Facebook starrt auf einen weiteren Sicherheitsfehler, diesmal mit einem Vorfall, an dem ein exponierter Server beteiligt war, der Hunderte von Millionen Telefonnummern enthielt, die zuvor mit Konten auf seiner Plattform verknüpft waren.
Die Situation scheint an eine Funktion gebunden zu sein, die auf der Plattform nicht mehr aktiviert ist, aber den Benutzern die Möglichkeit gibt, anhand ihrer Telefonnummer nach jemandem zu suchen. Zack Whittaker von TechCrunch berichtete erstmals am Mittwoch, dass ein Server – der nicht zu Facebook gehörte, aber offensichtlich nicht passwortgeschützt und damit für jeden zugänglich war, der ihn finden konnte – vom Sicherheitsforscher Sanyam Jain online entdeckt wurde und Datensätze von mehr als 419 Millionen Facebook-Nutzern enthielt, darunter 133 Millionen Datensätze von Nutzern aus den USA.
Laut TechCrunch enthielten die auf dem Server enthaltenen Datensätze die Telefonnummer eines Facebook-Benutzers und die individuelle Facebook-ID. Mit beiden sagte TechCrunch, dass es in der Lage sei, sie zu überprüfen, um Datensätze zu überprüfen, und stellte zusätzlich fest, dass in einigen Fällen Datensätze das Land, den Namen und das Geschlecht eines Benutzers enthielten.
Der Bericht stellte fest, dass es unklar ist, wer die Daten von Facebook gelöscht hat oder warum. Der Facebook-Sprecher sagte, das Unternehmen sei vor wenigen Tagen auf die Situation aufmerksam geworden, werde aber kein genaues Datum nennen.
Whittaker bemerkte, dass der Zugriff auf die Telefonnummer eines Benutzers es einem schlechten Akteur ermöglichen könnte, Konten, die mit dieser Nummer verknüpft sind, zurückzusetzen, und dass er sie weiter Eindringlingen wie Spamanrufen oder anderem Missbrauch aussetzen könnte.
Aber es könnte auch einem schlechten Akteur erlauben, eine Vielzahl privater Informationen über eine Person zu erhalten, indem er sie in eine beliebige Anzahl öffentlicher Datenbanken eingibt oder mit einer Beinarbeit oder durch Nachahmung einem Hacker Zugang zu Apps oder sogar einem Bankkonto gewährt.
„Dieser Datensatz ist alt und scheint Informationen zu haben, die vor den Änderungen im letzten Jahr erhalten wurden, um die Fähigkeit der Menschen zu beseitigen, andere über ihre Telefonnummern zu finden“, sagte der Sprecher in einer Erklärung per E-Mail. „Der Datensatz wurde heruntergefahren und wir haben keine Beweise dafür gefunden, dass Facebook-Konten gefährdet sind.“
Facebook kündigte in einem Blog-Post von CTO Mike Schroepfer im April 2018 an, dass es die Möglichkeit für Benutzer, mit Hilfe von Telefonnummern oder E-Mail-Adressen nach einander zu suchen, einschränken würde, nachdem es herausgefunden hatte, dass „böswillige Akteure“ die Funktion, öffentlich zugängliche Informationen zu kratzen, missbrauchen.
Schroepfer schrieb damals, dass wir aufgrund des „Umfangs und der Raffinesse der Aktivitäten, die wir gesehen haben, glauben, dass die meisten Menschen auf Facebook auf diese Weise ihr öffentliches Profil gelöscht haben könnten“. Dennoch, während das Unternehmen im vergangenen Jahr erstmals die Wahrscheinlichkeit eines solchen Ereignisses bekannt gab, macht es die Nachrichten dieser Woche nicht weniger beunruhigend.
Ein weiterer Tag, ein weiterer spektakulärer Sicherheitsfick von einer Firma, die ein Gespür für diese Art von Sache hat. Die Nachrichten kommen direkt nach Senator Ron Wyden, der einem Interviewer erzählt, dass er glaubt, dass der Gesetzgeber sicherstellen sollte, dass Facebook CEO Mark Zuckerberg „die Möglichkeit einer Gefängnisstrafe“ für den Missbrauch von Benutzerdaten durch sein Unternehmen hat. Das klingt zwar wie ein Hirngespinst, aber die Möglichkeit, dass es Wirklichkeit wird, wird von Tag zu Tag stärker.