Facebook: Telefonnummern von 267 Mio. Nutzern offen im Netz
In einer frei zugänglichen Datenbank waren über rund zwei Wochen persönliche Daten von ungefähr 267 Millionen Facebook-Nutzern offen im Netz abrufbar. Neben dem vollständigen Namen und der Benutzer-ID auf Facebook beinhaltete der Datensatz auch die Telefonnummer des Nutzers.
Die Cybersecurity-Firma Comparitech hat die Daten in Zusammenarbeit mit dem Sicherheitsforscher Bob Diachenko ausfindig gemacht und analysiert. Die Datenbank enthält insgesamt 267.140.436 einzelne Benutzer, deren persönliche Information veröffentlicht wurde. Erstmals tauchte die Datenbank am 4. Dezember dieses Jahres im Internet auf, am 12. Dezember erlangte Bob Diachenko Kenntnis von ihr und informierte den Internetprovider, der den IP-Adressraum des Servers, auf dem die Datenbank gespeichert ist, verwaltet. Seit dem 19. Dezember ist die Datenbank nicht mehr öffentlich zugänglich.
Herkunft der Daten unklar
Wie die Datendiebe an die Informationen gelangen konnten, ist noch nicht abschließend geklärt. Sie könnten sich über die Entwickler-API von Facebook Zugriff auf die Daten verschafft haben, bevor Facebook den Zugriff im Zuge des Cambridge-Analytica-Skandals beschränkt hat. Telefonnummern waren dabei auch für externe Entwickler bis ins Jahr 2018 zugänglich. Eine weitere Möglichkeit wäre eine Sicherheitslücke in der API von Facebook, die Dritten auch weiterhin den Zugriff auf die eigentlich gesperrten Informationen ermöglicht.
Auch öffentliche Profile mögliche Ursache
Aber auch das automatisierte Zusammentragen von öffentlichen Informationen auf den Facebook-Profilen, beispielsweise wenn die Nutzer ihre Telefonnummer auf Facebook nicht verstecken, ist eine durchaus in Betracht zu ziehende Möglichkeit, wie die 267 Millionen Datensätze entstanden sind.
Facebook hat gegenüber CNet die Echtheit der Daten bestätigt und geht nach bisherigen Erkenntnissen davon aus, dass sie aus der Zeit stammen, als Entwickler noch Zugriff auf diese Informationen hatten.
Die meisten Daten stammen von Nutzern aus den USA. Die Spracheinstellungen des Servers, auf dem die Datenbank abgelegt war, deuten auf vietnamesische Täter hin. Welche – wahrscheinlich kriminellen – Absichten hinter der Sammlung dieser Daten in der gefundenen Datenbank stecken, ist bislang völlig unbekannt.
Erst im September dieses Jahres war eine ähnliche Datenbank mit 419 Millionen Datensätzen aufgetaucht, die neben der User-ID ebenfalls die Telefonnummer und auch den Namen, die Staatsangehörigkeit und mitunter das Geschlecht der Nutzer enthielt.