Es war das Osterwochenende 2021, an dem zahlreiche Facebook-Nutzende durch eine Meldung aufgeschreckt wurden: Pers\u00f6nliche Daten von mehr als 530 Millionen Nutzenden seien in einem Hackerforum aufgetaucht. Nur wenige Tage sp\u00e4ter folgte der zweite Schock: Erneut wurden die privaten Daten von etlichen Nutzenden im Netz ver\u00f6ffentlicht \u2013 diesmal stammten sie offenbar aus dem Karrierenetzwerk LinkedIn. Von den Betreibern sozialer Netzwerke d\u00fcrfen sich Betroffene nicht viel Hilfe erwarten, doch es gibt Stellen, die unterst\u00fctzen. So auch wir mit diesem Beitrag, in dem wir auch aufzeigen, wie Sie sich als Betroffener verhalten k\u00f6nnen.<\/p>\n
Die Osterfeiertage hatten f\u00fcr viele Facebook-Nutzende keinen wirklich feierlichen Anstrich: Es ging die Nachricht um, dass die Daten von 533 Millionen Facebook-Nutzenden aus \u00fcber 100 L\u00e4ndern geleakt wurden. In einem Hackerforum wurde eine entsprechende Datenbank mit den Nutzerdaten zum Verkauf angeboten. Neben den Nutzernamen enthielten die Daten auch die Mobilfunknummern, das Geschlecht, einige Nachrichten, Beziehungsstatus, Beruf, Stadt und Land. Betroffen sind hierzulande 6,05 Millionen Nutzende, in \u00d6sterreich 1,25 Millionen und in der Schweiz 1,59 Millionen.<\/p>\n
Offenbar wurden die Daten mittels Scraping abgegriffen, also \u00fcber automatisierte Anfragen nicht offen sichtbarer Informationen, wie eine Sprecherin auf Anfrage von Business Insider<\/a> best\u00e4tigte. Wurden die Datens\u00e4tze schon Mitte M\u00e4rz f\u00fcr 99 US-Dollar je Satz in einem anderen Forum zum Verkauf angeboten, gibt es die Daten jetzt umsonst.<\/p>\n Auf Twitter \u00e4u\u00dferte sich eine Facebook-Sprecherin<\/a> kurz und b\u00fcndig \u00fcber die Angelegenheit: \u201eDas sind alte Daten, \u00fcber die erstmals im Jahr 2019 berichtet worden war. Wir haben das Problem im August 2019 entdeckt und behoben\u201c. Einige Tage, nachdem die Datenmengen im Hackerforum auftauchten, startete eine Spam-Welle: Die erbeuteten Daten wurden mitunter zum SMS-Spam verwendet.<\/p>\n Facebook selbst h\u00fcllt sich in Schweigen: Man hat nicht vor, die Betroffenen zu informieren, erkl\u00e4rte ein Konzernsprecher gegen\u00fcber Reuters<\/a>. Facebook wisse selbst nicht genau, wer betroffen sei \u2013 und die Opfer k\u00f6nnten ohnehin nichts unternehmen, da die Daten nun ver\u00f6ffentlicht worden seien. Die M\u00f6glichkeit jedoch, die zum Abgreifen der Daten gef\u00fchrt hatte, sei l\u00e4ngst geschlossen.<\/p>\n Die irische Datenschutzbeh\u00f6rde ist f\u00fcr Facebook in Europa zust\u00e4ndig. Sie hat bereits eine Untersuchung angek\u00fcndigt<\/a> und m\u00f6chte auch den Job \u00fcbernehmen, den Facebook vernachl\u00e4ssigt, n\u00e4mlich das Informieren der Betroffenen. Facebook besteht weiterhin darauf, dass die entwendeten Daten schon \u00e4lter seien und nicht durch einen Hack entwendet wurden. Man darf darauf spekulieren, dass der Konzern bem\u00fcht ist, sich den Verpflichtungen aus der DSGVO zu entziehen \u2013 von sich aus hat Facebook die zust\u00e4ndige Beh\u00f6rde jedenfalls nicht informiert. Die irische Datenschutzbeh\u00f6rde \u00e4u\u00dfert jedoch Zweifel an der von Facebook vorgelegten Chronologie der Dinge.<\/p>\n Am 15. April lie\u00df Facebook auf about.fb.com<\/a> verlautbaren, wie das Unternehmen k\u00fcnftig Scraping bek\u00e4mpft. Facebook hat ein \u00fcber 100-Personen-starkes Team (External Data Misuse) daf\u00fcr eingesetzt, deartige Datenabfl\u00fcsse zu erkennen und zu bek\u00e4mpfen. Eine der Ma\u00dfnahmen ist die Einf\u00fchrung von Datenlimits f\u00fcr solche Datenabfragen.