Nach Inkraftreten der Datenschutzgrundverordnung ist dann nun allerdings nicht nur ein PR-, sondern potenziell auch ein rechtliches Problem. Neben den irischen Behörden haben auch schon staatliche Datenschützer in Grossbritannien und Deutschland Untersuchungen eingeleitet, wie «Politico» berichtet.

Anfällig für Phishing-Angriffe

Vor allem die Offenlegung der Telefonnummer in Kombination mit dem Klarnamen macht Nutzer*innen deutlich anfälliger für raffinierte Phishing-Angriffe. Da die Datenbank nun für jeden Amateur-Hacker leicht zugänglich ist, dürfte sich die Häufigkeit solcher Angriffe nochmal deutlich erhöhen.

Wenn man überprüfen will, ob auch die eigene Nummer Teil des Lecks ist, kann man dies auf der Website «Have I Been Pwned» tun. Übrigens wurde offenbar auch die Nummer von Facebook-CEO Mark Zuckerberg selbst kompromittiert. Internet-Detektive konnten so auch herausfinden, dass Zuckerberg auch die WhatsApp-Konkurrenz Signal nutzt.