Drittanbieter-Apps Eine halbe Milliarde Datensätze von Facebook-Nutzern lagen offen im Web

Zwei Anbieter von Facebook-Apps haben Daten ihrer Nutzer ungeschützt auf offenen Webservern gespeichert. Selbst nachdem Sicherheitsforscher sie alarmierten, wurden sie nicht aktiv.

Facebook-Logo aus einem 3D-Drucker vor Netzwerkkabeln
REUTERS

Facebook-Logo aus einem 3D-Drucker vor Netzwerkkabeln

Von


Die Experten der IT-Sicherheitsfirma UpGuard sparen in ihrer Veröffentlichung nicht mit großen Zahlen. Müssen sie auch nicht, denn was sie entdeckt haben, ist groß, peinlich und nicht direkt Facebooks Schuld, fällt aber doch auf das Unternehmen zurück. Immerhin sind die Sicherheitsforscher regelrecht über einen Berg vertraulicher Daten - mehr als eine halben Milliarde Datensätze von Facebook-Nutzern - gestolpert, unverschlüsselt auf einem von Amazon gemieteten Server gespeichert, der jedermann den Download der Datenpakete erlaubte.

Der größere der beiden Datensätze stammt demnach von dem mexikanischen Medienunternehmen Cultura Colectiva, ist 146 Gigabyte groß und enthält insgesamt 540 Millionen Datenpunkte. Diese enthalten neben Facebook-Nutzernamen unter anderem Informationen über Likes dieser Nutzer, ihre Kommentare und mehr.

Als gefährlicher schätzen die Experten aber eine zweite Datenbank ein, die sie auf demselben Server vorfanden. Sie stammt von dem Entwickler einer Facebook-App namens "At the Pool" und ist mit 22.000 Datensätzen wesentlich kleiner. Brisant ist sie allerdings, weil darin neben Facebook-IDs, Likes und Vorlieben auch Passwörter gespeichert sind.

Dabei handele es sich zwar wahrscheinlich nicht um die Facebook-Passwörter der Betroffenen, sondern um deren Zugangscodes für "At the Pool". Doch weil viele Internet-User aus Faulheit oder Bequemlichkeit oft dasselbe Passwort für mehrere Webseiten oder Netzangebote verwenden, stelle auch das eine Gefahr dar, urteilt UpGuard. Dass "At the Pool" 2014 den Betrieb eingestellt hat, spielt dabei keine Rolle.

Keine Reaktion

Unklar ist, wie lange die Daten auf den fraglichen Servern lagerten und ob vor den Forschern von UpGuard schon jemand anders auf diesen Datenschatz aufmerksam geworden ist. Offensichtlich jedoch haben die beiden Unternehmen, die diese Daten in der Cloud lagerten, sie längst vergessen und kein Interesse mehr daran.

Anders lässt sich ihre Gleichgültigkeit jedenfalls kaum erklären. UpGuard informierte Cultura Colectiva nach eigenen Angaben erstmals am 10. Januar und dann erneut, weil eine Reaktion ausblieb, am 14. Januar über die Entdeckung. Das Unternehmen habe darauf bis heute nicht geantwortet, heißt es von dem Sicherheitsunternehmen.

Monate später endlich gelöscht

Schließlich habe man auch Amazon als Anbieter des Miet-Servers zweimal über den Sachverhalt unterrichtet, von dort aber nur die Auskunft bekommen, dass der Eigentümer der Daten informiert worden sei. Erst am 3. April, als die offenbar von UpGuard über den Vorfall informierte Finanznachrichtenagentur Bloomberg Facebook um eine Stellungnahme zu dem Vorfall bat, verschwand der Datensatz schließlich.

Der zweite Datensatz hingegen, der 22.000 Passwörter enthielt, sei noch während der UpGuard-Recherchen plötzlich von den Servern verschwunden. Den Grund dafür konnten die Experten nicht herausfinden.

Der Fall zeigt erneut, dass Facebook ein Problem damit hat, die Daten seiner Nutzer sicher zu verwalten. Zwar lag der konkrete Fehler diesmal nicht bei dem Unternehmen selbst, die Datenpanne macht aber einmal mehr klar, wie wenig Kontrolle das Unternehmen darüber hat, wie Drittanbieter mit den Daten seiner Nutzer umgehen. Zwar hatte Facebook 2018 eine Überprüfung Tausender App-Anbieter durchgeführt und Hunderte von seiner Plattform ausgeschlossen. Doch der neue Fall zeigt, dass der Überprüfungsprozess keine Garantie dafür ist, dass nur noch vertrauenswürdige Drittanbieter auf Facebook vertreten sind.

Zuletzt hatte das Unternehmen eingestehen müssen, dass Zehntausende seiner Mitarbeiter jahrelang Zugriff auf im Klartext gespeicherte Passwörter von Hunderten Millionen Nutzern hatten. In den USA wird wegen umstrittener Daten-Deals gegen Facebook ermittelt. Dem Konzern wird vorgeworfen, 150 Unternehmen jahrelang weitreichenden Zugriff auf Nutzerdaten gewährt zu haben.

