Daten von über 500 Millionen Facebook-Nutzern veröffentlicht

Erneut ist eine riesige Zahl an Datensätzen von Facebook-Nutzern in einem Forum für Cyberkriminelle veröffentlicht worden. Viele der Daten sind zwar schon einige Jahre alt, dennoch besteht die Gefahr, dass diese Informationen für Phishing und andere Angriffe missbraucht werden können. Facebook wiegelt ab.

Vertrauliche Daten von rund 533 Millionen Facebook-Nutzern sind jetzt im Web veröffentlicht worden, wie das Magazin Business Insider berichtet. Entdeckt wurde diese Datenbank vom IT-Sicherheitsunternehmen Hudson Rock.

Auch Telefonnummern und persönliche Informationen von Facebook-Usern veröffentlicht

In den Datensätzen finden sich teilweise sehr viele Informationen. Neben den Facebook-Nutzernamen sind etwa auch die realen Namen, Geburtsdaten, Wohnorte sowie in vielen Fällen die Telefonnummer und mitunter auch die E-Mail-Adresse enthalten. Teilweise gibt es auch weitere biografische Angaben aus dem Facebook-Profil, wie etwa zur schulischen Ausbildung oder dem Arbeitgeber. Betroffen sind Facebook-Nutzer aus über 100 Ländern, über 30 Millionen davon kommen aus den USA, auch britische Facebook-Nutzer sind mit 11 Millionen in hoher Zahl betroffen.

Auch Facebook-Chef Mark Zuckerberg blieb nicht verschont - er nutzt übrigens Signal

Sogar persönliche Daten von Facebook-Chef Mark Zuckerberg sollen hier zu finden sein. Pikanterweise ist daraus wohl auch ersichtlich, dass er den Messenger-Dienst Signal nutzt, der in direkter Konkurrenz mit dem zu Facebook gehörenden Dienst WhatsApp steht.

Zuckerberg_Mark

Viele der Daten stammen wohl schon aus älteren Datenlecks bei Facebook und spätestens seit Mitte 2018 seien die Schwachstellen, die diese Datensammlung ermöglicht hätten, geschlossen worden, ließ das Unternehmen in einer Stellungnahme verlauten. Die Daten waren dabei durch einen Missbrauch einer Funktion zur Freundessuche bei Facebook gewonnen wurden. Diese Methode, das sogenannte Scraping, verstieß zwar gegen die Facebook-Regeln, wurde aber erst nach Veröffentlichung der so erstellten Datenbank mit 420 Millionen Rufnummern abgeschaltet.

Hohes Missbrauchspotenzial des Datenlecks etwa für Phishing -Mails

Obwohl daher zumindest ein Teil der jetzt erneut veröffentlichten Datensätze veraltet sein dürfte, besteht angesichts der hohen Zahl der betroffenen Nutzer immer noch ein erhebliches Missbrauchspotenzial. Denn mit den gewonnenen Daten können etwa Phishing E-Mails weiter personalisiert werden, sodass sie noch authentischer wirken und selbst vorsichtige Personen eher darauf hereinfallen könnten (Gestiegene Bedrohung durch Cyberattacken). Mittlerweile gibt es auch erste Berichte, dass die Daten bereits für Angriffsversuche, etwa per SMS, verwendet werden.

Irische Datenschutzbehörde kündigt Untersuchung an

Immerhin hat jetzt die irische Datenschutzbehörde angekündigt, sich um den Vorfall kümmern zu wollen. Man wolle mit Facebook in Kontakt treten und mehr über das Datenleck in Erfahrung bringen, auch weil viele Nutzer aus der EU unter den Betroffenen seien, teilte die Behörde mit. 

Ob die Datenschutzbehörde in Irland (DPC – Data Protection Commission) allerdings mit der notwendigen Entschlossenheit und Nachdruck Ermittlungen aufnehmen wird, bleibt abzuwarten. Immer wieder gerät die personell und finanziell nicht gerade üppig ausgestattete Behörde wegen ihrer zögernden und abwartenden Haltung gegenüber großen IT-Konzernen in die Kritik. Erst vor wenigen Wochen hatte etwa der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber schwere Vorwürfe erhoben und seiner irischen Amtskollegin dabei sogar Falschaussagen vorgeworfen.

