Facebook und LinkedIn mit erstaunlichen Datenlecks

Vor gut einem Jahr fand ein IT-Sicherheitsexperte ein Datenleck bisher unbekannten Ausmaßes in Deutschland. Doch da haben gerade die Internetgiganten Facebook und LinkedIn in weit größerer Dimension nachgelegt.

Der Schwarzmarkt für Daten floriert

Befinden Sie sich zufällig auf der Suche nach Nutzerdaten in riesigen Dimensionen? Da hilft Ihnen ein bekanntes Hacker-Forum (der Name bleibt geheim), und sie werden auf Angebote wie dieses stoßen: „LinkedIn Scraped Emails, phone and full 2m Profiles“ von anonymer Seite.“ Zwei Millionen Nutzerdaten von LinkedIn als Kostprobe. „Also selling 500m Profiles, pm me for price $$$$ minimum“ heißt: 500 Millionen Daten für einen mindestens vierstelligen Betrag in Dollar. So weit, so einfach. Für Microsoft, unter dessen Dach LinkedIn firmiert, ist das eine Katastrophe – wie auch für Millionen dem Datenschutzversprechen des Netzwerks vertrauenden Nutzer. Wem Daten zu einer halben Milliarde Businessleuten nicht reichen, kann sich auch bei Facebook eindecken. Auch hier sind mehrere Hundert Millionen User im Angebot, wer die Zahlungsmodalitäten kennt, kann nach Lust und Laune zuschlagen.

Hintertürchen: Scraping macht beinahe alles möglich

Doch auf welche Weise konnten die Datendiebe so erfolgreich sein? Es müssen offensichtliche Lücken in den Sicherheitssystemen vorliegen, was von IT-Experten allerorten diskutiert wird. So ist es versierten Hackern möglich, diese Schwächen mit selbstgeschriebenen Programmen auszunutzen, die unzählige Nutzerprofile aufrufen und kopieren. Eine dieser Sicherheitslücken bei Facebook ist ein Tool, mit dem einmal das Suchen nach Handynummern von Freunden ermöglicht werden sollte. Hacker schlugen dort zu und zapften Telefonnummern im Millionenbereich ab. Dieses Vorgehen nennt sich Scraping, ist bei Facebook nicht erlaubt und dennoch nicht einmal ein Datenleck im herkömmlichen Sinn. Hierbei werden lediglich strukturelle Funktionen ausgenutzt. Man muss nur genug Spürsinn und kriminelle Energie aufbringen, um solche Türen in die Datenwelt des Internetgiganten mehr oder weniger problemlos betreten zu können. Das einzige, was hier sicher ist, dürfte der Umstand sein, dass die Opfer dieser Form der Datennutzung nie zugestimmt haben. Das erinnert sofort an den Fall von Cambridge Analytika. Der spektakuläre Fall brachte Facebook die gigantische Strafe von fünf Milliarden Dollar ein.

Datenlecks präsentieren sich vielseitig

Begehrt sind auf dem Datenmarkt nicht nur Handynummern oder Festnetz-Telefonnummern. Ebenso begehrt sind Adressdaten und Angaben zur Geburt der Nutzer. Auch Facebook-Chef Mark Zuckerberg selbst ist vor den Kriminellen nicht sicher. Denn auch seine Handynummer soll für ein paar Dollar zu bekommen sein. Facebook und LinkedIn haben sich indes auf einen Kurs der Beschwichtigung verlegt: Die Datendiebe haben ansich öffentlich zugängliche Informationen eingesackt und damit zwar gegen die Nutzungsbedingungen verstoßen – mehr aber auch nicht. Dass dies nicht in mühevoller Kleinarbeit, sondern in einem großen Schlag erfolgte, kam bei den betroffenen Konzernen nicht zur Sprache. Der große Wert der gestohlenen Daten entsteht erst durch die gigantische Menge.

Welche Szenarien sind denkbar?

Eine beliebte Methode sind Phishing-Mails in Form von getarnten Geburtstagsgrüßen, etwa an Nutzer von Facebook. Am Telefon könnten sich Betrüger Vorteile verschaffen, indem sie Angaben machen, die eine nähere Bekanntschaft vortäuschen. Gerade in den Vereinigten Staaten lässt sich mit betrügerischen SMS rasch ein lukratives Geschäft installieren. Denn in den USA sind die Datenschutzgesetze nicht annähernd so streng wie in Europa.

Datenschutzbehörden Irlands sind alarmiert

Glücklicherweise sind die bei Facebook verschwundenen Daten aus dem Jahr 2019 inzwischen wieder vollumfänglich geschützt. Für Facebook heißt dies, dass die betroffenen Nutzer nun nicht mehr über die Vorfälle informiert werden müssen. Damit verstößt Facebook jedoch gegen die seit 2018 geltende DSGVO, die eine Benachrichtigung der Nutzer bei einem nicht zugestimmten Datenabfluss verlangt. Dabei ist unerheblich, ob es sich um ein Datenleck oder ein funktionelles Problem handelt. Weil die Europazentrale von Facebook in Dublin sitzt, wird sich nun die irische Datenschutzbehörde des Falls annehmen. Diese hat eine Untersuchung angekündigt. Sie wird wahrscheinlich darauf hinauslaufen, dass Facebook zumindest gezwungen werden soll, seine Millionen Nutzer in Europa nach ähnlichen Datenabgriffen zu warnen. Dies wird den Datenschutzbehörden und natürlich auch den Facebook-Nutzern selbst in den meisten Fällen nicht weit genug gehen.