Zwischen Cambridge-Analytica-Skandal, etwas befremdlichen Auftritten von Firmenchef Mark Zuckerberg und einer eher "lockeren" Herangehensweise an das Thema Privatsphäre gehört Facebook schon bisher nicht gerade zu den populärsten IT-Unternehmen. Aktuell arbeitet das Unternehmen aber eifrig daran, seinen Ruf noch weiter zu verschlechtern.

Keine Warnung

Facebook hat nicht vor, die eigenen Nutzer darüber zu informieren, wer zu den 533 Millionen Betroffenen eines aktuellen Datenlecks gehört. Dies betonte am Mittwoch ein Sprecher des Unternehmens gegenüber der Nachrichtenagentur Reuters. Als Grund für diese Entscheidung gibt man an, dass unklar sei, wer überhaupt gewarnt werden müsse. Zudem könnten die User ohnehin nichts tun, da die Daten bereits veröffentlicht wurden. Und das zugrundeliegende Problem, das von unbekannten Angreifern zur Erstellung dieser Sammlung genutzt wurde, habe man ohnehin schon im Jahr 2019 bereinigt.

Was sich ein bisschen anhört wie ein Eiertanz rund um die eigentliche Problematik, ist wohl auch einer. Immerhin könnte jede Warnung von Facebook auch als eine Art Schuldeingeständnis gewertet werden – hätte man dann doch die User nach der Datenschutzgrundverordnung bereits im Jahr 2019 informieren müssen, als man über diesen Vorgang informiert wurde. Stellen Datenschutzbehörden nun fest, dass hier ein Verstoß vorliegt, könnte dies für Facebook ziemlich teuer werden – was wohl diese sehr vorsichtige Art der Kommunikation erklärt.

Scraping

Ein wichtiger Punkt in der Diskussion ist dabei, wie die Angreifer überhaupt an die Daten gekommen sind. Bereits bekannt war, dass dies über die Kontaktimportierungsfunktion von Facebook erfolgt ist. Bei dieser kann jeder mithilfe einer Telefonnummer herausfinden, ob sich einer der eigenen Kontakte auf dem Dienst befindet – und bekommt dann weitere Details. So wie es aussieht, haben die Angreifer nun einfach massenhaft alle möglichen Telefonnummerkombinationen ausprobiert und darauf gewartet, was Facebook zurückliefert. Dies behauptet zumindest der Chef des Sicherheitsdienstleisters F-Secure, Mikko Hypponen. Auf diese Weise erhielt man von Facebook eine Art bestätigtes Telefonbuch, in dem den – eigentlich geheimen – Nummern Namen und andere öffentlich verfügbare Profilinformationen zugeordnet wurden.

Dieser Ablauf ist es auch, auf den sich Facebook bezieht, wenn man betont, dass es sich eigentlich um kein klassisches "Datenleck" und schon gar keinen "Hack", sondern bloß um "Scraping", also das automatisierte Abgreifen von online verfügbaren Daten, handelt. Für die betroffenen Nutzer macht es freilich herzlich wenig Unterschied, warum nun ihre Telefonnummer mit indirekter Hilfe von Facebook für alle öffentlich ist. Zudem wirft dies die Frage auf, wie ein solch massenhafter Zugriff dem Servicebetreiber nicht auffallen kann.

Zeitablauf

Interessant könnte auch noch die Diskussion Facebooks mit US-Behörden werden. Immerhin hat sich das Unternehmen im Juli 2019 im Rahmen eines Vergleichs mit der Handelsbehörde FTC dazu verpflichtet, Details über jeden unautorisierten Zugriff auf Daten von mehr als 500 Nutzern innerhalb von 30 Tagen melden zu müssen. Hier scheint sich Facebook aber darauf zu versteifen, dass der Zugriff älter ist. Tatsächlich sieht es so aus, dass die neuesten Daten in der Sammlung aus dem Mai 2019 stammen.

Generell betont Facebook gerne, dass solches "Scraping" nach den eigenen Nutzungsbedingungen verboten ist. Ähnliches war etwa schon zu hören, als im Vorjahr bekannt wurde, dass die Firma Clearview AI Millionen Fotos von Instagram und Facebook abgezogen hat, um die eigene Gesichtserkennung damit zu trainieren. Eine Klage – gegen Clearview AI – blieb bis heute aber aus.

Check

Während Facebook also seine Nutzer nicht warnen will, können sich diese zumindest auf externem Weg Klarheit verschaffen. Auf der vom Sicherheitsforscher Troy Hunt betriebenen Webseite "Have I Been Pwned" lässt sich überprüfen, ob die eigene Telefonnummer in der Datensammlung enthalten ist. Und wenn man schon dort ist, lässt sich dann auch gleich schauen, in welchen anderen Leaks die eigene Mail-Adresse sonst noch so enthalten ist. (Andreas Proschofsky, 8.4.2021)