Anmerkung der Redaktion: Ursprünglich hieß es in diesem Text, es seien 540 Millionen Facebook-User betroffen. Tatsächlich aber war die Formulierung von UpGuard missverständlich. Gemeint sind 540 Millionen Datenpunkte. Wie viele Nutzer betroffenen sind, versuchen UpGuard und Facebook noch herauszufinden.



insgesamt 6 Beiträge
Alle Kommentare öffnen
Seite 1
GoaSkin 04.04.2019
1.
Soll das heissen, man muss sich nur eine Facebook-Drittanbieter-App ausdenken, damit Facebook einem "vertraulich" sämtliche Nutzerdaten rausrückt?
vernetzt weiblich denken 04.04.2019
2. Facebook erstickt an seinen Pflichten
Sammeln ist einfach, sortieren und sichern scheint zu viel zu sein. Was tun. Augen zu und durch? Wer soll denn die Aufgaben von Facebook übernehmen, wenn es Facebook selbst nicht schafft. Wenn wir alle die Problematik erkennen würden, könnte man handeln. Doch selbst die Politik schafft es nicht. Wir haben keine Ahnung. Wie soll man auch nur denken können was da rumliegt. Jeden Tag werden 2,3 Milliarden neue Beiträge angehäuft. Bei dieser Masse ist es ein Einfaches Werbegelder anzufordern. Dem Markt ist es egal, was wer im Facebook hinterlassen hat. Und geöffnete Dateien liegen einfach nur herum. Die Digitalisten in den Onlinepostillen sind sich auch zu gut, die Bremse zu ziehen. Fortschritt Fortschritt sonst nichts.
Onkel Drops 04.04.2019
3. jedes noch so dämliche Smartfongame...
möchte und will gerne das man sich mit dem Fratzenbuch verbindet( gibt dann was tolles auch manchmal gratis ingame!!!). ohne Fratzenbuch Account gibts Null Bonusmaterial ( dafür ist man aber sicherer ,wie man hier wieder sieht). von mir aus kann Herrn Zuckerbergs Datenkrake ruhig verenden. gibt genug andere Anbieter die "noch" kleiner und besser arbeiten... nicht PW geschützte Server mieten bei Amazon. kuck mal alles einsehbar und ganz ohne "Huawei" ... hallo EU hier ist ein geklärtes Datenleck via "nicht die Chinesen/Russen"... Antrag angelehnt sind ja die guten Kumpels hinterm Teich. datenschutzuploadfilter dringend erforderlich, quasi Raubmorddatenkopierer sind denen doch egal. Herr Altmeier würde dann all die Arbeitsplätze in Gefahr sehen und eine Steuerbefreiung empfehlen. meine Empfehlung den Anbieter wechseln ,gibt ja nicht nur Grokodile zur Auswahl! Herr Elmar Brok ist ja schon ein Bertelsmann und gleichzeitig Unionsparteimitglied im EU Parlament ( Korruption? ach woher denn ... "es gibt nicht zu sehn,gehen sie weiter " würde Officer Barbrady in southpark stammeln).
spon_2545532 04.04.2019
4. Defintionen
Liebe SPON-Redaktion, geht doch bitte mal in Euch und macht Euch mit den Defintionen für "Datenbank" und "Datensatz" vertraut. Wenn ich dann schoin lesen muss "Datenpunkte" kommt mir ehrlich gesagt das Gruseln. Wie soll, denn da unsere Regierung jemals aus dem Neuland herauskommen, wenn Ihr die Begriffe so durcheinanderwerft?
Bernd.Brincken 04.04.2019
5. Maßnahme
Zitat von vernetzt weiblich denkenSammeln ist einfach, sortieren und sichern scheint zu viel zu sein. Was tun. Augen zu und durch? Wer soll denn die Aufgaben von Facebook übernehmen, wenn es Facebook selbst nicht schafft. Wenn wir alle die Problematik erkennen würden, könnte man handeln. Doch selbst die Politik schafft es nicht. Wir haben keine Ahnung. Wie soll man auch nur denken können was da rumliegt. Jeden Tag werden 2,3 Milliarden neue Beiträge angehäuft. Bei dieser Masse ist es ein Einfaches Werbegelder anzufordern. Dem Markt ist es egal, was wer im Facebook hinterlassen hat. Und geöffnete Dateien liegen einfach nur herum. Die Digitalisten in den Onlinepostillen sind sich auch zu gut, die Bremse zu ziehen. Fortschritt Fortschritt sonst nichts.
Dazu ein einfacher Vorschlag: - Jeder Datenpunkt (über die Definition kann man sich einigen) wird mit einem - vorerst - virtuellen Wert angesetzt. Taucht der Datenpunkt irgendwo außerhalb des vertraglich zwischen FB und den Nutzern geregelten Bereichs auf, bekommt der Nutzer den Wert als Daten-Schmerzensgeld erstattet. Zup zupp, sind alle Fragen geklärt, und keiner muss sich das Geschwafel von Zuckerberg und Co mehr antun.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.