von Frank-Thomas Wenzel

420 Millionen Nutzer sind von einem neuem Datenskandal bei Facebook betroffen.

Ein neuer Datenskandal bei Facebook: Ein Sicherheitsexperte hat öffentlich zugängliche Datenbanken entdeckt, wo unter anderem die Telefonnummern von fast 420 Millionen Nutzern des Netzwerks verzeichnet waren. Der Fall wirft viele Fragen auf. Vor allem: Warum wurden die Informationen überhaupt zusammengestellt? Ein Sprecher des US-Konzerns bestätigte die Echtheit der Datensätze, wies aber darauf hin, dass sie „alt“ seien. Unbekannte hätten sie sich offenbar vor der Änderung von Nutzungsbedingungen im vergangenen Jahr besorgt. Die Datenbanken seien mittlerweile nicht mehr zugänglich. Es gehe keine Hinweise, dass Facebook-Zugänge kompromittiert worden seien, so der Sprecher. Mit gestohlenen Telefonnummern können Kriminelle enormen Schaden anrichten.

Die Informationen befanden sich auf einem Server, der über das Internet ohne ein Passwort zugänglich war. Betroffen waren laut US-Technologie-Blog Techcrunch unter anderem 133 Millionen Facebook-Nutzer aus den USA, 18 Millionen aus Großbritannien und 50 Millionen aus Vietnam. Jeder Datensatz enthielt die Facebook-Identitätsnummer und die dazugehörige Telefonnummer. Vielfach seien auch die Nutzernamen, das Geschlecht und das Herkunftsland erkennbar gewesen, so Techcrunch.

Auf Facebook gab es früher eine Funktion mit der Nutzer mittels der Telefonnummer nach Freunden suchen konnten. Sie wurde im April des vergangenen Jahres abgeschaltet, weil den Sicherheitsexperten des Unternehmens die Missbrauchsgefahren offensichtlich zu hoch waren. So konnten mit automatisierten Abfragen – dem sogenannten Scraping – Profile in großem Stil abgegriffen werden. Solche Praktiken verstoßen zwar gegen die Regelwerke von Facebook, doch sie waren seinerzeit problemlos technisch möglich. Auch die Foto-Plattform Instagram, die zum Facebook-Konzern gehört, hatte es mit Scraping-Attacken auf Nutzerdaten zu tun. Insider vermuten, dass es eine große Dunkelziffer von derartigen Angriffen bei sozialen Netzwerken gibt. Zifferkombinationen in riesiger Menge werden nach den bekannten Schemata der Rufnummer-Vergabe mit einen Suchalgorithmus durchprobiert, um Nutzerprofile zu finden.

Die nun bekannt gewordene Sicherheitslücke wurde von Computer-Wissenschaftler Sanyam Jain entdeckt, der für die GDI-Stiftung arbeitet, die sich für den Schutz der Kommunikation im Internet einsetzt. Jain fand in den Datenbanken unter anderem auch die Profile diverser Prominenter inklusive der Telefonnummern. Der Internet-Experte versuchte zunächst, den Besitzer der Datenbanken zu finden. Ohne Erfolg. Er meldete sich dann bei Techcrunch. Auch die Mitarbeiter des Blogs kamen nicht weiter. Sie informierten daraufhin den Administrator des Servers, der die Datenbanken offline stellte. Offen ist nach wie vor, wer die enorme Datenmenge gesammelt hat. Wann wurden die Informationen zusammengetragen? Und vor allem: Was war der Zweck?

Eine mögliche Erklärung wäre, dass Kriminelle am Werk waren, die die gestohlenen Telefonnummern nebst Nutzerdaten weiterverkaufen wollten. Sie könnten unter anderem genutzt werden, um Werbeanrufe zu tätigen. Auch ist es möglich, Passwörter zurückzusetzen und die Profile von Nutzern zu kapern.

Die bösartigste Masche mit Telefonnummern ist das sogenannte SIM-Swapping. Der Täter benötigt neben der Rufnummer in der Regel nur wenige weitere Informationen, um sich beim Mobilfunkbetreiber zu melden. Dort gibt er vor, sein Handy mit der SIM-Karte verloren zu haben. Der Täter erhält dann von dem Provider eine neue SIM-Karte und kann so einen fremden Mobilfunkanschluss für krumme Dinger nutzen. Im bislang spektakulärsten Vorfall hat ein 20-jähriger Student aus Kalifornien rund fünf Millionen Dollar an Kryptogeld erbeutet. Durch SIM-Swapping verschaffte er sich Zugriff auf die Passwörter von mehr als drei Dutzend Mobilfunknutzern. So konnte er deren digitale Geldbörsen plündern. Ein Gericht hat den Mann zu zehn Jahren Haft verurteilt.

Facebook ist in der Vergangenheit schon vielfach durch einen nachlässigen Umgang mit Nutzerdaten negativ aufgefallen. Der bislang schwerste Fall betraf rund 80 Millionen Profile, die die britische IT-Firma Cambridge Analytica absaugte, um den US-Präsidentschaftswahlkampf 2016 beeinflussen zu können.