Wenn Hacker legale Wege nutzen ... Die gigantischen Datenpannen bei Facebook und LinkedIn

Anfang 2020 hatte ein IT-Sicherheitsforscher das bis dahin wohl größte Datenleck in der Geschichte der Bundesrepublik aufgespürt: Kundendaten der Autovermietung Buchbinder waren über mehrere Wochen frei zugänglich im Internet verfügbar.

Anfang 2020 hatte ein IT-Sicherheitsforscher das bis dahin wohl größte Datenleck in der Geschichte der Bundesrepublik aufgespürt: Kundendaten der Autovermietung Buchbinder mit einem Volumen von 10 Terabyte waren über mehrere Wochen frei zugänglich im Internet verfügbar – mehrere Millionen Dateien zu 3,1 Millionen Buchbinder-Kunden. Inzwischen wissen wir, dass auch solche Dimensionen mühelos getoppt werden können: vom Business Social-Netzwerk LinkedIn und von Facebook.

Eine Milliarde Datensätze auf dem Schwarzmarkt

Sie möchten qualifizierte Nutzerdaten in rauen Mengen? Bitte schön, wählen Sie sich einfach in ein einschlägiges Hackerforum ein (dessen Namen wir hier nicht nennen) und studieren Sie folgendes Angebot: „LinkedIn Scraped Emails, phone and full 2m Profiles“ von anonymer Seite.“ Zwei Millionen Nutzerdaten von LinkedIn als Kostprobe. „Also selling 500m Profiles, pm me for price $$$$ minimum“ heißt: 500 Millionen Daten für einen mindestens vierstelligen Betrag in Dollar. So weit, so einfach. Für Microsoft, unter dessen Dach LinkedIn firmiert, ist das eine Katastrophe – wie auch für Millionen dem Datenschutzversprechen des Netzwerks vertrauenden Nutzern. Wem Daten zu einer halben Milliarde Businessleuten nicht reichen, kann sich auch bei Facebook eindecken. Hier sind neuerdings Informationen von ebenfalls 500 Millionen Usern erhältlich, wenn man weiß, wo, und die geforderten Summen zu zahlen bereit ist.

Hacker nutzen Scraping-Hintertürchen

Wie konnten Datenklauern diese Mega-Fischzüge gelingen? Offenbar über typische Sicherheitslücken, wie sie immer wieder von IT-Spezialisten diskutiert werden. So ist es versierten Hackern möglich, diese Schwächen mit selbst geschriebenen Programmen auszunutzen, die unzählige Nutzerprofile aufrufen und kopieren. Eine dieser Sicherheitslücken bei Facebook ist ein Tool, mit dem einmal das Suchen nach Handynummern von Freunden ermöglicht werden sollte. Hacker schlugen dort zu und zapften Telefonnummern im Millionenbereich ab. Dieses Vorgehen nennt sich Scraping, ist bei Facebook nicht erlaubt und dennoch nicht einmal das Ausnutzen eines Datenlecks im herkömmlichen Sinn. Hierbei werden lediglich strukturelle Funktionen ausgenutzt. Man muss nur genug Spürsinn und kriminelle Energie aufbringen, um solche Türen in die Datenwelt des Internetgiganten mehr oder weniger problemlos betreten zu können. Das einzige, was hier sicher ist, dürfte der Umstand sein, dass die Opfer dieser Form der Datennutzung nie zugestimmt haben. Wer sich noch erinnert, auch in der Causa Cambridge Analytica wurde Scraping genutzt, was Facebook damals eine Strafe von 5 Milliarden Dollar einbrachte.

Ein Datenleck, das eigentlich keins ist

Nicht nur Telefonnummern machen die Diebesbeute aus – auch die mit ihren Nutzern verbundenen Geburtsdaten und Wohnorte. So ist unter anderem die Handynummer von Facebook-Mogul Mark Zuckerberg öffentlich zu haben. Facebook und LinkedIn haben sich indes auf einen Kurs der Beschwichtigung verlegt: Die Datendiebe haben an sich öffentlich zugängliche Informationen eingesackt und damit zwar gegen die Nutzungsbedingungen verstoßen – mehr aber auch nicht. Dass dies nicht in mühevoller Kleinarbeit, sondern in einem großen Schlag erfolgte, kam bei den betroffenen Konzernen nicht zur Sprache. Aber erst das Volumen macht den Datenschatz für Anwender aus den verschiedensten legalen und illegalen Bereichen so wertvoll.

Was könnte passieren?

Phishing-Gauner könnten Facebook-Nutzer mit automatisierten Mails ansprechen, die beispielsweise als Geburtstagsgrüße eines großen Internetanbieters getarnt sind. Am Telefon könnten sich Betrüger Vorteile verschaffen, indem sie Angaben machen, die eine nähere Bekanntschaft vortäuschen. In den USA, wo nicht so strenge Datenschutzgesetze wie in Europa gelten, lassen sich mit der Eingabe des Namens und des korrekten Geburtsdatums SMS betrügerisch manipulieren.

Irlands Datenschützer auf den Plan gerufen

Immerhin: Die bei Facebook abgesaugten Daten stammen noch aus dem Jahr 2019, das Einfallstor für Hacker ist seitdem geschlossen. Womit es sich für die Social-Media-Plattform erübrigt, die betroffenen Nutzer in Kenntnis zu setzen. Damit verstößt Facebook jedoch gegen die seit 2018 geltende DSGVO, die eine Benachrichtigung der Nutzer bei einem nicht zugestimmten Datenabfluss verlangt. Dabei ist unerheblich, ob es sich um ein Datenleck oder ein funktionelles Problem handelt. Weil die Europazentrale von Facebook in Dublin sitzt, wird sich nun die irische Datenschutzbehörde des Falls annehmen. Diese hat eine Untersuchung angekündigt. Sie wird wahrscheinlich darauf hinauslaufen, dass Facebook zumindest gezwungen werden soll, seine Millionen Nutzer in Europa nach ähnlichen Datenabgriffen zu warnen. Für Datenschützer und viele Facebook-Anwender dürfte das freilich zu wenig sein.