Am Samstag wurde bekannt, dass private Daten von mehr als eine halbe Milliarde Facebook-Konten aus über 106 Ländern geleakt wurden. In den Daten finden sich sensible Informationen wie Geschlecht, Telefonnummer, Beziehungsstatus, Arbeitsplatz und Mailadresse. Auch 6 Millionen deutsche Konten sind darunter.
Am Samstag machte der IT-Experte Alon Gal auf Twitter bekannt, dass Daten aus über 533 Millionen Facebook-Konten im Internet veröffentlicht wurden. Die Facebook-Konten sind derzeit als Länderpakete im Internet frei herunterzuladen. Das deutsche Länderpaket beinhaltet 6.054.423 Millionen Datensätze. Diese umfassen Telefonnummer, Name, Vorname, Geschlecht, Standort, Beziehungsstatus, Arbeitsplatz, Geburtsdatum und Mail-Adressen. Nicht alle Daten sind vollständig, Telefonnummern sind jedoch fast überall vorhanden.
All 533,000,000 Facebook records were just leaked for free.
This means that if you have a Facebook account, it is extremely likely the phone number used for the account was leaked.
I have yet to see Facebook acknowledging this absolute negligence of your data. https://t.co/ysGCPZm5U3 pic.twitter.com/nM0Fu4GDY8
— Alon Gal (Under the Breach) (@UnderTheBreach) April 3, 2021
Diese Daten entstammen einem Hack aus 2019, der eine Sicherheitslücke ausnutzte, die jedoch laut Angaben von Facebook bereits im August 2019 geschlossen worden war. Viele Datensätze dürften jedoch weiterhin aktuell sein.
Dass die Daten jetzt öffentlich werden, könnte daran liegen, dass sie mittlerweile ihren finanziellen Wert verloren haben – das heißt, dass sie wohl bereits so viele Spammer und andere in ihrem Besitz haben, dass sie recht günstig zu bekommen sind. Möglicherweise hat sich einer der Käufer:innen nun dazu entschlossen, die Daten gleich ganz frei zu geben.
Hamburger Datenschützer erhebt schwere Vorwürfe – gegen Datenschutzbehörde
Verantwortlich für die Überwachung des Datenschutzes bei Facebook in Europa ist die irische Datenschutzbehörde, da der Konzern dort seine EU-Niederlassung hat. Der Hamburger Datenschützer Johannes Caspar fordert nun gegenüber dem Handelsblatt nicht nur Aufklärung durch Facebook, sondern auch durch die Datenschutzbehörde.
Neben der rechtzeitigen Meldung des Geschehens gehe es dabei um die Pflicht zur Benachrichtigung der Nutzer: „Da der Vorfall bereits vor zwei Jahren bekannt geworden ist, stellt sich die Frage, was die zuständige Aufsichtsbehörde seither in dieser Sache unternommen hat und ob mögliche Verstöße gegen technisch-organisatorische Maßnahmen untersucht wurden, die diesem gigantischen Datenverlust zugrunde liegen.“
Die „abwiegelnde Stellungnahme“ von Facebook zu dem Datenleck lasse tief blicken, sagte Caspar weiter. Dass trotz zahlreicher schwerer Datenschutzvorfälle seit Geltung der Datenschutz-Grundverordnung (DSGVO) im Jahre 2018 der Konzern „nie ernsthaft durch die zuständige Aufsichtsbehörde in Irland zur Rechenschaft gezogen“ worden sei, habe hier offenbar zu dem Schluss geführt, im Europa der DSGVO nichts befürchten zu müssen.
Um herauszufinden, ob die bei Facebook verwendete E-Mail-Adresse in den obigen Datensätzen enthalten ist, kann die Webseite have I been pawned von Troy Hunt besucht wer. Der Betreiber überlegt unterdessen noch, ob er angesichts des massiven Datenlecks künftig auch die Suche nach Telefonnummern ermöglichen soll.