Facebook wiegelt ab: unverschuldet, veraltet und verjährt

Facebook bleibt jedenfalls bei seiner Strategie und bestreitet zum einen, dass die Daten aufgrund von Sicherheitslücken bei Hackerangriffen erbeutet worden seien, zum anderen sollen die Daten aus Zeiten stammen, für die Facebook zumindest in den USA nicht mehr für Datenschutzverstöße belangt werden kann. In den USA hatte sich das Unternehmen mit der dortigen Handelsaufsicht (FTC) im Sommer 2019 darauf geeinigt, dass alle Facebook-Datenschutzvergehen bis einschließlich Juni 2019 gegen ein Bußgeld von rund fünf Milliarden US-Dollar abgegolten sein sollen.

So können Sie überprüfen, ob Ihr Facebook-Konto betroffen ist

Mittlerweile gibt es mehrere Möglichkeiten, wie Sie überprüfen können, ob auch Daten aus Ihrem Facebook-Konto in dem jüngsten Leak veröffentlicht wurden:

So hat etwa die populäre Website haveibeenpwned  die veröffentlichten Facebook-Datensätze, die eine E-Mail-Adresse enthalten, in seine Datenbank übernommen und Sie können hier daher anhand Ihrer E-Mail-Adresse überprüfen, ob diese bereits von einem Leak betroffen ist.

Für Facebook-Nutzer aus den DACH-Ländern (Deutschland, Österreich, Schweiz) gibt es unter Freddy Greve eine von einer Privatperson angebotene Website, bei der Sie nach Eingabe des Direktlinks zu Ihrer Facebook-Profilseite herausfinden können, ob Ihre Daten ebenfalls veröffentlicht wurden.

Weitere News zum Thema:

Schadensersatz für Betroffene bei DSGVO-Verstößen

Tipps zur Vermeidung von Datenschutzpannen

Hintergrund: Welche Datenschutzpannen müssen gemeldet werden?

Nicht in jedem Fall muss eine Verletzung des Schutzes personenbezogener Daten gemeldet werden. Entscheidend für die Pflicht zur Meldung ist, ob die Datenschutzverletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Für nähere Erläuterungen dieses Tatbestands und weitere allgemeine Informationen zur Meldepflicht verweist der LfDI auf die Leitlinien des Europäischen Datenschutzausschusses, die dazu auch zahlreiche anschauliche Praxisbeispiele enthalten.

Download mit Vorgaben zur DSGVO-Meldepflicht bei Datenpannen

Die vom Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg zur Verfügung gestellten Leitlinien stehen auf der Website des LfDI zum Download bereit.

Als Beispiel für einen meldepflichtigen Vorfall wird hier etwa der Verlust eines USB-Sticks genannt, auf dem sich unverschlüsselte personenbezogene Daten befinden. Auch wenn sich nicht feststellen lässt, ob Unbefugte tatsächlich Zugang zu diesen Daten haben, muss so ein Vorfall gemeldet werden.

Gemeldet werden muss es, wenn ein Dritter einem Verantwortlichen mitteilt, dass er versehentlich personenbezogene Daten eines Kunden des Verantwortlichen erhalten hat und dabei Belege für diese unbefugte Offenbarung vorlegt.

Wurde ein Angriff auf das Computernetzwerk bemerkt und festgestellt, dass gespeicherte Daten beeinträchtigt wurden, muss eine Meldung erfolgen.

Ein erfolgreicher Angriff durch eine Verschlüsselungssoftware (Ransomware) mit anschließender Lösegeldforderung ist ebenfalls ein meldepflichtiger Vorfall.

Die Vorfälle müssen gemeldet werden, sobald sie den Verantwortlichen bekannt werden. Die Meldung muss dabei unverzüglich oder maximal 72 Stunden danach erfolgen. Gibt es zunächst Hinweise auf einen meldepflichtigen Vorfall, kann zunächst eine „kurze“ Untersuchung zur Überprüfung durchgeführt werden. Während des Zeitraums dieser Überprüfung gilt die Datenschutzverletzung noch nicht als „bekannt“.

Schlagworte zum Thema:  Datenschutz, IT-Sicherheit