Eine Datenbank mit Basisinformationen von mehr als 267 Millionen Facebook-Usern befand sich rund zwei Wochen lang auf einem ungesicherten Server im Internet. Die Datensätze bestanden offenbar aus Namen, Telefonnummer und zugehöriger User-ID. Wie die britische Tech-Webseite Comparitech in Zusammenarbeit mit dem Sicherheitsforscher Bob Diachenko berichtet, seien sie Mitte Dezember auf eine Elasticsearch-Datenbank mit den Daten gestoßen, die seit dem 4. Dezember ohne Passwortschutz im Netz stand. Am Donnerstag sei der Server allerdings offline gegangen.

Bei dem Datensatz handelte es sich um Informationen, die mutmaßlich mit kriminellen Absichten gesammelt wurden. Der Bericht der Sicherheitsforscher erläutert, dass die Daten möglicherweise aus Facebooks Entwickler-API stammen und abgegriffen wurden, noch bevor Facebook die Suche nach Telefonnummern im April 2018 im Zuge des Cambridge-Analytica-Skandals abgeschaltet hatte. Bis dahin war es möglich gewesen, durch massenhaftes Abgleichen von existierenden Telefonnummern die zugehörigen Facebook-Profile zu ermitteln. In diesem Fall wären die Informationen beinahe zwei Jahre alt. Eine alternative Methode hätte im automatischen Durchforsten öffentlicher Facebook-Profilinformationen bestanden.

Betroffene überwiegend aus den USA

Die betroffenen User stammen laut dem Bericht überwiegend aus den USA, wobei Spracheinstellungen des Datenbankservers auf vietnamesische Datensammler hindeuten. Besonders die enthaltenen Telefonnumern sind problematisch, da sie für SIM-Swapping oder Phishingversuche per SMS benutzt werden könnten. Gegenüber der Nachrichtenseite CNet hat Facebook den Vorfall inzwischen bestätigt. Man vermute, dass die Daten tatsächlich vor den Beschränkungen der Suchmöglichkeiten gesammelt worden seien, erklärte ein Sprecher.

Eine ähnliche, offen einsehbare Datenbank mit mehr als 419 Millionen betroffenen Nutzern aus den USA, Großbritannien und Vietnam war im September von TechCrunch entdeckt worden. In der damaligen Sammlung waren ebenfalls User-ID und Telefonnummern, aber auch Namen und teils Geschlecht und Staatsangehörigkeit enthalten. (siko)