419 Millionen BetroffeneDatenleck bei Facebook gab Handynummern preis

Das Datenunternehmen Facebook hat ein weiteres Leck in Millionengröße zu verteidigen: Die Handynummern in Verbindung mit Profil-Identifikationsnummern von 419 Millionen Nutzer:innen waren für einige Zeit offen im Netz abrufbar. Facebook bestreitet diese hohe Zahl. Deutsche Datenschützer raten, dem Konzern so wenig Daten wie möglich zu geben.

Symbolbild Facebook Smartphone
Facebook muss die Betroffenen bald über das Datenleck informieren. (Symbolbild) – Gemeinfrei-ähnlich freigegeben durch unsplash.com Tim Bennett

Bis zu einer Änderung im vergangenen Frühling konnten Facebook-Nutzer:innen über ihre Handynummer auf der Plattform gefunden werden. Facebook deaktivierte diese Funktion zwar im Zuge des Cambridge-Analytica-Skandals. Jedoch sammelten Unbekannte zuvor die Handynummern zu Millionen von Profilen mit automatisierten Abfragen und veröffentlichten diese Datensätze. Mittlerweile wurden sie laut Facebook aus dem Internet entfernt.

Laut dem US-Magazin Techcrunch sind Daten von 419 Millionen Menschen betroffen, davon viele aus den USA, Großbritannien und Vietnam. Der Konzern spricht laut dem Guardian von der Hälfte an Betroffenen, da einige Datensätze doppelt auftauchten. Nun muss Facebook in Europa hohe Strafen fürchten, da das Vereinigte Königreich weiter Teil der EU ist und nach der Datenschutzgrundverordnung (DSGVO) Geldbußen von bis zu zwei Prozent des weltweiten Jahresumsatzes von Facebook verhängt werden können.

Dieses Datenleck bedeutet für den Datenkonzern Facebook eine neue Dimension: Handynummern von Nutzer:innen sind sensible Daten. Wenn diese „frei“ im Netz verfügbar sind, ist das nicht nur ein Imageverlust, sondern auch eine Gefahr für alle Betroffenen. Nicht nur, dass Accounts auch abseits der Plattform Facebook übernommen werden könnten, es öffnet Belästigung und Missbrauch die Tür. Auch wenn sich CEO Mark Zuckerberg nun wie schon öfters entschuldigen sollte, Nutzer:innen sollten gegenüber Beteuerungen des Konzerns vorsichtig sein.

Irische Datenschutzbehörde im Kontakt mit Facebook

Ein Pressesprecher des Hamburgischen Datenschutzbeauftragten, der in Deutschland für Facebook zuständig ist, sagt zu netzpolitik.org: „Die Nutzer können selbst leider kaum etwas tun, um sich vor solchen Lecks zu schützen.“

Die Behörde empfiehlt eine Vorsichtsmaßnahme: „Daten, die Facebook oder anderen Netzwerken, denen man sein Vertrauen schenkt, nicht (mehr) bekannt sind, können auch nicht geleakt werden.“

Für die Registrierung bei Facebook könnten Nutzer „Wegwerf-Informationen“ verwenden, etwa einen zweiten E-Mail Account, der nur für die Registrierung genutzt wird, oder eine günstige SIM-Karte ohne laufende Kosten samt altem Handy als leicht erneuerbare Telefonnummer.

Der Pressesprecher des Datenschutzbeauftragten räumt ein, dass dies wohl nicht für alle Nutzenden eine Lösung sei. „Alle diese Maßnahmen erfordern jedoch einen gewissen Kenntnis- und Bereitschaftsgrad, der nicht jeder Nutzer:in zuzumuten ist.“

Nach deren Angaben ist die irische Datenschutzbehörde bereits in Kontakt mit der Europazentrale Facebooks in Dublin. Von dem Datenleck betroffene europäische Nutzer:innen sollen so schnell wie möglich informiert werden. Ein Problem sei, dass „davon auszugehen [ist], dass viele der Telefonnummern noch immer aktuell sind und daher missbraucht werden können, um sich weitergehende Rechte zu erschleichen“.

Handynummern als vermeintlicher Schutz

Wer Facebook seine Handynummer gab, musste schon vorher damit rechnen, dass sie in andere Hände gerät. Die sogenannte Zwei-Faktor-Authentifizierung (2FA) bildet zwar an sich einen guten Schutz. Neben dem Passwort benötigt ein:e Nutzer:in beim Einloggen mit 2FA noch eine andere Information, etwa aus einer SMS oder einem Hardware-Token.

Im Fall von Facebook stellt aber genau dieser zweite Faktor, die Handynummer, ein Problem dar. Und zwar, wenn diese Daten nicht sicher hinterlegt sind. Das waren sie in diesem Fall nachweislich nicht, und zwar nicht nur wegen Datenlecks: Früheren Berichten der Süddeutschen Zeitung zufolge standen die Nummern gegenüber Datenfirmen zum Verkauf.

Der Hamburger Datenschutzbehörde nach „haben [Handynummern] hier mindestens einen ähnlichen Stellenwert für Betroffene wie Adressdaten, da sie ähnlich lange gültig sind und nicht ohne erheblichen Aufwand geändert werden können“. Sie sind so unter den verschiedenen Möglichkeiten die am wenigsten geeignete und am leichtesten angreifbare Information.

Neben dem obligatorischen Hinweis, dass ein Leben auch ohne Facebook-Konto lebenswert und somit gerne zu deaktivieren ist, zeigt dieses Leck das Problem mit Handynummern in den Händen von großen Unternehmen auf: Wer gegen solche Lecks gewappnet sein möchte, darf seine Handynummer nicht an Plattformen weitergeben. Wer halbwegs sicher mittels 2FA sein möchte, muss dies eben doch tun, da in der Regel nur wenig bis keine technischen Alternativen angeboten werden.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

3 Ergänzungen

  1. Auf Heise.de steht:
    […] Mehr als 419 Millionen Telefonnummern von Facebook-Usern, verknüpft mit jeweils deren Facebook-ID standen unverschlüsselt auf einem Internetserver für jedermann bereit.[…] und […] Jain informierte Techcrunch-Journalist Zack Whittaker, der wiederum den Administrator des Servers kontaktierte. Der hat die Datenbanken inzwischen offline genommen.[…]

    Das heisst ja – anders als hier geschrieben – das die Nummern zwar von Facebook sind, aber nicht durch ein Datenleck bei Facebook öffentlich zugänglich waren. Oder?

    1. Hey Simon, ehrlich gesagt verstehe ich die Frage nicht ganz. Bei Techcrunch, der Primärquelle, steht, dass die Telefonnummern von Facebook „gescraped“ wurden. Dies zu ermöglichen, würde ich ein Leck nennen.

  2. „Neben dem obligatorischen Hinweis, dass ein Leben auch ohne Facebook-Konto lebenswert und somit gerne zu deaktivieren ist“

    Du möchtest das Leben gern deaktivieren? Meinst du nicht das Konto? Der Bezug ist nicht eindeutig, oder?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.