Gigantisches Facebook-Datenleck
Author
Robin Laufenburg, Do, 8. Apr. 2021
in Aktuelles

Gigantisches Facebook-Datenleck

Über 500 Millionen Facebook-Daten gestohlen!

Aktualisiert am 20.04.2021

Am Osterwochenende kam es zu einem gigantischen Facebook-Datenleck. Hacker haben dabei die persönlichen Daten von über 533 Millionen Benutzern gestohlen. Jetzt sind sie im Internet öffentlich einzusehen. 

Zu den zusammengetragenen Daten gehören Klarnamen, Geburtsdaten, Wohnorte, E-Mail-Adressen und Telefonnummern. Erfahren Sie bei uns, wie Sie prüfen, ob Sie vom Facebook-Datenleck betroffen sind.

Was hat es mit dem Facebook-Datenleck auf sich?

Am Osterwochenende 2021 sind über 533 Millionen Datensätze veröffentlicht worden, zu denen auch private, vertrauliche und deswegen nicht öffentlich gemachte Daten gehören. Vor allem wurden Klarnamen, Geburtsdaten, Anschriften sowie E-Mail-Adressen und Telefonnummern geleakt, die Benutzer aus insgesamt 106 Ländern in Facebook eingegeben oder einspeicherten hatten. Insider-Berichten zufolge verkauften Kriminelle Datenbestände des Leaks bereits im Januar 2021. Der Datensatz zu einer Person soll dabei circa 20 US-Dollar (das entspricht ungefähr 17 Euro) gekostet haben.

Alle Datensätze sind jetzt, im April 2021, frei zugänglich veröffentlicht worden. In einer systematischen Listung lassen sich die Daten von der halbe Halbe Milliarden betroffener Benutzer einsehen. Auf den Facebook-Datenleck machte Alon Gal, Technologie-Chef des Unternehmens Hudson Rock, im Onlinedienst Twitter aufmerksam:

Woher kommen die Daten?

Laut Aussage von Facebook wurden die Daten wahrscheinlich bereits vor 2019 über das sogenannte Scraping, das Ausnutzen einer damaligen Sicherheitslücke, abgegriffen. Beim Scraping suchen Bots automatisiert nach Daten und erstellen mit diesen dann Profile. Suchte man in Facebook auch nach einer als privat eingespeicherten Telefonnummer, so bekam man das entsprechende Profil angezeigt. Im Jahr 2019 kam es auf diese Weise schon einmal zu einem Datenskandal, bei dem Telefonnummern von rund 420 Millionen Nutzern an die Öffentlichkeit gelangten. Wahrscheinlich sind die Datensätze bereits 2018 in Form von systematischen Datensammelaktionen gestohlen worden.

Wann und wie Cyberkriminelle an die Daten gekommen sind, bleibt jedoch Spekulation. Aber weil doch recht viele Personen noch die gleichen Wohnanschriften, Telefonnummern oder E-Mail-Adressen haben dürften und sich auch, was Geburtsdaten angeht, nichts verändert haben kann, bleibt die Veröffentlichung der Daten relevant. Das war auch der Grund, warum Facebooks defensiv rationalisierende Statement als offizielle Reaktion zum Teil stark kritisiert wurde. Getätigt wurde es von Liz Bourgeois (Director of Strategic Response Communications bei Facebook) ebenfalls in Twitter:

Sind Sie vom Facebook-Datenleck betroffen?

Sie sollten unbedingt überprüfen, ob Sie selbst vom Facebook-Datenleck betroffen sind! Besuchen Sie hierfür die Website https://haveibeenpwned.com. Bei dem Webdienst Have I Been Pwned handelt es sich um eine transparente Datenbank. Sie prüft nach Eingabe Ihrer E-Mail-Adresse, ob Daten, die zur eingegeben E-Mail-Adresse gehören, öffentlich zugänglich sind. Sie können entweder Ihre E-Mail-Adresse oder die internationalen Variante Ihrer Telefonnummer (in Deutschland mit +49) eingeben. Have I Been Pwned zeigt an, ob und von welchen Datenleaks Sie betroffen waren.

Laut Aussage von Troy Hunt, dem Betreiber von Have I Been Pwned, waren in der Datenbank bereits circa 65 Prozent der jetzt veröffentlichten Daten als geleakt eingespeichert. Prüfen Sie auch unabhängig von größeren Leaks regelmäßig, ob Ihre Daten ohne Ihres Wissens im Internet herumgeistern und in die Hände von Cyberkriminellen geraten können. Auch Hunt teilte im Namen von Have I Been Pwned seine Informationen über Twitter mit:

Große Gefahr: Social Hacking mit Facebook-Daten

Die Hauptgefahr der geleakten Daten besteht laut Cybercrime-Experten darin, dass Kriminelle mit den Daten jetzt wesentlich effizienteres Social Hacking betreiben können. Beim Social Hacking geben sich Angreifer als fremde Personen oder Firmen aus, um an sensible Daten wie Kontoverbindungen oder Zugangsdaten zu gelangen. Zu den beliebtesten Social-Hacking-Methoden gehören unter anderem das Smishing, Phishing und das Spear-Phishing. In den vergangenen Tagen (Anfang April 2021) kam es vermehrt zu solchen Spam-Angriffen.

