Erneut durchgesickerte Nutzerdaten: Irische Datenschützer ermitteln gegen Facebook

Die irische Datenschutzbehörde Data Protection Commission (DPC) prüft, ob die derzeit in einem Hackerforum kostenlos angebotenen Daten von rund 533 Millionen Facebook-Nutzern einen Sicherheitsvorfall gemäß der Datenschutzgrundverordnung (DSGVO) darstellen. Facebook betont demnach, dass die Daten, die auch Telefonnummern von Nutzern enthalten, vor Einführung der DSGVO von Unbekannten abgezogen wurden und deshalb nicht meldepflichtig im Sinne des Gesetzes sind.

Die DPC geht davon aus, dass die derzeit erhältlichen Daten bereits 2018 sowie 2019 veröffentlicht wurden. Sie sollen in einem Zeitraum zwischen Juni 2017 und April 2018 über eine Schwachstelle in der Facebook-Suche für Kontakte abgeflossen sein. Da die Datensammlung vor Einführung der DSGVO erfolgt sei, habe sich Facebook entschieden, den Vorfall nicht als Verlust von Personendaten gemäß der DSGVO zu behandeln. Allerdings schließt die irischen Datenschützer nicht aus, dass die jetzt veröffentlichten Daten mit persönlichen Informationen weiterer Nutzer kombiniert wurden, die zu einem späteren Zeitpunkt ausgespäht wurden.

Die Schwachstelle in der Facebook-Website erlaubte es, mit speziell gestalteten Apps beliebige Telefonnummern mit dem Datenbestand auf Facebooks Servern abzugleichen. Bei Treffern lieferte die Funktion die Namen und öffentlichen Profile von Facebook-Nutzern. Hacker waren sogar in der Lage, Liste mit Telefonnummern zu generieren um herauszufinden, welche dieser Nummern tatsächlich und an wen vergeben sind. Eigentlich sollte das Tool Nutzern lediglich helfen, Personen im eigenen Adressbuch zu finden, die bereits bei Facebook registriert sind.

2018 und auch 2019 führte Facebook laut DPC Änderungen ein, um diese Hintertür zu schließen. Die darüber abgezogenen Daten kursieren jedoch bis heute in Hackerkreisen. Wie unter anderem Bleeping Computer berichtet sind sie seit wenigen Tagen kostenlos für Mitglieder eines Hackerforums erhältlich.

Die Daten stammen von Nutzern des Social Network aus mehr als 100 Ländern weltweit. Die meisten Betroffenen, mehr als 44 Millionen, leben in Ägypten. Opfer finden sich aber auch in mehreren EU-Staaten, darunter Italien (mehr als 35 Millionen), Frankreich (mehr als 19 Millionen), Spanien (fast 11 Millionen) und Deutschland (rund 6 Millionen).

“Aufgrund unserer bisherigen Untersuchung glauben wir, dass die Informationen in dem an diesem Wochenende veröffentlichten Datensatz öffentlich verfügbar waren und vor den Änderungen, die 2018 und 2019 an der Plattform vorgenommen wurden, abgegriffen wurden”, heißt es in einer Stellungnahme von Facebook an die DPC. “Wie Sie sicher nachvollziehen können, scheinen die fraglichen Daten von Dritten zusammengetragen worden zu sein und stammen möglicherweise aus mehreren Quellen. Daher sind umfangreiche Untersuchungen erforderlich, um die Herkunft der Daten mit einem ausreichenden Maß an Vertrauen festzustellen, damit Ihr Amt und unsere Nutzer mit zusätzlichen Informationen versorgt werden können.”