Facebook, LinkedIn & Co.: Über 500 Millionen Nutzerdaten geleakt
Es war das Osterwochenende 2021, an dem zahlreiche Facebook-Nutzende durch eine Meldung aufgeschreckt wurden: Persönliche Daten von mehr als 530 Millionen Nutzenden seien in einem Hackerforum aufgetaucht. Nur wenige Tage später folgte der zweite Schock: Erneut wurden die privaten Daten von etlichen Nutzenden im Netz veröffentlicht – diesmal stammten sie offenbar aus dem Karrierenetzwerk LinkedIn. Von den Betreibern sozialer Netzwerke dürfen sich Betroffene nicht viel Hilfe erwarten, doch es gibt Stellen, die unterstützen. So auch wir mit diesem Beitrag, in dem wir auch aufzeigen, wie Sie sich als Betroffener verhalten können.
Scraping: Daten von 533 Millionen Facebook-Nutzenden geleakt
Die Osterfeiertage hatten für viele Facebook-Nutzende keinen wirklich feierlichen Anstrich: Es ging die Nachricht um, dass die Daten von 533 Millionen Facebook-Nutzenden aus über 100 Ländern geleakt wurden. In einem Hackerforum wurde eine entsprechende Datenbank mit den Nutzerdaten zum Verkauf angeboten. Neben den Nutzernamen enthielten die Daten auch die Mobilfunknummern, das Geschlecht, einige Nachrichten, Beziehungsstatus, Beruf, Stadt und Land. Betroffen sind hierzulande 6,05 Millionen Nutzende, in Österreich 1,25 Millionen und in der Schweiz 1,59 Millionen.
Offenbar wurden die Daten mittels Scraping abgegriffen, also über automatisierte Anfragen nicht offen sichtbarer Informationen, wie eine Sprecherin auf Anfrage von Business Insider bestätigte. Wurden die Datensätze schon Mitte März für 99 US-Dollar je Satz in einem anderen Forum zum Verkauf angeboten, gibt es die Daten jetzt umsonst.
Facebooks Reaktion: Schweigen
Auf Twitter äußerte sich eine Facebook-Sprecherin kurz und bündig über die Angelegenheit: „Das sind alte Daten, über die erstmals im Jahr 2019 berichtet worden war. Wir haben das Problem im August 2019 entdeckt und behoben“. Einige Tage, nachdem die Datenmengen im Hackerforum auftauchten, startete eine Spam-Welle: Die erbeuteten Daten wurden mitunter zum SMS-Spam verwendet.
Facebook selbst hüllt sich in Schweigen: Man hat nicht vor, die Betroffenen zu informieren, erklärte ein Konzernsprecher gegenüber Reuters. Facebook wisse selbst nicht genau, wer betroffen sei – und die Opfer könnten ohnehin nichts unternehmen, da die Daten nun veröffentlicht worden seien. Die Möglichkeit jedoch, die zum Abgreifen der Daten geführt hatte, sei längst geschlossen.
Die irische Datenschutzbehörde ist für Facebook in Europa zuständig. Sie hat bereits eine Untersuchung angekündigt und möchte auch den Job übernehmen, den Facebook vernachlässigt, nämlich das Informieren der Betroffenen. Facebook besteht weiterhin darauf, dass die entwendeten Daten schon älter seien und nicht durch einen Hack entwendet wurden. Man darf darauf spekulieren, dass der Konzern bemüht ist, sich den Verpflichtungen aus der DSGVO zu entziehen – von sich aus hat Facebook die zuständige Behörde jedenfalls nicht informiert. Die irische Datenschutzbehörde äußert jedoch Zweifel an der von Facebook vorgelegten Chronologie der Dinge.
Am 15. April ließ Facebook auf about.fb.com verlautbaren, wie das Unternehmen künftig Scraping bekämpft. Facebook hat ein über 100-Personen-starkes Team (External Data Misuse) dafür eingesetzt, deartige Datenabflüsse zu erkennen und zu bekämpfen. Eine der Maßnahmen ist die Einführung von Datenlimits für solche Datenabfragen.
Facebook-Leak: Alte Daten mit neuen gemixt?
Laut Facebook handelt es sich um Daten, die im Jahr 2018 abgegriffen worden seien. Seinerzeit existierte noch die Möglichkeit der Usersuche: Bis zum April 2018 gelang es auf Facebook, durch Eingabe von Telefonnummern oder E-Mail-Adressen Profile ausfindig zu machen. Telefonnummern werden nach bekannten Schemata vergeben. Und so mussten die Nummern nur der Reihe nach probiert werden, um sehen zu können, ob man auf Profile stößt. Als es hier zum Abgreifen von Daten in großem Stil kam, entschied man sich, die Funktion zu schließen.
Die irischen Datenschützer sind sich nicht sicher, inwieweit diese Angaben von Facebook stimmen. Ihrer Mitteilung ist zu entnehmen, dass man eher vermutet, dass der aktuelle Leak zwar Daten aus den vergangenen Jahren enthalte, dass diese jedoch womöglich mit Informationen ergänzt sein könnten, die aus späteren Jahren stammen.
Weitere Datenlecks bei Clubhouse und LinkedIn
Nur wenige Tage, nachdem der Facebook-Daten-Leak bekannt wurde, tauchten laut Cybernews persönliche Daten von einer halben Milliarde LinkedIn-Nutzenden auf. Neben dem Namen sind auch E-Mail-Adressen, Telefonnummern und sogar Angaben zum Arbeitgeber in den Daten enthalten. Die Datensätze werden in einem Hackerforum zum Kauf angeboten.
