Diese Meldung sorgte am Wochenende für Furore: Die persönlichen Daten von über 533'000'000 Facebook-Usern – darunter Vor- und Nachnamen sowie Handynummern – sind in dubiosen Hackerforen aufgetaucht. Darunter auch jene von über einer Million Personen aus der Schweiz.
Die Datensätze stammten aus dem Jahr 2019: Sie wurden damals abgesogen und mehrfach zum Verkauf angeboten. Erst jetzt wurden sie jedoch frei zugänglich – zumindest für jene, die wussten, wer solche Daten wo anbietet. Der Social-Network-Riese Facebook stellte sich auf den Standpunkt, dass es alte Daten seien, über den Leak längst berichtet wurde und das Problem bereits behoben wurde.
Betroffene ärgerten sich am Osterwochenende trotzdem, wie Reaktionen auf Twitter und Co. zeigten. Facebook verzichtete nämlich darauf, ein weiteres Mal über das Leck zu informieren, obschon durch die weite Verbreitung der Daten ein massives Missbrauchspotential geschaffen wurde. Stalker:innen können jetzt einfacher Handynummer und Wohnorte herausfinden. Psychologische Manipulation durch vertrauliche Daten (Stichwort Social Engineering) wird ebenfalls vereinfacht.
This is old data that was previously reported on in 2019. We found and fixed this issue in August 2019. https://t.co/mPCttLkjzE
— Liz Bourgeois (@Liz_Shepherd) April 3, 2021
watson stellte deshalb an Ostersonntag ein einfaches Abfragetool zur Verfügung. Dieses durchsuchte den geleakten Datensatz von Personen mit einem Schweiz-Bezug, wo insgesamt 1'585'488 Personendaten enthalten waren. Darunter auch die Handynummern von Regierungsmitgliedern.
Dieses Tool war datenschutzmässig so konzipiert, dass es die eingegebene Handynummer verschlüsselt überträgt und ein einfaches «gefunden» oder «nicht gefunden» zurückgibt. Die persönlichen Daten der Leserinnen und Leser wurden nicht gespeichert und nach der Abfrage vernichtet. Es wurde lediglich erfasst, welche IP-Adresse wann eine Anfrage stellte und was das Ergebnis der Überprüfung war.
Eine erste Auswertung zeigt: seit Sonntagabend haben fast 40'000 User das Tool benutzt. Bei rund 9000 von ihnen war die Handynummer frei im Internet zugänglich. Rund 30'000 mal fanden sich keine Hinweise auf geleakte Datensätze. Das Interesse am Abfragetool war enorm: Zeitweise wurden über 500 Handynummern pro Minute abgefragt, die Positivitätsrate betrug insgesamt rund 23 Prozent.
Möglich war das Datenleck durch eine Technik namens «Scraping». Dabei werden öffentliche Daten auf Webseiten durch automatisierte Abfragen systematisch abgesogen. Sprich: Facebook hatte es selbst ermöglicht, dass Betrüger:innen an die Daten herankommen. Früher konnten Facebook-User nämlich über die Suchfunktion allein anhand der Telefonnummer gefunden werden.
Diese automatisierten Datenabfragen verstiessen zwar gegen die Facebook-Regeln. Sie waren aber technisch möglich und sorgten dafür, dass Datenschutz-Skandale rund um Camebridge Analytica oder Clearview AI aufkamen. Facebook hat mittlerweile dieses systematische Scraping erschwert. Der aktuelle Datenleck zeigt jedoch, dass Daten öffentlich bleiben, wenn sie einmal abgegriffen wurden.