Telefonnummer, E-Mail: Bin ich im Facebook-Leak?

Kurz nachdem die Daten von 533 Millionen Facebook-Nutzern aus 106 Ländern weltweit veröffentlicht wurden, hat Sicherheitsforscher Troy Hunt die Datenbank in seine Plattform Have I Been Pwned (HIBP) integriert. Dort können potenziell Betroffene überprüfen, ob ihre E-Mail-Adresse in diesem und vielen weiteren Datenlecks enthalten ist.

Allerdings enthielten nur rund 2,5 Millionen der 533 Millionen Datensätze von Facebook-Mitgliedern auch eine E-Mail-Adresse. Mit knapp 510 Millionen machen Telefonnummern jedoch den weitaus größeren Teil des Datenlecks aus.

Diese konnten bisher nicht über HIBP abgefragt werden. Hunt hat nun jedoch eine entsprechende Funktion implementiert, mit der sowohl E-Mail-Adressen als auch Telefonnummern über HIBP geprüft werden können. Weitere Details der Implementierung erklärt Hunt in einem Blogeintrag.

Neben HIBP sind in den letzten Tagen etliche Webseiten veröffentlicht worden, über die sich herausfinden lässt ob bestimmte E-Mail-Adresse, Telefonnummern oder Facebook-Nutzernamen Teil des Datenlecks sind.

Allerdings sind die betreibenden Personen hinter Webseiten wie haveibeenfacebooked.com oder haveibeenzucked.com meist unbekannt. Was mit den dort eingegebenen Daten geschieht, ist entsprechend unklar. Ob man die Dienste nutzen möchte, muss letztlich jeder selbst entscheiden.

Irische Datenschutzbehörde untersucht, ob die Daten wirklich alt sind

Facebook betont, dass die Daten alt seien und das dahinterliegende Problem bereits im August 2019 behoben worden sei. Zudem bestätigte das Unternehmen, dass die Daten per Scraping abgegriffen wurden.

Die irische Datenschutzbehörde möchte den Vorfall dennoch untersuchen: "Nach der Medienberichterstattung vom Wochenende untersuchen wir jedoch die Angelegenheit, um festzustellen, ob der Datensatz tatsächlich mit dem von 2019 übereinstimmt", sagte der stellvertretende irische Datenschutzbeauftragte Graham Doyle dem Nachrichtensender BBC.

Teil des Datenlecks sind neben den Nutzernamen, E-Mail-Adressen und Telefonnummer auch Geschlecht, Beruf, Stadt, Land und Beziehungsstatus. Die Daten stehen schon seit geraumer Zeit zum Verkauf. So konnte beispielsweise gegen Zahlung von 20 US-Dollar die Telefonnummer zu einem Facebook-Nutzernamen über einen Telegram-Bot abgefragt werden.

"Es ist sehr besorgniserregend zu sehen, dass eine Datenbank dieser Größe in Cybercrime-Communitys verkauft wird, sie schadet unserer Privatsphäre schwer und wird sicherlich von Kriminellen für betrügerische Aktivitäten verwendet", sagte Alon Gal, Mitgründer und CTO der Sicherheitsfirma Hudson Rock, der Motherboard auf den Telegram-Bot aufmerksam gemacht hat.

Im Oktober war ein Telegram-Bot bekanntgeworden, der mit Hilfe von Deep Nude gefälschte Nacktfotos von Frauen erstellt. Für die Opfer können solche Bilder existenzbedrohend sein. So können sie von Tätern zur Belästigung, Erpressung oder zur öffentlichen Bloßstellung genutzt werden.

Nachtrag vom 6. April 2021, 11:45 Uhr

Mittlerweile wurde die angekündigte Telefonnummernsuche für das Facebook-Datenleck in HIBP integriert. Wir haben den Artikel entsprechend aktualisiert.