"Daten einer halben Milliarde Facebook-Nutzer abhanden gestohlen", diese oder eine sehr ähnliche Überschrift könnten Sie in den letzten Tagen in den Medien gelesen haben. Es ist klar, dass jeder Datenverstoß, insbesondere einer, mit einer so großen Anzahl von betroffenen Benutzern, ist sowohl für das Unternehmen als auch die Betroffenen mehr als unangenehm. Obwohl es sich offenbar um einen alten Vorfall handelt, gibt es möglicherweise aktuelle Zusammenhänge mit Phishing-SMS-Kampagnen, die unter anderem der Verbreitung der Android-Malware FluBot dienen.

Die Zeitlinie für diesen Daten-Leak beginnt laut Facebook im Jahr 2018, als sich herausstellte, dass böswillige Akteure eine Funktion auf Facebook zur Datensammlung missbraucht hatten. Dabei handelte es sich um die Möglichkeit, dass Benutzer anhand einer Telefonnummer nach einem Kontakt auf Facebook suchen konnten. Diese Funktion war besonders in Gebieten nützlich, in denen viele Benutzer denselben Vor- und Nachnamen haben, was das Finden der richtigen Person erschwerte. Doch diese Funktion ließ sich auch missbrauchen. Zwielichtige Unternehmen nutzten automatische Skripte, um Daten der Facebook-Nutzer zu scrapen und daraus eigene Datenbanken zu erstellen, die mindestens den Namen und die Telefonnummer der Nutzer enthielten.

Im April 2018 entfernte Facebook die Funktion, kurz nachdem der Skandal um Cambridge Analytica und deren missbräuchlicher Verwendung von Facebook-Daten öffentlich wurde. Im Jahr 2019 schließlich, fand ein Sicherheitsforscher Aufzeichnungen von 400 Millionen Facebook-Konten in einer ungeschützten Online-Datenbank, wie TechCrunch berichtete. Damals bestätigte Facebook, dass die Daten veraltet waren und offenbar vor dem Entfernen der Suchfunktion 2018 gesammelt worden waren. Die ungeschützten Daten wurden damals entfernt.

In den letzten Tagen berichteten nun der Spiegel und zahlreiche andere Medien, dass Sicherheitsforscher erneut eine öffentlich zugängliche, ungeschützte Datenbank gefunden haben. Sie enthält die gleichen Daten wie 2019. Wie TechCrunch berichtet gibt es Spekulationen , dass die Daten auch den ursprünglichen, 2018 erstellten Datensatz enthalten, wie auch die irische Datenschutzkommission (DPC) in ihrer Stellungnahme vermutet. Die DPC versucht festzustellen, ob es vor oder nach Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) zu dem Datendiebstahl gekommen ist.

Was sind die Daten heute noch wert?

Profildaten von Facebook-Nutzern, die zum Zeitpunkt des massenhaften Abschöpfens öffentlich zugänglich waren, konnten von böswilligen Akteuren zur Erstellung von Profilen herangezogen werden. Diese umfangreichen Daten bilden eine gefährliche Grundlage für Identitätsdiebstahl, gezieltes Phishing, Social Engineering, die Übernahme von Nutzerkonten und anderen Betrügereien verwendet, die mit erheblichen Störungen und Schäden einhergehen können.

Die Frage, die sich nun stellt, ist, ob solche alten Daten heute noch eine Gefahr darstellen, oder aus der Sicht von Cyberkriminellen einen Nutzen haben. Die Antwort lautet sowohl Ja als auch Nein. Ich nutze heute die gleiche Telefonnummer wie 2018, und auch statische Daten wie das Geburtsdatum hat sich nicht geändert. Auch Aktivitätsdaten, die Rückschlüsse auf unsere Interessen ermöglichen, sind vermutlich unverändert, nur reichen sie eben nur bis zum Zeitpunkt an dem die Datensammlung geendet hat. Dagegen ist es wahrscheinlicher, dass Daten wie Passwörter, die im Leak nicht enthalten waren, in den letzten drei Jahren geändert wurden.

Der Webdienst Have I Been Pwned (HIBP) weist darauf hin, dass nur 2,5 Millionen, der in den ungeschützten, öffentlich zugänglichen Daten gefundenen Datensätze eine E-Mail-Adresse enthielten. Die meisten Aufzeichnungen enthielten jedoch Namen, Geschlecht, Geburtsdatum, Ort, Beziehungsstatus und Arbeitgeber. Ich würde solche persönlichen Daten auch ohne E-Mail-Adresse als Kompromittierung meiner Identität betrachten und als ein Problem, mit dem ich mich befassen sollte.

So überprüfen Sie, ob Sie betroffen sind

Bei Datensätzen, die eine E-Mail-Adresse enthalten, könnten böswillige Akteure versuchen auf Facebook und andere Dienste und Websites Zugriff zu erlangen. Dabei könnten sie Brute-Force-Techniken einzusetzen und die E-Mail-Adresse mit einer Liste häufig verwendeter Kennwörter zu kombinieren.

Falls Opfer nur einfache Passwörter verwendet haben und diese nachlässiger Weise auch auf vielen Websites einsetzen – ebenso, wenn sie ihre Passwörter niemals ändern – sollten sie jetzt Maßnahmen ergreifen.

Unsere Empfehlung lautet, Passwörter eindeutig und komplex zu machen und zusätzlich Multi-Faktor-Authentifizierung zu aktivieren, wo dies möglich ist.

Außerdem können Sie auf der Webseite von Have I Been Pwned (HIBP) überprüfen, ob ihre Daten/E-Mailadresse von Leaks betroffen sind. Vielleicht noch wichtiger ist, dass die Website es jetzt auch die Überprüfung der eigenen Telefonnummer ermöglicht.

Das können Sie tun gegen Phishing-SMS und Daten-Leaks

Warum ist dies wichtig sein kann, sieht man dieser Tage in Medienberichten und vielleicht auch im eigenen SMS-Posteingang. Zur Zeit werden haufenweise Phishing-SMS vermeintlicher Paketzusteller im deutschen und europäischen Mobilfunknetz verschickt, deren Verbreitung mit der Android-Malware FluBot oder ähnlichen Schadprogrammen in Verbindung steht. Es wird spekuliert, dass der Facebook-Leak den Hintermännern der Kampagnen nun zusätzliche Telefonnummern potenzieller Opfer in die Hände gespielt hat.

Empfänger solcher SMS-Nachrichten sollten keinesfalls auf die enthaltenen Links tippen. Auf den verlinkten Webseiten besteht die dringende Gefahr von Phishing oder des Downloads von Malware.

Darüber hinaus kann man davon ausgehen, dass die meisten unaufgefordert zugesandten Textnachrichten unbekannter Absender mit Links Spam beziehungsweise Phishing sind. Zum Beispiel ist das der Fall, wenn Sie SMS-Textnachricht erhalten, um ein Netflix-Passwort zurückzusetzen oder Ihnen mitzuteilen, dass eine Geschenkkarte auf Sie wartet. Sie sollten sich darüber im Klaren sein, dass die Hintermänner versuchen, mit ihren Daten Zugriff auf von Ihnen genutzte Websites und Dienste zu erlangen. Es kann angenommen werden, dass die Kriminellen versuchen, ihre Daten mit weiteren Informationen über sie zu kombinieren, um die Erfolgschancen ihrer Angriffe zu erhöhen.

So können Sie der Gefahr von Phishing und von Daten-Leaks begegnen:

  • Den Verlust von Daten verhindert man am besten, wenn man diese im Sinne der Datensparsamkeit gar nicht erst entstehen lässt. Überlegen Sie vor der Veröffentlichung von Daten im Web und auf Social Media stets, ob sie es vertreten können, falls diese Daten durch einen Leak in falsche Hände geraten.
  • Wachsamkeit und eine kritische Grundeinstellung gegenüber jeder erhaltenen SMS-Nachricht und E-Mail hilft Ihnen beim Schutz ihrer Online-Konten.
  • Achten Sie zusätzlich auf die Verwendung eindeutiger und komplexer Passwörter.
  • Wo immer es geht, sollten Sie die Multi-Faktor-Authentifizierung aktivieren, da dies den Schutz ihrer Konten wesentlich erhöht.
  • Schließlich empfehlen wir die Verwendung einer seriösen, mehrschichtigen Sicherheitssoftware und
  • Eines Passwort-Managers, der bei der sicheren Aufbewahrung und Erstellung komplexer Passwörter behilflich sein kann.