Erneute Datenpanne bei Facebook

Das auf Datenleaks spezialisierte Sicherheitsunternehmen UpGuard hat auf zwei frei zugänglichen AWS-Servern 540 Millionen Datensätzen von Facebook-Nutzern gefunden. Sie stammen von Drittanbieter-Apps, denen Facebook Zugriff auf bestimmte Anwenderdaten erlaubt. Die eine App stammt von dem mexikanischen Medienunternehmen Cultura Colectiva, dessen Datensatz auf den AWS-Servern einen Speicherplatz von 146 Gigabyte belegt. Der Datensatz enthält Kommentaren, Vorlieben, Reaktionen, Kontonamen, FB-IDs und mehr.

Der zweite Datenfund geht auf die Sammelleidenschaft der in Facebook integrierten App mit dem Titel „At the Pool“ zurück. Deren Daten setzen sich aus fb_user_id, fb_user, fb_friends, fb_likes, fb_music, fb_movies, fb_books, fb_photos, fb_events, fb_groups, fb+checkins, fb_interests, Passwörtern und mehr zusammen. Die Passwörter sind vermutlich für die App „At the Pool“ und nicht für das Facebook-Konto des Benutzers, würden aber Benutzer gefährden, die das gleiche Passwort kontenübergreifend wiederverwendet haben.

Die At the Pool-Entdeckung ist nicht so groß wie der Datensatz von Cultura Colectiva, enthält aber Klartext-Passwörter für 22.000 Benutzer. At the Pool wurde 2014 eingestellt und auch die Website der Muttergesellschaft gibt derzeit eine 404-Fehlermeldung zurück. Jeder der Datensätze wurde in einem eigenen Amazon-S3-Bereich gespeichert, der so konfiguriert ist, dass er das öffentliche Herunterladen von Dateien ermöglicht.

Obwohl das Sicherheitsunternehmen Cultura Colectiva, AWS und Facebook bereits im Januar informiert hatte, waren die Datensätze bis gestern frei zugänglich. Erst nachdem Facebook von Bloomberg um eine Stellungnahme gebeten wurde, wurden die Daten gesichert.

Der zweite Amazon-Server, der App-Daten von At the Pool gespeichert hatte, wurde hingegen deaktiviert, noch bevor UpGuard die Möglichkeit hatte, das Unternehmen hinter dem Facebook-Spiel zu identifizieren und zu kontaktieren. „Es ist nicht bekannt, ob dies ein Zufall ist, ob eine Hosting-Periode abgelaufen ist oder ob eine verantwortliche Partei von der Exposition zu diesem Zeitpunkt Kenntnis erlangt hat. Unabhängig davon ist die Anwendung nicht mehr aktiv und alle Anzeichen deuten darauf hin, dass die Muttergesellschaft geschlossen wurde“, sagte UpGuard.

Diese beiden neuen Datenlecks zeigen, dass Facebook nicht in der Lage ist, ein Mindestmaß an Privatsphäre für seine Nutzer zu ermöglichen, obwohl es über eines der besten Teams von Cybersicherheitsexperten verfügt, die regelmäßig sicherheitsrelevante Funktionen zu den Benutzerkonten und der IT-Infrastruktur hinzufügt. Offenbar hat das Unternehmen aber die Kontrolle über seinen wichtigsten Vermögenswert – die Daten seiner Benutzer – verloren, sodass diese früher oder später auf irgendwelchen Servern zum Vorschein kommen.