In einem Statement äußerte sich LinkedIn zu dem Vorfall: Wenngleich die Daten öffentlich zugängliche Informationen von LinkedIn enthalten würden, wären weitere Daten mutmaßlich aus anderen Quellen hinzugefügt worden. Im Statement heißt es: „Es handelte sich nicht um ein LinkedIn-Datenleck, und es waren keine privaten Mitgliederdaten von LinkedIn in den Daten enthalten, die wir überprüfen konnten.“
Wie das US-Newsportal Cybernews am 10. April 2021 berichtete, wurden auch Daten aus Clubhouse abgegriffen: 1,3 Millionen persönliche Daten werden in einem Hackerforum zum Download angeboten. Enthalten sind neben Vor- und Nachnamen auch Profilfotos sowie verbundene Twitter- oder Instagram-Daten und Kontaktlisten. Die Reaktion der Clubhouse-Entwickler war genauso ungünstig wie die der Facebook-Sprecher: Auf Twitter erklärte man, dass lediglich jene Daten gesammelt und veröffentlicht wurden, die ohnehin bei Clubhouse einsehbar seien.
Facebook, LinkedIn & Co.: Gefahren der Datenleaks für Nutzende
Es war nicht das erste Mal, dass auf sozialen Netzwerken Daten in großem Stil abgesaugt wurden – man denke nur an den Cambridge Analytica-Skandal. Unabhängig davon, ob die Daten, die jetzt zum Download angeboten wurden, alt oder aktuell waren, ergeben sich zahlreiche Gefahren für Nutzende: Der beginnende SMS-Spam soll arglose Opfer dazu verführen, auf Phishing-Websites noch mehr Daten preiszugeben. Möglich sind auch Social-Engineering-Angriffe, bei denen persönliche Daten des Opfers zu einem Wissen beim Angreifer beitragen, der damit in die Lage versetzt wird, noch größeren Schaden anzurichten. Es geht also nicht nur um das Eindringen in die Privatsphäre Nutzender, sondern auch um mögliche Folgeschäden.
Facebook Daten-Leak: Was können Betroffene tun?
Wie bereits erwähnt, können Sie als Betroffene nicht auf die Unterstützung derjenigen setzen, die das Abgreifen der Daten womöglich mitzuverantworten haben: Die Betreiber selbst, also Facebook, LinkedIn oder Clubhouse. Es ist immer wieder ärgerlich für Nutzende, die selbst so viel Sicherheit wie möglich in ihre Profilverwaltung legen: Man nutzt einen zweiten Faktor zum Login (2FA, Zwei-Faktor-Authentifizierung), ein sicheres Passwort und gibt nicht mehr Daten an als notwendig – und allen Vorkehrungen zum Trotz reichen die Sicherheitsvorkehrungen beim Anbieter nicht aus, um die Daten zu schützen.
Wenn Sie auch von den Betreibern der sozialen Netzwerke nicht viel zu erwarten haben, so erhalten Sie doch Unterstützung: Die Verbraucherzentrale informiert Nutzende darüber, wie sie überprüfen können, ob sie betroffen sind, und wie das weitere Vorgehen auszusehen hat. Haben Sie geprüft, ob Ihre Daten betroffen sind, können Sie folgendes unternehmen:
- Wechseln Sie das Passwort. Idealerweise wechseln Sie nicht nur Ihr Facebook-Passwort, sondern, wenn Sie dieses Passwort auch für andere Dienste verwenden, auch das Passwort dieser Dienste. Setzen Sie auf sichere Passwörter und verwenden Sie für jeden Dienst ein anderes Passwort.
- Überprüfen Sie Ihre Nutzerdaten. Prüfen Sie dabei auch, welche Informationen Sie öffentlich stellen und welche privat. Fragen Sie sich bei Ihren Angaben, ob Sie diese wirklich preisgeben möchten.
- Seien Sie jetzt und in Zukunft vorsichtig bei fremden SMS oder E-Mails. Wie sich beim Facebook-Leak zeigt, sind mutmaßlich alte Informationen mit neuen gemixt worden. Daten, die jetzt gestohlen wurden, könnten erst in einigen Wochen, Monaten oder sogar Jahren für Kriminelle relevant werden. Achten Sie also nicht nur aktuell auf SMS und E-Mails, die Ihnen verdächtig erscheinen, sondern behalten Sie dieses Verhalten grundsätzlich bei.
Facebooks (Nicht-)Reaktion zerstört Vertrauen
Drei soziale Netzwerke waren binnen einer Woche Thema, weil aktuell oder in der Vergangenheit Daten abgezogen wurden. Sprecher und Entwickler dieser Netzwerke – Facebook, LinkedIn und Clubhouse – haben sehr ähnlich reagiert: Sie haben die Schuld von sich gewiesen und bieten Nutzenden keine Hilfe. Eher versuchen sie noch, die Skandale herunterzuspielen: Es seien ja nur Daten betroffen, die ohnehin öffentlich einsehbar seien oder – im Falle von Facebook – man habe die Funktion, die zum Abzug der Daten geführt habe, längst beerdigt. Das sind keine Reaktionen, die sich Betroffene wünschen. Und es sind Reaktionen, die das Vertrauen in die Sicherheit von Anbietern grundsätzlich schwächen. Die Folgen für die Opfer sind zum Teil gravierend: Terror per SMS oder mögliches Social Engineering können Opfer massiv treffen.
Dass Fälle wie diese immer wieder publik werden, zeigt deutlich: Verlassen Sie sich nicht auf Anbieter – Facebook hat kaum ein Interesse daran, Ihre Daten zu schützen. Leider müssen Sie den Schutz Ihrer Daten selbst in die Hand nehmen. Gehen Sie also sehr bewusst und vorsichtig mit Ihren Daten um. Wie Sie sehen konnten, sind auch ältere Daten interessant für Cyberkriminelle.