Jüngstes Datenleck: Facebook verwirrt mit Chronologie und Wortklauberei
Facebook beharrt darauf, dass das jüngste Datenleck nicht neu ist. Damit will der Konzern wohl auch potenziell teure Regelungen aus Europa und den USA umgehen.
(Bild: Lloyd Carr/Shutterstock.com)
Anstatt bei der Aufklärung der Umstände des jüngsten Datenlecks, von dem mehr als 500 Millionen Nutzer betroffen sind, mitzuhelfen, stiftet Facebook nur mehr Verwirrung. Darauf weist nicht nur das US-Magazin Wired hin, das die Daten analysiert hat. So besteht Mike Clark von Facebook in einem Blogeintrag darauf, dass die Daten nicht durch Hacking, sondern durch die Ausnutzung einer legitimen Funktion von Facebook abgegriffen worden seien. Mit dieser Unterscheidung scheint der Konzern zu versuchen, eine Pflicht zur Information der betroffenen Nutzer und Nutzerinnen ausschließen zu wollen. Dabei ändert die Methode der unerwünschten Beschaffung nichts an den Konsequenzen für die Betroffenen.
Datenleck enttarnt Mark Zuckerberg als Signal-Nutzer
Die mehr als 500 Millionen Datensätze mit Facebook-Nutzernamen, vollständigen Namen, Telefonnummern, Geburtsdaten, Orten, biografischen Angaben und E-Mail-Adressen waren am Wochenende in einem Forum für Cyberkriminelle entdeckt worden. Enthalten waren Beobachtern zufolge sogar Daten von Facebook-Gründer Mark Zuckerberg selbst, dessen Telefonnummer ihn als Nutzer des Whatsapp-Rivalen Signal ausgewiesen habe. Inzwischen hat unter anderem die für den Datenschutz bei Facebook in Europa zuständige irische Datenschutzbehörde eine Untersuchung angekündigt. An deren Arbeitseifer gibt es aber schon länger Zweifel.
Wenn sich Facebook zu dieser jüngsten Sammlung von Nutzerdaten äußert, versichert der Konzern nicht nur, dass diese nicht durch Hacking abgegriffen wurden, sondern dass die Methode schon bekannt gewesen sei. So verlinkt Mike Clark von Facebook auf einen Beitrag von Cnet, in dem diese Methode 2019 beschrieben wurde. Facebook hatte den Artikel damals aber gar nicht kommentieren wollen und lediglich kurz zuvor versichert, in "individuelle Nutzerkonten" sei wohl nicht eingebrochen worden. Stattdessen hätten Angreifer öffentlich einsehbare Informationen wie eben Telefonnummern automatisiert in großem Stil abgegriffen. Eine dafür genutzte Funktion sei abgeschaltet worden. Bei der Chronologie gibt es aber Unklarheiten.
Wie wurden Daten abgegriffen und bis wann?
Das von Cnet beschriebene Leck hatte Facebook an anderer Stelle eingestanden, erklärt Wired, aber darauf bestanden, dass die damalige Datensammlung alt sei. Auf diese Weise habe man Daten nur bis Mitte 2018 abgreifen können. Am 25. Mai 2018 war die EU-Datenschutz-Grundverordnung (DSGVO) gültig geworden und Facebook meint, nur Datenabgriffe an Nutzer melden zu müssen, die danach erfolgten. Laut Wired ist die aktuelle Datenbank nicht deckungsgleich zu jener, um die es damals ging – die könnte aber erweitert worden sein. So stammt die jüngste Facebook-ID darin von Ende Mai 2019, würde also gegebenenfalls unter die DSGVO fallen, aber wohl nicht unter eine andere wichtige Regelung: Im Sommer 2019 einigte sich Facebook mit der US-amerikanischen Federal Trade Commission (FTC) auf eine Strafe von 5 Milliarden US-Dollar für alle Datenschutzvergehen vor dem 12. Juni 2019, die damit abgegolten sind.
Während Facebook also darauf besteht, dass die Daten nicht gehackt wurden und gerade so alt sind, dass wichtige US- und EU-Regelungen nicht betroffen sind, ist den Betroffenen damit nicht viel geholfen. So hat die irische Datenschutzbehörde zwar eine Untersuchung angekündigt, will die Öffentlichkeit aber erst danach informieren. Dabei kursiert die Datensammlung schon jetzt und wird wohl bereits für Angriffsversuche etwa per SMS ausgenutzt. Der Sicherheitsforscher Ashkan Soltani, der bei der FTC Chief Technologist war, hat in dem Datensatz außerdem sogar eine Telefonnummer gefunden, die er nie auf öffentlich gestellt habe und die deswegen auch für den böswilligen Datenabgriff nicht hätte verfügbar sein dürfen.
(mho)
