Die Telefonnummern von rund 420 Millionen Facebook-Usern waren frei über das Internet (Web) zugänglich. Die Online-Datenbank scheint aus bei Facebook öffentlich abrufbaren Informationen zusammengestellt worden zu sein.
Der amerikanische Social-Media-Konzern versuchte am Mittwoch zu beschwichtigen und erklärte, es gebe keinen Hinweis darauf, dass damit Accounts gehackt worden seien.
Ob Schweizer direkt betroffen sind, ist nicht bekannt.
Es ist zur Zeit unklar, wer die Datenbank erstellt und hochgeladen hat. Laut Facebook handelt es sich dabei um alte Daten. Sie seien anscheinend gesammelt worden, bevor das Online-Netzwerk im vergangenen Jahr die Möglichkeit abschaffte, Bekannte mit Hilfe ihrer Telefonnummer zu finden.
Die Datei mit den Telefonnummern hatte ein IT-Sicherheitsforscher entdeckt und darauf der US-Techblog TechCrunch hingewiesen. Sie sei unverschlüsselt zugänglich gewesen und inzwischen entfernt worden.
Dies sei die jüngste sicherheitsrelevante Verfehlung in Zusammenhang mit Facebook-Daten nach einer Reihe von Vorfällen seit dem Cambridge-Analytica-Skandal, bei dem mehr als 80 Millionen Profile missbräuchlich verwendet wurden.
Unter den Telefonnummern seien 133 Millionen Facebook-Nutzer aus den USA gewesen, wie auch 18 Millionen aus Grossbritannien und über 50 Millionen aus Vietnam.
Aber nicht nur das: Die Datenbank-Einträge enthielten offenbar auch weitere Angaben, etwa zum Geschlecht, wie ein von Tech Crunch veröffentlichter Screenshot zeigt.
Zum einen droht exponierten Handynutzern, dass sie mit unerwünschten Werbenachrichten (Spam) und personalisierten Phishing-Versuchen (Spear Phishing) attackiert werden.
Die grösste Gefahr bei persönlichen Kontaktdaten ist, dass Kriminelle sie nutzen könnten, um Account-Passwörter zurückzusetzen und die Profile zu kapern. Dies wäre durch eine Angriffsmethode möglich, die SIM-Swapping genannt wird: Ein Angreifer bringt den Kundendienst eines Mobilfunk-Providers dazu, eine Handynummer neu zu vergeben. Das ist nur schwer vorstellbar, scheint aber immer wieder zu funktionieren, wie publik gemachte Fälle demonstrieren.
Gerade erst hat Twitter mitgeteilt, dass wegen eines solchen Angriffs der Funktionsumfang eingeschränkt werde.
We’re taking this step because of vulnerabilities that need to be addressed by mobile carriers and our reliance on having a linked phone number for two-factor authentication (we’re working on improving this).
— Twitter Support (@TwitterSupport) September 4, 2019
Facebook hatte bereits im April 2018 eingeräumt, dass die Freunde-Suche nach Telefonnummern dazu missbraucht wurde, Daten abzugreifen, und schaltete die Funktion ab.
(dsc/sda/dpa)
