Facebook hat einmal mehr Erklärungsbedarf.

Foto: Marcio Jose Sanchez / AP

Was passiert, wenn ein Soziales Netzwerk in der Größe von Facebook bei der Sicherheit patzt, zeigt ein aktueller Vorfall auf für die Nutzer äußerst unerfreuliche Weise: Die Telefonnummern von 533 Millionen Facebook-Usern sind vor kurzem in einem Hacker-Forum veröffentlicht worden, und finden seitdem rege Verbreitung im Netz.

Zu den Betroffenen zählen auch zahlreiche User aus Österreich, eine statistische Auswertung spricht von mehr als 1,2 Millionen heimische Konten.

Leak

Öffentlich gemacht hat diesen Vorgang Alon Gal, Technikchef der auf Cyberkriminalität spezialisierten Firma Hudson Rock. Dieser hat auch gleich eine Erklärung für die Herkunft des Datensatzes parat: Ursprung dürfte eine 2019 bekannt gewordene aber nur wenig berichtete Sicherheitslücke bei Facebook gewesen sein. Ein Fehler in der "Add Friend"-Funktion erlaubt es, die Telefonnummer beliebiger User abzufragen.

Facebook reagierte damals zwar öffentlich rasch und bereinigte das Problem, wie sich nun zeigt offenbar aber nicht rasch genug. Unbekannten Angreifern war es in der Zwischenzeit bereits gelungen, automatisiert die Daten von hunderten Millionen Usern abzugreifen.

Das bedeutet natürlich auch, dass die Daten wohl schon länger in einschlägigen Kreisen kursieren. Laut einem Bericht von Bleeping Computer soll auch der Datensatz zunächst für 30.000 US-Dollar weiterverkauft worden sein. Anschließend habe jemand anderes auf diesem Material basierend einen Bot geschrieben, der in einem privaten Telegram-Kanal Interessierten gegen Bezahlung das Suchen nach einzelnen Usern und deren Daten ermöglichte.

Wertlos?

Dass die Daten jetzt öffentlich werden, dürfte vor allem daran liegen, dass sie mittlerweile ihren Wert verloren haben. Das heißt, dass sie wohl bereits so viele Spammer und andere Kriminelle in ihrem Besitz haben, dass sie recht günstig zu bekommen sind, und sich einer der Käufer nun dazu entschlossen hat, die Daten gleich ganz frei zu geben.

Die Daten wurden bereits Mitte 2020 in Hacker-Foren zum Verkauf angeboten.
Grafik: Bleeping Computer

Mail-Adressen

In dem Datensatz finden sich neben den Telefonnummern auch allerlei andere persönliche Details zu den betroffenen Usern. Dabei handelt es sich aber soweit ersichtlich vor allem um öffentlich angegebene Informationen – also neben Name auch Wohnort, Geburtsdatum, Facebook ID, Geschlecht oder Beziehungsstatus. Die Zahl der mit den Kontodetails verbundenen E-Mail-Adressen ist hingegen relativ gering – aber eben nur relativ. In absoluten Zahlen ist noch immer von 2,5 Millionen Einträgen die Rede.

Diese wurden mittlerweile auch bei "Have I been Pwned" eingearbeitet, einer Seite auf der Nutzer schnell überprüfen können, ob ihre Mail-Adresse in einem Hack vorgekommen ist – und wenn ja in welchem. Der Betreiber dieses Dienstes, Troy Hunt, überlegt unterdessen noch, ob er angesichts des massiven Datenlecks künftig auch die Suche nach Telefonnummern ermöglichen soll – und wenn ja auf welche Weise.

Reaktion

Bei Facebook versucht man angesichts der aktuellen Berichte zu kalmieren. Die erwähnten Daten seien alt, es gebe also keinen neuen Angriff. Die zugrundeliegende Lücke sei, wie erwähnt, 2019 gefunden und bereinigt worden. Ob den betroffenen Usern solch ein kurzes Statement reicht, ist aber eine ganz andere Frage. Immerhin hätte Facebook eigentlich merken müssen, dass damals die Daten von mehreren hundert Millionen Usern abgegriffen wurden – und diese allesamt warnen müssen. Das sieht auch Sicherheitsexperte Gal so, und wirft dem Unternehmen "absolute Nachlässigkeit" vor.

Für die betroffenen Nutzer gibt es hingegen derzeit wenig, was sie tun können – außer noch vorsichtiger in Hinblick auf Spam- und Phishing-Angriffe zu sein. Immerhin nutzen solche Attacken oft private Informationen der User, um Vertrauenswürdigkeit vorzustellen. Für die meisten Facebook-User bedeutet dies jedenfalls, dass sie davon ausgehen sollten, dass ihre Telefonnummer öffentlich bekannt ist – zumindest jene aus dem Jahr 2019. (Andreas Proschofsky, 4.4.2021)