<\/p>\n Laut Facebook handelt es sich um Daten, die im Jahr 2018 abgegriffen worden seien. Seinerzeit existierte noch die M\u00f6glichkeit der Usersuche: Bis zum April 2018 gelang es auf Facebook, durch Eingabe von Telefonnummern oder E-Mail-Adressen Profile ausfindig zu machen. Telefonnummern werden nach bekannten Schemata vergeben. Und so mussten die Nummern nur der Reihe nach probiert werden, um sehen zu k\u00f6nnen, ob man auf Profile st\u00f6\u00dft. Als es hier zum Abgreifen von Daten in gro\u00dfem Stil kam, entschied man sich, die Funktion zu schlie\u00dfen.<\/p>\n Die irischen Datensch\u00fctzer sind sich nicht sicher, inwieweit diese Angaben von Facebook stimmen. Ihrer Mitteilung ist zu entnehmen, dass man eher vermutet, dass der aktuelle Leak zwar Daten aus den vergangenen Jahren enthalte, dass diese jedoch wom\u00f6glich mit Informationen erg\u00e4nzt sein k\u00f6nnten, die aus sp\u00e4teren Jahren stammen.<\/p>\n Nur wenige Tage, nachdem der Facebook-Daten-Leak bekannt wurde, tauchten laut Cybernews<\/a> pers\u00f6nliche Daten von einer halben Milliarde LinkedIn-Nutzenden auf. Neben dem Namen sind auch E-Mail-Adressen, Telefonnummern und sogar Angaben zum Arbeitgeber in den Daten enthalten. Die Datens\u00e4tze werden in einem Hackerforum zum Kauf angeboten.<\/p>\n In einem Statement<\/a> \u00e4u\u00dferte sich LinkedIn zu dem Vorfall: Wenngleich die Daten \u00f6ffentlich zug\u00e4ngliche Informationen von LinkedIn enthalten w\u00fcrden, w\u00e4ren weitere Daten mutma\u00dflich aus anderen Quellen hinzugef\u00fcgt worden. Im Statement hei\u00dft es: \u201eEs handelte sich nicht um ein LinkedIn-Datenleck, und es waren keine privaten Mitgliederdaten von LinkedIn in den Daten enthalten, die wir \u00fcberpr\u00fcfen konnten.\u201c<\/p>\n Wie das US-Newsportal Cybernews am 10. April 2021 berichtete<\/a>, wurden auch Daten aus Clubhouse abgegriffen: 1,3 Millionen pers\u00f6nliche Daten werden in einem Hackerforum zum Download angeboten. Enthalten sind neben Vor- und Nachnamen auch Profilfotos sowie verbundene Twitter- oder Instagram-Daten und Kontaktlisten. Die Reaktion der Clubhouse-Entwickler war genauso ung\u00fcnstig wie die der Facebook-Sprecher: Auf Twitter erkl\u00e4rte man<\/a>, dass lediglich jene Daten gesammelt und ver\u00f6ffentlicht wurden, die ohnehin bei Clubhouse einsehbar seien.<\/p>\n Es war nicht das erste Mal, dass auf sozialen Netzwerken Daten in gro\u00dfem Stil abgesaugt wurden \u2013 man denke nur an den Cambridge Analytica-Skandal<\/a>. Unabh\u00e4ngig davon, ob die Daten, die jetzt zum Download angeboten wurden, alt oder aktuell waren, ergeben sich zahlreiche Gefahren f\u00fcr Nutzende: Der beginnende SMS-Spam soll arglose Opfer dazu verf\u00fchren, auf Phishing-Websites noch mehr Daten preiszugeben. M\u00f6glich sind auch Social-Engineering-Angriffe, bei denen pers\u00f6nliche Daten des Opfers zu einem Wissen beim Angreifer beitragen, der damit in die Lage versetzt wird, noch gr\u00f6\u00dferen Schaden anzurichten. Es geht also nicht nur um das Eindringen in die Privatsph\u00e4re Nutzender, sondern auch um m\u00f6gliche Folgesch\u00e4den.<\/p>\n Wie bereits erw\u00e4hnt, k\u00f6nnen Sie als Betroffene nicht auf die Unterst\u00fctzung derjenigen setzen, die das Abgreifen der Daten wom\u00f6glich mitzuverantworten haben: Die Betreiber selbst, also Facebook, LinkedIn oder Clubhouse. Es ist immer wieder \u00e4rgerlich f\u00fcr Nutzende, die selbst so viel Sicherheit wie m\u00f6glich in ihre Profilverwaltung legen: Man nutzt einen zweiten Faktor zum Login (2FA, Zwei-Faktor-Authentifizierung), ein sicheres Passwort und gibt nicht mehr Daten an als notwendig \u2013 und allen Vorkehrungen zum Trotz reichen die Sicherheitsvorkehrungen beim Anbieter nicht aus, um die Daten zu sch\u00fctzen.<\/p>\nFacebooks Reaktion: Schweigen<\/h3>\n
Facebook-Leak: Alte Daten mit neuen gemixt?<\/h3>\n
Weitere Datenlecks bei Clubhouse und LinkedIn<\/h3>\n
Facebook, LinkedIn & Co.: Gefahren der Datenleaks f\u00fcr Nutzende<\/h3>\n
Facebook Daten-Leak: Was k\u00f6nnen Betroffene tun?<\/h2>\n