Informationen zum Datenleck bei Facebook

Informationen zum Datenleck bei Facebook

14.04.2021 Facebook

Was ist passiert und wer ist betroffen?

Am 03. April 2021 wurde bekannt, dass Unbekannte in einem Hacker-Forum eine große Menge an Facebook-Nutzerdaten veröffentlicht haben. Erstmalig machte die IT-Sicherheitsfirma Hudson Rock auf dieses jüngste Datenleck bei Facebook aufmerksam. Betroffen hiervon sind weltweit insgesamt 533 Millionen Facebook-Nutzerinnen und -Nutzer, darunter auch über sechs Millionen aus Deutschland. Die entwendeten Datensätze bestehen aus den Facebook-Nutzernamen, der Facebook-ID, dem vollständigen Namen, Telefonnummern, Geburtsdaten, Ortsangaben, biografische Angaben wie Beziehungsstatus und E-Mail-Adressen. Der genaue Umfang ist der einzelnen Datensätze ist unterschiedlich.

Bin ich selbst betroffen?

Ob die eigenen Daten betroffen sind, kann man anhand der E-Mail-Adresse oder der Telefonnummer auf den Onlineangeboten Haveibeenpwned und Freddygreve überprüfen. Dabei wird lediglich mitgeteilt, ob eine entsprechende Information Bestandteil der öffentlich bekannt gewordenen Datenmenge ist. Die Details der Datensätze werden nicht offenbart. (Hinweis: Die verlinkten Seiten sind von uns datenschutzrechtlich nicht geprüft worden. Bitte beachten Sie die entsprechenden Datenschutzhinweise auf den Seiten.)

Inzwischen hat auch Facebook selbst ein Kontaktformular in seinem Hilfebereich bereitgestellt, über das Nutzer Anfragen zu diesem Vorfall stellen können. Dort können unter anderem die folgenden Fragen an Facebook gestellt werden:
• Waren meine Informationen von Scraping betroffen?
• Wie lösche ich meine Telefonnummer aus meinem Facebook-Konto?
• Ich habe eine Frage zu den Medienberichten, die hier nicht aufgeführt ist. Wie kann ich eine Anfrage an Facebook richten?

Was sollten Betroffene tun?

Falls der eigene Facebook-Account betroffen ist, sollte vorsichtshalber das Passwort geändert werden. Darüber hinaus empfiehlt es sich, auch die Mail-Adresse und die Telefonnummer zu ändern, welche dem Facebook-Account zugeordnet ist. Bei Nachrichten, die nun über die öffentlich bekannt gewordenen Adressen bzw. Nummern eingehen, ist zudem besondere Vorsicht zu empfehlen.

Der HmbBfDI warnt in diesem Zusammenhang vor sogenannten „Smishing“, also Phishing via SMS. Hier besteht offenbar ein direkter Zusammenhang zu dem Datenleck bei Facebook. Dabei versenden Kriminelle Kurznachrichten, die vermeintlich von Paketdiensten stammen. In diesen SMS befindet sich zusätzlich ein Link, welcher direkt zu Schadsoftware zu Phishing-Seiten leitet, auf denen sensible Informationen preisgeben werden sollen. Wer eine solche SMS bekommt, sollte nicht auf den Link klicken und die Nachricht umgehend nach Erhalt löschen. Es sollte ferner überprüft werden, ob das Smartphone bereits über das neueste Sicherheitsupdate verfügt.

Weiterführende aktuelle Informationen und Hinweise hierzu, insbesondere, wenn Sie bereits auf einen entsprechenden Link geklickt haben, finden sich auf der Seite des Bundesamts für Sicherheit in der Informationstechnik oder auf der Seite des Landeskriminalamts Niedersachen.

Was tun die Datenschutzaufsichtsbehörden?

Die für Facebook in Europa zuständige irische Aufsichtsbehörde (IDPC) hat erste Ermittlungen aufgenommen und Facebook zur Stellungnahme aufgefordert. Noch sind viele Einzelheiten unklar, doch im Rahmen der Unterrichtung der anderen europäischen Aufsichtsbehörden sind folgende Umstände bekannt geworden, die auf Angaben von Facebook beruhen:
• Die Daten wurden im Rahmen von sog. Scrapings entwendet, vermutlich über die Funktion des Messenger Contact Importer
• Es sind offenbar nur solche Daten betroffen, die bei Facebook den Zugriffstatus „öffentlich“ hatten
• Entsprechende Lücken wurden wohl spätestens Ende 2019 geschlossen.

Bezüglich des bisherigen Stands dieser Untersuchung verweisen wir auf die Presseerklärung der IPDC vom 6. April 2021. Diese ist hier abrufbar. Die rechtliche Bewertung des Vorgangs, insbesondere die Frage, ob es sich um einen meldepflichtigen Vorfall nach Art. 33 DSGVO handelt und ggf. auch nach Art. 34 DSGVO eine Benachrichtigung der Betroffenen erfolgen muss, hat die IDPC noch nicht abgeschlossen.

Eine eigene Untersuchung direkt bei Facebook kann der HmbBfDI auf Grundlage der DSGVO nicht vornehmen.