Während Angreifer beim Phishing automatisierte Messenger- oder E-Mail-Nachrichten an potenzielle Opfer schicken, gehen beim Smishing SMS-Nachrichten raus. In diesen automatisierten Nachrichten geben Angreifer vor allem vor, Unternehmen wie Facebook selbst oder Amazon zu sein. Kriminelle geben vor allem aber jüngeren Spam-SMS oft als Paketankündigungen aus. Meistens befinden in den Nachrichten Links, über die gefährliche Schadsoftware heruntergeladen wird. Cybercrime-Experten bringen größere, momentan kursierende SMS-Spamwellen mit dem Facebook-Datenleck in Zusammenhang.

Beim Spear-Phishing geben Cyberkriminelle vor, alte Bekannte oder Freunde, Geschäftspartner oder Vorgesetzte zu sein. Durch die geleakten Datensätze und Informationen aus dem Internet, können sie hochgradig individuelle und zum Teil erschreckend authentische Angriffsstrategien erarbeiten.

So schützen Sie Ihre Daten

Es ist nicht das erste Mal, dass Facebook durch eine Datenpanne auffällt. Für großes international Aufsehen sorgte bereits der Skandal um Cambridge Analytica im Jahr 2018. Im gleichen Jahr wurde außerdem bekannt, dass Facebook Daten an Smartphone-Hersteller weitergegen hat. Im Jahr 2019 war der Facebook-Datenschutz in der Kritik, als bekannt wurde, dass über 500 Millionen Datensätze geleakt worden waren.

Leider können Sie nicht viel machen, um Datenlecks zu verhindern. Sie können sich jedoch schützen, indem Sie genau überlegen, welche Daten Sie auf welchen Plattformen hochladen. Zudem müssen Sie auch bei Daten, die Sie als privat eingestellt haben, damit rechnen, dass diese gehackt oder geleakt werden könnten. Sollten Ihre Daten bereits öffentlich sein, ändern Sie unbedingt Ihr Facebook-Passwort. Es muss möglichst kryptisch und vor allem sehr lang sein, damit Hacker es nicht herauszufinden können. In unseren Ratgebern Passwörter verwalten und Passwortsicherheit im Fokus geben wir Ihnen Tipps, worauf bei der Erstellung von Passwörtern zu achten ist. Sollten Sie bei der Auswahl oder Einrichtung Probleme haben, berät Sie Ihr PC-SPEZIALIST vor Ort gern.

Auch kleine Unternehmen sollten sich schützen und Passwortrichtlinien als Teil eines umfassenden IT-Sicherheitskonzepts umsetzen. Gerade, wenn sie keine eigene IT-Abteilungen haben, die sich um die digitale Sicherheit kümmern, sind Unternehmen ein beliebtes Ziel für Angreifer. Sie sollten selbst darauf achten, dass Sie nicht fahrlässig im Internet unterwegs sind und Ihre Mitarbeiter sensibilisieren, mit persönlichen und geschäftlichen Daten ebenfalls sensibel umzugehen. Sollten Sie kompetente Hilfe bei der Realisierung von Schutzmaßnahmen benötigen, ist PC-SPEZIALIST auch für Firmen der geeignete Ansprechpartner.

Update, 20.04.2021: Facebook auf Entschädigung verklagen

Auch wenn Facebook den Vorfall weiterhin herunterspielt, es lässt sich nicht verleugnen, dass das Mega-Datenleck den Opfern viel Ärger bringt. Neben Smishing-Attacken können auch nervige Werbeanrufe die Folge sein.

Der Hauptsitz von Facebook in Europa ist in Irland. Die dort ansässige Bürgerrechtsgruppe Digital Rights Ireland (kurz: DRI) setzt sich für die Verteidigung der Bürger- und Menschenrechte im Internet ein und will Facebook im Rahmen einer Massenklage zur Verantwortung ziehen. Wer vom Mega-Leak bei Facebook betroffen ist, soll sich der Massenklage über die Website www.digitalrights.ie/facebook/anschließen. Um das zu tun, prüfen Sie auf  haveibeenpwned.com, ob Ihre E-Mail-Adresse und Handynummer öffentlich bekannt sind.

Die DRI ist der Meinung, dass Facebook gemäß der in Europa geltenden Regeln gesetzlich dazu verpflichtet ist, die Daten seiner Nutzer zu schützen. Deshalb könne, wer innerhalb der Europäischen Union oder im Europäischen Wirtschaftsraum lebe, von Facebook Schadensersatz verlangen. In der DSVGO, so DRI, sei in Artikel 82 geregelt, dass den Nutzern eine solche Geldentschädigung zustünde, wenn ihre Datenschutzrechte verletzt wurden.

Um diesen Anspruch durchzusetzen, will die DRI in einer Massenklage gegen Facebook vorgehen. Dazu benötigt die Organisation die Unterstützung der Nutzer, deren Facebook-Daten geleakt wurden.

_______________________________________________

Weiterführende Links: Pressebox, Deutsche Welle, Bayrischer Rundfunk, onlinemarketing.de, Focus Online, DerStandard.de, PC Welt, mimikaka.at, Finanzen.net, onlinemarketing.de, Digital Rights Ireland

0 Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail Adresse wird nicht veröffentlicht.