Öffentlichkeit

Facebook-Datenleck: Drei Fehler, 30 Millionen erbeutete Profile

Das kürzlich bekannt gewordene Datenleck bei Facebook ist weniger breit aber tiefgreifender als das Unternehmen zunächst ankündigte. Mehrere Wochen lang konnten Unbefugte teils hochsensible Daten von 30 Millionen Nutzer*innen sammeln. Weitere unbemerkte Angriffe sind nicht ausgeschlossen. Eine Zusammenfassung.

dripping sink facebook data scandal
Erst nach drei Monaten drehte Facebook den Hahn zu. Mindestens ein Hackangriff war erfolgreich. Gemeinfrei-ähnlich freigegeben durch unsplash.com Bryan Carlson

Facebook hat mit einem weiteren Datenleck zu kämpfen. Monatelang ließen sich teils hochsensible Daten von insgesamt 30 Millionen Nutzer*innen abgreifen. Entdeckt hat Facebook die gravierende Sicherheitslücke erst, als sie bereits ausgenutzt wurde. Am 14. September wurde das Unternehmen auf eine ungewöhnliche Aktivität auf seiner Plattform aufmerksam. Dass es sich um einen Hackerangriff handelte, bemerkte Facebook knapp zwei Wochen später. Zwei weitere Tage benötigte das Unternehmen, um das Datenleck zu schließen. Seitdem werde „rund um die Uhr“ an der Aufarbeitung des Falls gearbeitet, wie Facebook am Freitag bekannt gab.


netzpolitik.org - ermöglicht durch Dich.

30 Millionen Profile sind nach Angaben des Unternehmens betroffen. Bei einer Million wurden offenbar keine Daten abgegriffen. Von den restlichen 29 Millionen wurden Namen und Kontaktinformationen inklusive Handynummern und Emailadressen erbeutet, sofern diese verfügbar waren. Bei 14 Millionen Accounts wurden darüber hinaus weitere höchst sensible Daten erbeutet. Dazu zählen: Angaben zu Geschlecht, Sprache, Beziehungsstatus, Religion, Herkunftsstadt, Wohnort, Geburtsdatum, Bildung und Arbeitsplatz. Außerdem eine Liste der Seiten, denen die Personen folgen, und ihre fünfzehn letzten Suchanfragen auf der Plattform. Zudem erhielten die Hacker die Liste mit den zehn letzten Orten, an denen sich die Betroffenen angemeldet haben oder an denen sie von anderen Leuten in Bildern markiert wurden.

Fehlerhafte Funktion nun deaktiviert

Laut Facebook soll eine Kombination aus drei voneinander unabhängigen Software-Fehlern zu der Sicherheitslücke geführt haben. Eine wesentliche Rolle spielte dabei die Funktion „Anzeigen aus der Sicht von…“, die den Zugriff auf sogenannte Access Tokens von Profilen ermöglichte. Solche Access Tokens funktionieren praktisch wie Passwörter und ermöglichen die Übernahme der entsprechenden Profile. Die Funktion „Anzeigen aus der Sicht von…“ wurde nun sicherheitshalber deaktiviert.

Die riesige Datenmenge wurde ausgehend von einer Kerngruppe von 400.000 gehackten Profilen erlangt. Bei dieser Gruppe betraf der Angriff noch detailliertere Informationen wie beispielsweise Posts auf der Chronik, Freundeslisten, Gruppen-Mitgliedschaften und Personen, mit denen gerade Messenger-Konversationen geführt wurden. Konversationsinhalte waren Facebook zufolge überwiegend nicht zugänglich. Nur bei Personen, die selbst Admins einer Seite sind, konnten Nachrichten, die sich an diese Seite richten, heruntergeladen werden.

Weitere Datenlecks nicht ausgeschlossen

Potenziell konnten über die Sicherheitslücke seit Juli 2018 Daten abgegriffen werden. Derzeit kann nicht ausgeschlossen werden, dass es in der Vergangenheit schon kleinere Angriffe gegeben hat, die nicht aufgefallen sind. Das will Facebook weiter überprüfen. Außerdem arbeitet das Unternehmen mit dem FBI zusammen, um die Verantwortlichen für den großen Angriff Mitte September zu finden.

Die Betroffenen werden jetzt kontaktiert. Wer noch keine Nachricht erhalten hat, kann auch über diese Seite selbst kontrollieren, ob Daten abgegriffen wurden. Da Personen im europäischen Raum betroffen sind, hat Irland – dort befindet sich Facebooks Hauptsitz in Europa – bereits Ermittlungen eingeleitet. Diese Ermittlungen sind laut der Digital-NGO European Digital Rights (EDRi) gerade jetzt besonders wichtig:

Dieses Datenleck ist ein weiteres Beispiel dafür, wie wichtig es ist, persönliche Daten im Internet sicher und vertraulich zu speichern. Während in den Nachrichten gesagt wird, dass die DSGVO Facebook erfolgreich dazu verpflichtet hat, verständlicher und rechtzeitiger über das Datenleck zu informieren als es andere große Tech-Unternehmen zuvor taten, ist es nun von allergrößter Bedeutung, den Fall mit einer tiefgreifenden Ermittlung zu verfolgen: Die Irische Datenschutzaufsicht (Data Protection Commission) muss die Nutzer*innenrechte unter der DSGVO gänzlich und effektiv durchsetzen. (Eigene Übersetzung)

2 Kommentare
  1. Ich kann nicht anders, als über solche News nur noch hysterisch zu lachen! Da schütten Milliarden von Menschen ihre persönlichsten Daten in $IRGENDWELCHE (A)soziale Netzwerke.
    Und eigentlich _sollte_ $JEDEM dieser Nutzer mittlerweile bekannt sein, wie die Firmen hinter diesen Plattformen „ihr“ Geld verdienen, aber trotzdem werden die Daten weiter fleißig geliefert! – Milliarden können eben nicht irren!

    Dies zeigt eindeutig, dass der Mensch noch nie der „Gipfel“ der Schöpfung war, wie gern behauptet wird …

  2. „Dieses Datenleck ist ein weiteres Beispiel dafür, wie wichtig es ist, persönliche Daten im Internet sicher und vertraulich zu speichern.“

    Also für mich ist das eher ein weiteres Beispiel dafür, dass Datensammlungen wie die von Facebook ein unkalkulierbares Risiko für die Gesellschaft darstellen und deshalb untersagt werden müssen.
    Das obige Zitat ist doch wohl eher ein überspezifisches Dementi der Datensammlerlobby.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.