Vor einigen Tagen wurde bekannt, dass eine extrem grosse Menge an Facebook Nutzerdaten im Internet veröffentlicht wurde. Über 500 Millionen Accounts sind betroffen. Schätzungen entgegen handelt es sich dabei um rund 20% aller Facebook Nutzer [1]
. Darunter befinden sich auch mehr als 1.5 Millionen Schweizer Accounts [2]
.
Noch ist nicht vollständig geklärt, woher die exponierten Daten stammen. Stimmen aus der Security-Szene vermuten, dass es sich um einen Angriff handelt, der bereits im 2019 oder 2020 durchgeführt wurde.
[3]
Häufig werden Sets mit Nutzerdaten in Hackerforen für teures Geld verkauft. Der Wert der Daten liegt dabei meistens bei E-Mail-Adressen, welche vom Käufer für SPAM-Versand benutzt werden können.
In diesem Beispiel liegt der grösste Wert der Daten jedoch bei der Unmenge an exponierten Telefonnummern. Diese haben einen noch grösseren Wert für bösartige Nutzung. Eine Telefonnummer ist in den meisten Fällen weniger einfach auszuwechseln als eine E-Mail-Adresse. Werbeanrufe sind, im Gegensatz zu SPAM-E-Mails, auch schwieriger abzublocken und weitaus störender im Alltag.
Der in der Security-Szene bekannte Sicherheitsexperte Troy Hunt betreibt seit einigen Jahren die Internetseite haveibeenpwned.com. Er sammelt und katalogisiert Daten aus Sicherheits-Leaks, ohne deren Inhalt an die Öffentlichkeit weiterzugeben.
Sein Service besteht darin, dass Nutzer sich darüber informieren können, ob Ihre eigenen Daten veröffentlicht wurden. Dazu gibt man unter der besagten Website seine E-Mail-Adresse oder Telefonnummer ein. Danach wird einem angezeigt, ob diese Information in Troys Datenbank an Leaks gefunden wurde.
Sicherheitshinweis: Es lohnt sich, kritisch zu hinterfragen, auf welcher Website man seine persönlichen Angaben wie E-Mail-Adresse oder Telefonnummern in ein Formular eingibt.
Der obige Service von Troy Hunt ist in der Security-Szene hoch angesehen und als vertrauenswürdig eingestuft. Abfragen in der Datenbank werden nicht gespeichert oder geloggt. Trotzdem ist jedem selber überlassen, ob er den Service nutzen möchte.
Die folgenden Grundsätze gelten für alle Accounts: