Hat eine Sicherheitslücke in Facebook meine Telefonnummer öffentlich gemacht?
Vor einigen Tagen wurde bekannt, dass eine extrem grosse Menge an Facebook Nutzerdaten im Internet veröffentlicht wurde. Über 500 Millionen Accounts sind betroffen. Schätzungen entgegen handelt es sich dabei um rund 20% aller Facebook Nutzer [1]. Darunter befinden sich auch mehr als 1.5 Millionen Schweizer Accounts [2].
Woher kommen die Daten?
Noch ist nicht vollständig geklärt, woher die exponierten Daten stammen. Stimmen aus der Security-Szene vermuten, dass es sich um einen Angriff handelt, der bereits im 2019 oder 2020 durchgeführt wurde.
[3]
Telefonnummern - wertvollster Inhalt
Häufig werden Sets mit Nutzerdaten in Hackerforen für teures Geld verkauft. Der Wert der Daten liegt dabei meistens bei E-Mail-Adressen, welche vom Käufer für SPAM-Versand benutzt werden können.
In diesem Beispiel liegt der grösste Wert der Daten jedoch bei der Unmenge an exponierten Telefonnummern. Diese haben einen noch grösseren Wert für bösartige Nutzung. Eine Telefonnummer ist in den meisten Fällen weniger einfach auszuwechseln als eine E-Mail-Adresse. Werbeanrufe sind, im Gegensatz zu SPAM-E-Mails, auch schwieriger abzublocken und weitaus störender im Alltag.
Wurde auch meine Telefonnummer veröffentlicht?
Der in der Security-Szene bekannte Sicherheitsexperte Troy Hunt betreibt seit einigen Jahren die Internetseite haveibeenpwned.com. Er sammelt und katalogisiert Daten aus Sicherheits-Leaks, ohne deren Inhalt an die Öffentlichkeit weiterzugeben.
Sein Service besteht darin, dass Nutzer sich darüber informieren können, ob Ihre eigenen Daten veröffentlicht wurden. Dazu gibt man unter der besagten Website seine E-Mail-Adresse oder Telefonnummer ein. Danach wird einem angezeigt, ob diese Information in Troys Datenbank an Leaks gefunden wurde.
Sicherheitshinweis: Es lohnt sich, kritisch zu hinterfragen, auf welcher Website man seine persönlichen Angaben wie E-Mail-Adresse oder Telefonnummern in ein Formular eingibt.
Der obige Service von Troy Hunt ist in der Security-Szene hoch angesehen und als vertrauenswürdig eingestuft. Abfragen in der Datenbank werden nicht gespeichert oder geloggt. Trotzdem ist jedem selber überlassen, ob er den Service nutzen möchte.
Mein Daten sind öffentlich, was nun?
Die folgenden Grundsätze gelten für alle Accounts:
- Niemals das gleiche Passwort für mehrere Accounts benutzen.
- Wenn eine E-Mail Adresse in der Datenbank gefunden wurde, ändere umgehend das Passwort für diesen Account. Solltest Du das Passwort bei anderen Accounts verwenden, ändere es dort ebenfalls.
- Sei kritisch bei Anfragen über E-Mail oder auch per SMS. Exponierte Daten aus Sicherheits-Breaches werden oft für sogenannte Phishing Attacken benutzt.
- Nutze einen Passwortmanager wie beispielsweise 1Password oder BitWarden. Dieser hilft Dir dabei, sichere und einzigartige Passwörter für jeden Deiner Accounts zu verwenden.
- Facebook ist, wie viele andere Internetdienste, nicht für Datensicherheit und Privatsphäre bekannt. Es lohnt sich immer zu überdenken, ob man einen Dienst wirklich braucht oder ob man die eigene Nutzung eventuell einstellen kann.