Immer wenn Daten ausgetauscht werden, ist Sicherheit ein Thema, welches damit einhergeht. Die Sicherheit der Daten hat höchste Priorität und ein Datenleck ist ein Worstcase-Szenario. Unvermeidbar ist dies jedoch nicht immer.
Das Thema Sicherheit und Datensicherheit tritt im digitalen Umfeld meist erst ins Bewusstsein, wenn es zu spät ist. Im privaten Umfeld denkt man zuerst an die Konsistenz der Daten, sprich über den Erhalt von Daten. Im professionellen Umfeld kommt eine entscheidende Komponente hinzu: der Zugriff. Also die Frage, wer, wann, wie, wo auf Daten und Datensätze zugreifen darf und wie dies abgesichert werden kann.
Der Zugriff auf Daten oder Datensätze ist allerdings nicht immer gleich. Es ist wichtig, zu verstehen, wenn weltweit 530 Millionen Facebook-Nutzer (für die DACH-Region circa 8 Millionen) in einer ungesicherten Datenbank öffentlich zugänglich gemacht wurden, wie diese Daten dorthin gelangt sind. Am Ende ist der Zugriff auf die Daten etwas unspektakulärer als angenommen, wenn das Ausmass und das Vertrauen für Facebook ein Problem darstellen können. Immerhin kursieren die Daten seit 2019 durch das Netz.
Die Datensicherheit zu gewährleisten ist ein ewiges Katz-und-Mausspiel. Bei Facebook gibt es für die Sicherheit ganze Teams, die sich ausschliesslich mit diesen Themen auseinandersetzen. Im jüngsten Fall ist niemand ins System eingedrungen, denn dieser Eindruck könnte durch die Medienberichte entstehen und es ist häufig die nächste Assoziation mit dem Wort „Hack“. Die Daten wurden durch Scraping erschlichen, den Zugang dafür legte ein Zwischenschritt.
Die Vorgehensweise heisst Screen Scraping bzw. kurz Scraping. Es ist eine Taktik, häufig mittels automatisierter Software oder kleinerer Scripte, um öffentliche Informationen aus dem Internet abzuschöpfen. Unter öffentlichen Informationen versteht sich in diesem Zusammenhang jeder Datensatz bzw. jede Information, die ohne kriminelles Vorgehen zugänglich ist.
Dies können z.B. Datensätze auf Plattformen sein, wie die Kontakte, die man bei XING und LinkedIn hat, um diese in ein Adressbuch zu überführen. Was so naheliegend ist, kann mittels Scraping realisiert werden. Wer im E-Commerce tätig ist, könnte zum Beispiel ein Script nutzen, um den besten Preis für einen Artikel zu ermitteln. Ein kleines Programm liest die gängigen Preisvergleichsportale aus, die Artikel anhand einer eindeutigen Artikelnummer (EAN) vergleichen und später den besten Preis mit dem eigenen Einkaufspreis abgleicht. Und so kann eine bessere Position im Ranking erreicht werden. Ein anderes Beispiel könnte sein, die Teilnehmer von Veranstaltungsseiten zu ermitteln und die abgeschöpften Daten dann mit eigenen Datensätzen zu vergleichen und zur Lead-Generierung zu benutzen. Das dient beispielsweise dazu, um im Nachgang nochmal Konferenzteilnehmer anzugehen.
Scraping findet in vielen Formen statt und dies funktioniert auf unterschiedlicher, technischer Komplexität. Ob es immer erlaubt ist und wenn ja, moralisch vertretbar, steht auf einem anderen Blatt. In diesen Beispielen geht es nur um die Verdeutlichung der Methode und deren gängigen Nutzungsszenarien.
Die betroffenen Daten sind aus 2019. Facebook hatte damals ein Datenleck, welches 419 Millionen Datensätze offenbarte, die ebenfalls über Scraping abgeschöpft wurden. Das Leck entstand durch den Kontaktimporter von Facebook. Die Funktion wurde bereitgestellt, um Menschen behilflich zu sein, ihre Freunde über die Angabe der Telefonnummer zu finden. In dem Fall ist die Telefonnummer der Schlüssel, der die Tür geöffnet hat. Die Telefonnummer wurde in Facebooks Datenbank abgeglichen, gab es einen Treffer, gab es einen Vorschlag über die Facebook-ID. Mit der Facebook-ID konnte dann der Name und oder Profilbild ausgelesen werden. Facebook selbst beschreibt es wie folgt: „Mit der bisherigen Funktionalität konnten sie einen Satz von Benutzerprofilen abfragen und eine begrenzte Anzahl von Informationen über diese Benutzer erhalten, die in ihren öffentlichen Profilen enthalten waren. Die Informationen beinhalteten keine finanziellen Informationen, Gesundheitsinformationen oder Passwörter.“
Um die Telefonlisten im ersten Schritt zu erlangen, wurde die Importfunktion der App nachgeahmt. Es wurde eine gefälschte Seite aufgesetzt, die im Look-and-Feel von Facebook daherkam – Phishing, das ist der angesprochene Zwischenschritt. Das potenzielle Opfer hat seine Kontaktliste den Angreifern übertragen und diese konnten nun, an der oben beschriebenen Funktion ansetzen und die Daten mit weiteren Daten anreichern.
Facebook hat dieses Feature 2019 bereits als problematisch identifiziert und geschlossen.
Beim Schutz der eigenen Daten ist jeder gefordert. Es beginnt damit, die eigenen Sicherheitseinstellungen auf Facebook regelmässig zu überprüfen. Für den konkreten Fall gibt es einen Hilfebetrag bei Facebook direkt. Auch wenn in diesem Fall keine Passwörter abgeschöpft wurden, ist die Aktivierung der Zwei-Faktor-Authentifizierung eher die Pflicht als die Kür. Die Liste an Möglichkeiten ist lang und geht über die Wahl eines kryptischen Passworts bis hin zum Rollenmanagement in der Nutzerverwaltung. Eine ausführliche Beschreibung gibt es bereits hier im Blog darüber, wie der Umgang mit Facebook sicherer gestaltet werden kann.
Das Datenleck ist unschön und für Facebook ein schwieriges Thema. Phishing, Scraping und andere Techniken werden immer Themen bleiben, denen sich Sicherheitsfirmen- und Abteilungen ausgesetzt sehen. Wie oben beschrieben, kann gerade Scraping auch im kleinen Kreise stattfinden. Leadgenerierung, Datenanreicherung, Wettbewerbsvorteil sind nur einige Punkte, um auf die Idee der Datenabschöpfung zu kommen. Natürlich sind die Vorgehensweisen in den Plattformen und explizit bei Facebook untersagt und somit illegal. Sie lassen sich deswegen allerdings nicht technisch verhindern. Alles, was am Bildschirm angezeigt wird, kann ausgelesen oder festgehalten werden. Diese Tatsache sollte man sich immer vor Augen führen.
Im aktuellen Fall sind auch Mitarbeiter der Hutter Consult AG betroffen. Ob der eigene Datensatz bei dem Datenleck abgeschöpft wurde, kann mit Angabe der Telefonnummer (internationale Vorwahl verwenden, z.B. +41 oder +49) bei haveibeenpwned.com geprüft werden. Und speziell für den DACH-Raum hat Freddy Greve eine Datenbank angelegt, auf der mittels der eigenen Facebook-URL die Betroffenheit geprüft werden kann.
Comments are closed.