Datenleck bei Facebook: Meta muss für 3 Millionen betroffene EU-Bürger 251 Mio. Euro zahlen

17.12.2024 18:22 Uhr

Die irische Datenschutzbehörde DPC hat Meta zu einer Strafzahlung in Höhe von 251 Millionen Euro verurteilt. Aufgrund eines Datenlecks bei Facebook im Jahr 2018 konnten Angreifer auf Millionen Nutzerdaten zugreifen.

Weltweit waren laut der Mitteilung der Irish Data Protection Commission (DPC) rund 29 Millionen Facebook-Konten. Davon ließen sich rund drei Millionen der EU oder dem Europäischen Wirtschaftsraum zuordnen.

Betroffen waren damals mehrere Datenkategorien. Zu diesen zählen der vollständige Name eines Nutzers, die E-Mail-Adresse, die Telefonnummer, der Wohnort, den Arbeitsort, das Geburtsdatum, Religion und Geschlecht sowie die Beiträge in der Timeline, die Gruppen und personenbezogene Daten von Kindern.

Fehler in Video-Upload-Funktion ermöglichte Profil-Zugriff

Die Schwachstelle entstand durch eine Video-Upload-Funktion, die Facebook im Juli 2017 einführte. Diese hatte auch eine „Ansehen-als“-Funktion, damit Nutzer sehen konnten, wie ihre Profilseite aussieht. Haben Nutzer nun den Video-Uploader gemeinsam mit dem Tool verwendet, das automatisiert Geburtstagsgrüße erstellt, konnte er einen Benutzer-Token für ein fremdes Profil erstellen, der ihn zum Zugriff auf alle Informationen berechtigt hat. Ausgehend von diesem Profil ließen sich auch noch Daten von weiteren Profilen abgreifen.

Die Angreifer hatten daraufhin ein Skript erstellt, dass diese Schwachstelle massenhaft ausnutzte. So konnten sie zwischen dem 14. September und 28. September 2018 die Informationen von 29 Millionen Facebook-Konten sammeln. Bei Facebook wurden die Vorgänge bemerkt, weil es zu einem ungewöhnlichen Anstieg bei den Video-Uploads kam. Die Funktion, die die Schwachstelle verursachte, wurde in der Folge dann entfernt.

Verstöße gegen mehrere DSGVO-Vorschriften

Weil Meta bei dem Datenleck gegen mehrere DSGVO-Vorschriften verstoßen hat, kommt es zu der Summe von 251 Millionen Euro. Laut der DPC sind dabei nicht nur die Schwachstellen auf Facebook ein Problem. Meta hat es auch versäumt, den Vorfall vollständig zu melden und die einzelnen Schritte sauber zu dokumentieren.

So erklärt der stellvertretende DPC-Direktor Graham Doyle: „Facebook-Profile können – und machen es oftmals – Informationen über religiöse und politische Überzeugungen, das Sexualleben und sexuelle Orientierungen und ähnliche Dinge enthalten, die ein Nutzer womöglich nur unter bestimmten Bedingungen preisgeben möchte.“ Wenn Fehler dazu führen, dass solche Profilinformationen für Angreifer abrufbar sind, handele es sich um ein großes Risiko für den Missbrauch dieser Daten, so Doyle.

Meta liegt bei DSGVO-Strafen auf Rang 1

Ungewohnt sind DSGVO-Strafen für Meta nicht. Laut einem Tracker für solche Verstöße ist Meta in der Top 10 sechsmal vertreten. Mit 1,2 Milliarden Euro hat der Konzern auch die bis dato höchste Summe zahlen müssen. Bei diesem Fall ging es um das Übermitteln von personenbezogenen Daten in die USA.

Bei dem aktuellen DPC-Beschluss hat Meta noch die Möglichkeit, Widerspruch einzulegen.

🎅 Nicht vergessen: Noch bis 18.12. läuft das große Nikolaus-Rätsel 2024. Zu gewinnen gibt es zwei High-End-PCs mit Ryzen 7 9800X3D oder Core Ultra 9 285K.