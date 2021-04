500 Millionen Datensätze zu Facebook-Nutzern landeten gerade im Netz - inklusive Telefonnummern und Mail-Adressen. Das Unternehmen ist sich offenbar keiner Schuld bewusst. Und schiebt in einem Blogpost den Schwarzen Peter lieber den Nutzern zu.

Telefonnummern, Namen, Mail-Adressen und persönliche Infos zu 500 Millionen Menschen - für jeden im Internet herunterladbar. Das ist die erschreckende Bilanz des letzten Datenlecks bei Facebook. Nun hat sich der Konzern in einem Blogpost zum ersten Mal zu den Hintergründen geäußert. Und ist sich offenbar keiner Schuld bewusst.

Das zeigt schon der Einstieg des Blogposts. "Es ist wichtig zu verstehen, dass böswillige Akteure die Daten nicht bekommen haben, indem sie unsere Server gehackt haben, sondern indem sie sie von unserer Plattform abgegriffen haben", betont der Konzern gleich im ersten Absatz. Und führt dann aus: "Dabei handelt es sich um eine Methode, mit automatisierter Software öffentliche Informationen aus dem Internet aufzusammeln, die dann in dieser Art verbreitet werden können. Die Daten, so suggeriert es der Post, seien also ohnehin immer öffentlich abrufbar gewesen.

Bloß keine Schuld

Die sich zunächst sehr nach Wortklauberei anhörende Unterscheidung zwischen Hack und Abfischen dürfte kein Versehen sein. Während bei einem Hack auch Facebook die Verantwortung für den Diebstahl der Daten tragen würde, wären für das Abfischen vor allem die Nutzer verantwortlich. Schließlich hätten die ihre Daten öffentlich angeboten, so die unterschwellige Unterstellung. Die Taktik ist nicht neu: Auch als Facebook über die Datenkrake Cambridge Analytica indirekt die Trump-Kampagne mit maßgenauen Nutzerinformationen versorgt hatte, argumentierte der Konzern im Nachhinein auf diese Weise.

Doch ganz so einfach scheint der aktuelle Fall nicht zu sein. Nachdem Facebook einige Tage lang versuchte zu behaupten, die Daten wären eigentlich aus längst bekannten Datenleaks zusammengeklaubt, musste der Konzern nun zugeben, dass sie vermutlich doch in einem Zugriff direkt erlangt wurden. "Wir glauben, dass die betroffenen Daten mithilfe des Kontaktimport-Tools aus den Profilen abgegriffen wurden", erklärt der Konzern im Blogpost. Das sei eigentlich dazu gedacht, "einfach über die Kontaktlisten seine Freunde zu finden", lobt der Post.

Abermillionen Freunde bei Facebook

Das lenkt aber vom eigentlichen Problem ab. Lädt man sein Adressverzeichnis bei Facebook hoch, gleicht der Konzern es mit dem eigenen Adressbuch ab und liefert die passenden Freunde im Netzwerk. Doch die Angreifer scheinen genau diese oben von Facebook gelobte Funktion für ihre Zwecke genutzt zu haben. "Im Endeffekt haben die Angreifer ein Adressbuch mit sämtlichen Telefonnummern der Welt angelegt und dann Facebook gefragt, ob die 'Freunde' darin bei Facebook sind", erklärt der Sicherheitsexperte Mikko Hypponen. Dass das möglich ist, ist aber kaum die Schuld der Nutzer - sondern des Konzerns, dem sie die Daten anvertraut haben.

Das sehen zumindest die Experten so. "An welchem Punkt hat Facebook zugegeben: Wir haben da einen Fehler im System und wir haben ihn behoben, damit andere nicht betroffen sind?" fragte Ashkan Soltani, der früher Technikkchef der US-Regulierungsbehörde FTC war, gegenüber "Wired". "Ich erinnere mich nicht daran, dass Facebook das je getan hätte."

Dass es sich um größtenteils öffentliche Daten handelt, macht den Leak für Experten nicht weniger gefährlich. "Es ist einfach falsch zu glauben, die Lücke sei weniger dramatisch, weil sie keine Passwörter oder andere hochsensible Daten enthält", sagte Experte Zack Allen gegenüber "Wired". Über die Telefonnummer hätten die Angreifer nicht nur den passenden Namen zu der Nummer von Facebook bekommen. Sondern über das Profil auch zahlreiche weitere Daten, die sich etwa bei Betrugsmaschen nutzen lassen.

Keine neuen Schutzmaßnahmen

Dass Angreifer über das Kontakttool Daten abfischen konnten, wusste Facebook schon lange: Bereits 2017 habe er den Konzern vor dieser Möglichkeit gewarnt, berichtet Hacker Inti De Ceukelaire bei Twitter. In einem Blogpost hatte er damals sogar beschrieben, wie er eigentlich versteckte Nummern bei Facebook sichtbar machen konnte. Tatsächlich haben mehrere Nutzer in sozialen Medien Facebooks Darstellung widersprochen, es seien nur Nutzer mit öffentlich einsehbaren Nummern betroffen. "Mein Account ist seit 2015 geschlossen. Trotzdem sind meine Daten in der Lücke von 2019 enthalten", klagte etwa Pierre Abi-aad bei Twitter.

Wie Facebook die Daten in Zukunft besser schützen will, verrät der Konzern nicht. Man habe die genutzte Methode bereits 2019 geändert. "Während wir nicht immer verhindern können, dass solche Datensätze herumgehen oder neue entstehen, haben wir ein eigenes Team, das sich genau darum kümmert", versichert der Konzern. Statt die betroffenen Nutzer zu informieren, schlägt Facebook allerdings vor, dass die sich lieber selbst um den Schutz ihrer Daten kümmern sollen. "Es ist immer gut zu prüfen, ob die eigenen Privatsphäre-Einstellungen mit dem übereinstimmen, was man öffentlich teilen möchte", gibt sich Facebook besorgt. "Wir empfehlen daher, die Privatsphäre-Checks zu machen und sicherzustellen, ob alles so richtig ist."

Quellen:Facebook, Wired, Vice, Twitter