533 Millionen Datendiebstähle bei Facebook vor DSGVO-Einführung
Facebook hat der zuständigen irischen Datenschutzkommission mitgeteilt, dass vor dem Inkrafttreten der EU-Datenschutzgrundverordnung im Jahr 2018 eine "Sicherheitsverletzung" bezüglich der persönlichen Daten von 533 Millionen Usern weltweit stattgefunden hat.
Facebook hat der zuständigen irischen Datenschutzkommission (Data Protection Commission, DPC) mitgeteilt, dass vor dem Inkrafttreten der EU-Datenschutzgrundverordnung im Jahr 2018 eine „Sicherheitsverletzung“ bezüglich der persönlichen Daten von 533 Millionen Usern weltweit stattgefunden hat.
Am vergangenen Osterwochenende tauchten Millionen dieser personenbezogenen Daten von Nutzerinnen und Nutzern in einem Hacking-Forum auf – darunter Telefonnummern, Facebook-IDs, biografische Informationen und Standorte. Auch zahlreiche E-Mail-Adressen scheinen abgegriffen worden zu sein.
Offenbar könnten rund 100 Millionen Datensätze von Bürgerinnen und Bürger der EU von dem Datenleck betroffen sein, darunter 36,6 Millionen aus Italien, 10,9 Millionen aus Spanien und rund sechs Millionen aus Deutschland.
Als Reaktion auf die Nachricht teilte die Kommunikationsabteilung von Facebook mit, dass über den Daten-Diebstahl „bereits im Jahr 2019 berichtet wurde“ und dass das Unternehmen das entsprechende Problem „im August 2019 gefunden und behoben“ habe.
Im Gespräch mit der irischen Datenschutzkommission am Dienstag sagten Facebooks Vertreter hingegen, man habe bereits im April 2018 „eine Sicherheitslücke in der Telefonabfragefunktion geschlossen“.
Widersprüchliche Aussagen
Die EU-Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft getreten ist, verpflichtet Facebook und andere Firmen gesetzlich, die jeweils zuständige Datenschutzbehörde innerhalb von 72 Stunden zu benachrichtigen und gegebenenfalls auch die User „unverzüglich“ über mögliche Datenschutzverstöße zu informieren. Da der besagte Vorfall allerdings zeitlich vor der DSGVO-Einführung stattfand, „entschied sich Facebook, dies nicht als Verletzung des Schutzes personenbezogener Daten gemäß der DSGVO zu melden“, heißt es in einer Erklärung an die irische DPC.
Die Facebook-Stellungnahme an die irischen Datenschützer steht damit allerdings im Widerspruch zur früheren Position des Unternehmens, wonach die Sicherheitslücke im August 2019 behoben wurde – zu einem Zeitpunkt also, an dem bereits die neuen rechtlichen Verpflichtungen nach der DSGVO bestanden.
Bei der Sicherheitslücke, auf die sich Facebook bezieht, handelt es sich wahrscheinlich um eine Schwachstelle in der Kontakt-Importer-Funktion der Plattform, die es Nutzerinnen und Nutzern ermöglichte, andere Personen direkt über deren Telefonnummern zu finden, sowohl auf Facebook selbst als auch auf der Tochter-Plattform Instagram. Eine Lücke im Sicherheitssystem ermöglichte es Hackern demnach, sich als Administratoren auszugeben, um einzelne User mit den dazugehörigen Telefonnummern zu verknüpfen.
Laut EURACTIV.com-Informationen stimmen die Daten, die an diesem Wochenende in Hacker-Foren gepostet wurden, mit denjenigen überein, die zuvor – im Rahmen der wohl im August 2019 behobenen Sicherheitslücke im Kontaktimport – bereits online aufgetaucht waren.
Facebook verspricht „umfangreiche“ Aufklärung
Facebook teilte seinerseits gegenüber der irischen Datenschutzbehörde mit, man habe eine „umfangreiche Untersuchung“ gestartet, um der Ursache des Leaks auf den Grund zu gehen.
„Die fraglichen Daten scheinen von Dritten gesammelt worden zu sein und stammen möglicherweise aus mehreren Quellen,“ teilte Facebook laut der DPC mit.
Es seien daher „umfangreiche Untersuchungen erforderlich, um die Herkunft der Daten mit einem ausreichenden Maß an Sicherheit festzustellen. Dann können wir Ihrer Behörde sowie unseren Nutzerinnen und Nutzern weitere Informationen zur Verfügung stellen.“
[Bearbeitet von Zoran Radosavljevic]
