Diese Woche war nicht gerade eine Freude für Datenschützer oder Nutzer sozialer Netzwerke: Bei Linkedin sind Nutzerdaten abhandengekommen, ebenso bei Facebook. In beiden Fällen beläuft sich die Zahl der Betroffenen auf ungefähr eine halbe Milliarde.
Nun kann man sich fragen, wie schlimm das ist. Das ist nicht ganz einfach abzuschätzen, da man wissen müsste, welche Informationen die Daten erbeutet haben.
Keiner der Newsbeiträge, die ich zu dem Thema gelesen habe, hat dazu ausreichend handfeste Angaben gemacht – und mir die Daten zu besorgen, um selbst nachzusehen, kam nicht infrage. Am deutlichsten war bleepingcomputer.com:
Die gestohlenen Daten tauchten erstmals im Juni 2020 in einer Hacker-Community auf. Damals wollte ein Mitglied die Daten verkaufen. (…) Die verkauften Daten umfassten 533’313’128 Facebook-Nutzer mit Angaben wie Handynummer, Facebook-ID, Name, Geschlecht, Wohnort, Beziehungsstatus, Beruf, Geburtsdatum und E-Mail-Adressen.
Sowohl bei Facebook als auch bei Linkedin haben die Diebe die Daten mit dem Mittel des Scrapings abgegriffen. Scraping ist eine gängige Technik, die automatisiert erfolgt und es erlaubt, Informationen von Websites in eine Datensammlung zu überführen.
Eine gute Nachricht. Oder?
Das ist erstmal eine gute Nachricht, denn via Scraping lassen sich nur Daten abgreifen, die offen im Netz stehen. Um an geschützte Informationen zu gelangen, müssten Datendiebe in ein System einbrechen – und das ist offenbar hier nicht geschehen.
Allerdings zeigt sich bei näherer Betrachtung, dass im Fall von Facebook das Scraping auch Informationen abhandengekommen sind, die nicht offen im Netz standen. Im Bestand mit den gestohlenen Daten sind Handynummern von Leuten enthalten, die der Veröffentlichung ihrer Nummer auf Facebook nicht zugestimmt haben. (Ich gehöre zu diesen Leuten.)
Da fragt man sich schon, wie das passieren kann.
Facebook macht in einem länglichen Beitrag eine Andeutung zu dieser Frage. Es wird im Blogpost erst einmal erklärt, dass die Daten schon 2019 verschwunden seien und die Methode, die damals verwendet wurde, heute nicht mehr möglich sei. Dass die gestohlenen Daten weiterhin im Besitz gewisser Leuten sind und jederzeit wieder in Umlauf gebracht werden können, ändert sich durch die neuen Schutzmassnahmen von Facebook aber leider nicht, wie das Aufflammen der Affäre im April 2021 zeigt.
Facebook möchte beschönigen
Dann, zwischen viel Wortgetöse, erfolgt das Geständnis, dass der Angriff über den Kontaktimporter stattgefunden hat:
Wir glauben, dass die fraglichen Daten von böswilligen Akteuren aus den Facebook-Profilen von Personen abgegriffen wurden, die unseren Kontaktimporter vor September 2019 verwendet haben. Diese Funktion wurde entwickelt, um Menschen zu helfen, ihre Freunde zu finden, mit denen sie sich auf unseren Diensten über ihre Kontaktlisten verbinden können.
Nun, diese Formulierung ist natürlich beschönigend, denn wie problematisch dieser Kontaktimporter ist, wusste man auch schon vor dieser neuesten Affäre: Er macht Facebook auch Kontakte von Leuten zugänglich, die überhaupt nicht bei Facebook sind und auch niemals zugestimmt haben, dass ihre Daten gesammelt werden. Immerhin: So weit ich gelesen habe, sind keine Daten von Nichtmitgliedern in der fraglichen Datensammlung enthalten.
Auch Linkedin hat sich zum Datendiebstahl geäussert, wenngleich insgesamt mit deutlich weniger Worten:
Es handelt sich bei den zum Verkauf angebotenen Informationen um öffentlich einsehbare Mitgliederprofile, die anscheinend von LinkedIn abgegriffen worden sind. Es handelte sich nicht um ein Einbruch, und es sind offenbar keine privaten Mitgliedskontodaten enthalten.
Was lernen wir daraus?
Grober Schlendrian
Wir kommen zum Schluss, dass bei Facebook zumindest 2019 noch immer ein ziemlicher Schlendrian herrschte, was den Umgang mit Nutzerdaten angeht. Dass eine nicht öffentliche Handynummer durch simples Scraping in falsche Hände gerät, darf einfach nicht passieren.
Aber da genau solche Dinge bei Facebook andauernd passieren, muss man als Nutzerin unweigerlich den Schluss ziehen, dass man diesem sozialen Netzwerk nur Informationen anvertrauen darf, bei denen es kein Beinbruch ist, wenn sie in die Öffentlichkeit gelangen.
Wie oben angedeutet, weiss ich dank haveibeenpwned.com, dass meine Handynummer mit tätiger Mithilfe von Facebook in Umlauf geraten ist. Das ist ärgerlich, zumal ich die tatsächlich unter Verschluss halten wollte. Allerdings müssen wir uns wahrscheinlich damit abfinden, dass Handynummern sich, genau wie E-Mail-Adressen, nicht geheim halten lassen.
Zurück zur Frage, wie schlimm das ist. Wird sich dadurch die Zahl der Werbeanrufe erhöhen? Ich glaube nicht, weil die Telefonspammer längst nicht mehr darauf angewiesen waren, die Nummer in irgend einem Verzeichnis vorzufinden. Denn Handynummern lassen sich erraten – noch viel einfacher, als das bei E-Mail-Adressen der Fall ist. Und wie mir ein Marktforschungsinstitut einmal bestätigt hat, wird genau das gemacht: Es werden sämtliche Handynummern der Reihe nach abtelefoniert, ohne dass die Anrufer im Voraus wissen, ob eine Nummer vergeben ist – und an wen.
Keine Entlassung aus der Verantwortung
Komplett harmlos ist die Sache jedoch nicht – und deshalb sollten wir Facebook und Linkedin auch nicht leichtfertig aus der Verantwortung entlassen.
Eine Gefahr, die von Sicherheitsexperten angeführt wird, besteht darin, dass sich anhand der umfangreichen Daten Phishing-Mails oder SMS überzeugender abfassen lassen – denn je mehr echte Details eine solche Nachricht enthält, desto glaubwürdiger wirkt sie. Nutzerinnen müssen daher erhöhte Wachsamkeit an den Tag legen.
Heise warnt ausserdem vor dem SIM-Swapping. Bei dem fordert ein Betrüger beim Telefonanbieter eine SIM-Karte für den Anschluss seines Opfers an. Mit dieser SIM-Karte kann er den übernehmen und auf diese Weise auch die Zwei-Faktor-Authentifizierung aushebeln. Mit dieser Masche ist es gelungen, den Twitter-Account des Chefs persönlich, Jack Dorsey, zu übernehmen.
Allerdings scheint es mir wenig sinnvoll, sich als Schutzmassnahme vor dem SIM-Swapping darauf zu beschränken, die Mobilfunknummer geheim zu halten. Der Nutzen einer solchen Nummer ist nun einmal nur dann gegeben, wenn man sie Kommunikationspartnern zur Verfügung stellen kann. Darum liegt es in der Verantworung der Mobilfunkanbieter, SIM-Karten nur nach einer soliden Identitätsprüfung herauszugeben.
Beitragsbild: Wo ist deine Skimaske, mein guter Freund (Saksham Choudhary, Pexels-Lizenz)?