SPIEGEL ONLINE

SPIEGEL ONLINE

04. April 2019, 10:48 Uhr

Drittanbieter-Apps

Eine halbe Milliarde Datensätze von Facebook-Nutzern lagen offen im Web

Von

Zwei Anbieter von Facebook-Apps haben Daten ihrer Nutzer ungeschützt auf offenen Webservern gespeichert. Selbst nachdem Sicherheitsforscher sie alarmierten, wurden sie nicht aktiv.

Die Experten der IT-Sicherheitsfirma UpGuard sparen in ihrer Veröffentlichung nicht mit großen Zahlen. Müssen sie auch nicht, denn was sie entdeckt haben, ist groß, peinlich und nicht direkt Facebooks Schuld, fällt aber doch auf das Unternehmen zurück. Immerhin sind die Sicherheitsforscher regelrecht über einen Berg vertraulicher Daten - mehr als eine halben Milliarde Datensätze von Facebook-Nutzern - gestolpert, unverschlüsselt auf einem von Amazon gemieteten Server gespeichert, der jedermann den Download der Datenpakete erlaubte.

Der größere der beiden Datensätze stammt demnach von dem mexikanischen Medienunternehmen Cultura Colectiva, ist 146 Gigabyte groß und enthält insgesamt 540 Millionen Datenpunkte. Diese enthalten neben Facebook-Nutzernamen unter anderem Informationen über Likes dieser Nutzer, ihre Kommentare und mehr.

Als gefährlicher schätzen die Experten aber eine zweite Datenbank ein, die sie auf demselben Server vorfanden. Sie stammt von dem Entwickler einer Facebook-App namens "At the Pool" und ist mit 22.000 Datensätzen wesentlich kleiner. Brisant ist sie allerdings, weil darin neben Facebook-IDs, Likes und Vorlieben auch Passwörter gespeichert sind.

Dabei handele es sich zwar wahrscheinlich nicht um die Facebook-Passwörter der Betroffenen, sondern um deren Zugangscodes für "At the Pool". Doch weil viele Internet-User aus Faulheit oder Bequemlichkeit oft dasselbe Passwort für mehrere Webseiten oder Netzangebote verwenden, stelle auch das eine Gefahr dar, urteilt UpGuard. Dass "At the Pool" 2014 den Betrieb eingestellt hat, spielt dabei keine Rolle.

Keine Reaktion

Unklar ist, wie lange die Daten auf den fraglichen Servern lagerten und ob vor den Forschern von UpGuard schon jemand anders auf diesen Datenschatz aufmerksam geworden ist. Offensichtlich jedoch haben die beiden Unternehmen, die diese Daten in der Cloud lagerten, sie längst vergessen und kein Interesse mehr daran.

Anders lässt sich ihre Gleichgültigkeit jedenfalls kaum erklären. UpGuard informierte Cultura Colectiva nach eigenen Angaben erstmals am 10. Januar und dann erneut, weil eine Reaktion ausblieb, am 14. Januar über die Entdeckung. Das Unternehmen habe darauf bis heute nicht geantwortet, heißt es von dem Sicherheitsunternehmen.

Monate später endlich gelöscht

Schließlich habe man auch Amazon als Anbieter des Miet-Servers zweimal über den Sachverhalt unterrichtet, von dort aber nur die Auskunft bekommen, dass der Eigentümer der Daten informiert worden sei. Erst am 3. April, als die offenbar von UpGuard über den Vorfall informierte Finanznachrichtenagentur Bloomberg Facebook um eine Stellungnahme zu dem Vorfall bat, verschwand der Datensatz schließlich.

Der zweite Datensatz hingegen, der 22.000 Passwörter enthielt, sei noch während der UpGuard-Recherchen plötzlich von den Servern verschwunden. Den Grund dafür konnten die Experten nicht herausfinden.

Der Fall zeigt erneut, dass Facebook ein Problem damit hat, die Daten seiner Nutzer sicher zu verwalten. Zwar lag der konkrete Fehler diesmal nicht bei dem Unternehmen selbst, die Datenpanne macht aber einmal mehr klar, wie wenig Kontrolle das Unternehmen darüber hat, wie Drittanbieter mit den Daten seiner Nutzer umgehen. Zwar hatte Facebook 2018 eine Überprüfung Tausender App-Anbieter durchgeführt und Hunderte von seiner Plattform ausgeschlossen. Doch der neue Fall zeigt, dass der Überprüfungsprozess keine Garantie dafür ist, dass nur noch vertrauenswürdige Drittanbieter auf Facebook vertreten sind.

Zuletzt hatte das Unternehmen eingestehen müssen, dass Zehntausende seiner Mitarbeiter jahrelang Zugriff auf im Klartext gespeicherte Passwörter von Hunderten Millionen Nutzern hatten. In den USA wird wegen umstrittener Daten-Deals gegen Facebook ermittelt. Dem Konzern wird vorgeworfen, 150 Unternehmen jahrelang weitreichenden Zugriff auf Nutzerdaten gewährt zu haben.

Anmerkung der Redaktion: Ursprünglich hieß es in diesem Text, es seien 540 Millionen Facebook-User betroffen. Tatsächlich aber war die Formulierung von UpGuard missverständlich. Gemeint sind 540 Millionen Datenpunkte. Wie viele Nutzer betroffenen sind, versuchen UpGuard und Facebook noch herauszufinden.

URL:

Verwandte Artikel:

Mehr im Internet


© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung