<BR /><BR />Praktisch ist die Website <a href="haveibeenpwned.com" target="_blank" class="external-link-new-window" title="">haveibeenpwned.com</a> eines australischen IT-Sicherheitsexperten. Dort kann man überprüfen, ob eigene Daten bereits in einem bekannten Leak aufgetaucht sind. Einfach E-Mail-Adresse oder Telefonnummer eingeben – die Seite zeigt dann an, ob und bei welchem Datenleck (zum Beispiel Facebook, LinkedIn, Adobe) man betroffen war. Der Dienst gilt als seriös und vertrauenswürdig.<BR /><BR /><BR /><div class="img-embed"><embed id="1153926_image" /></div> <BR /><BR />Zudem empfiehlt sich ein Blick in den Hilfebereich von Facebook, um herauszufinden, ob man Apps verwendet hat, die unerlaubt Daten gesammelt haben. Dabei handelt es sich oft um Unterhaltungs-Apps wie Umfragen oder Persönlichkeitstests – nicht von Facebook selbst entwickelt, aber über die Plattform genutzt.<h3> Was tun, wenn man betroffen ist?</h3>Sind Daten einmal veröffentlicht, lassen sie sich nicht zurückholen. Dann heißt es: Vorsicht! <BR /><BR />- Seien Sie besonders skeptisch bei E-Mails und SMS unbekannter Herkunft. Es könnte sich um Phishing-Fallen handeln. „Infolge des Facebook-Datenlecks wurden verstärkt Wellen von Phishingattacken gemeldet“, weiß die Verbraucherzentrale Südtirol. <BR /><BR />-</TD><TD>Ändern Sie das Passwort für die betroffene Internetplattform. Falls man dasselbe Passwort auch woanders nutzt (was man nie tun sollte), sollte es auch dort geändert werde. <BR /><BR />-</TD><TD>Ändern Sie wenn möglich auch die E-Mail-Adresse und Handynummer. Vor allem bei der E-Mail-Adresse ist es sinnvoll, mehrere zu nutzen – also etwa eine für soziale Netzwerke, eine andere für Freunde und Familie, eine dritte für Verträge usw.<BR /><h3> Viele Nutzer wissen nicht, dass sie betroffen sind</h3>Das Facebook-Datenleck, das 2021 bekannt wurde, hat seinerzeit weltweit für Schlagzeilen gesorgt. Allein in Italien waren 35 Millionen Nutzer betroffen – aber viele wissen es bis heute nicht. <BR /><BR />Die italienische Aufsichtsbehörde für den Datenschutz hatte zwar schon damals angeordnet, dass Facebook alle betroffenen Nutzer informieren müsse. Das sei aber bis heute nicht geschehen, sagt die VZS-Geschäftsführerin Gunde Bauhofer. <BR />„Viele Betroffene wissen also gar nicht, dass ihre Daten im Darknet praktisch gratis erhältlich waren.“<BR /><BR />Die Verbraucherzentrale hat nun eine Sammelklage gegen den Tech-Riesen eingereicht ( <a href="https://www.stol.it/artikel/chronik/sammelklage-der-verbraucherzentrale-suedtirol-gegen-meta" target="_blank" class="external-link-new-window" title="">STOL hat berichtet</a>).<BR /><BR /><BR /><div class="img-embed"><embed id="1153929_image" /></div> <BR /><BR />Dass damals – der Fall geht auf das Jahr 2019 zurück - eine so große Menge an Daten erbeutet werden konnte, liegt daran, dass die Angreifer eine Schwachstelle der Funktion zur Freundesuche bei Facebook ausgenutzt haben. <BR /><BR />Anschließend wurden die gesammelten Nutzerprofile als komplettes Datenpaket veröffentlicht und Betrüger konnten sie für ihre illegalen Zwecke, zum Beispiel Phishing-Attacken nutzen. Obwohl die Daten 2019 erbeutet wurden, tauchten sie erst im April 2021 in einem Hacker-Forum auf – frei zugänglich.<h3> Facebook: Kein Hackerangriff, sondern Scraping</h3>Dass die Nutzerdaten ungewollt im Internet verbreitet werden konnten, lag nicht etwa daran, dass Facebook von Kriminellen gehackt und die Daten gestohlen worden sind. Vielmehr handelte es sich um Scraping.<BR /><BR />Dabei werden bereits öffentlich zugängliche Daten automatisiert ausgelesen und gespeichert, also vom Bildschirm „zusammengekratzt“. Preisvergleichsportale nutzen zum Beispiel diese Methode. <BR /><BR />Grundsätzlich ist die Methode legal: Denn wenn keine technischen Schutzvorrichtungen überwunden werden, Datenschutzgesetze, Urheberrechte usw. verletzt werden, werden ja nur Informationen eingesammelt, die ohnehin öffentlich zugänglich sind. <BR /><BR />Etwas anderes ist es freilich, wenn die gesammelten Daten dann für illegale Zwecke genutzt werden. <h3> So sind die Angreifer vorgegangen</h3>Im Falle des Facebook-Datenleckes haben wohl Kriminelle einfach an eine große Menge Daten kommen wollen, um sie anschließend auch für illegale Aktivitäten im Darknet zur Verfügung zu stellen. Dass sie die riesige Menge von über 500 Millionen Daten erbeuten konnten, liegt daran, dass sie eine Sicherheitslücke des Systems bei der „Kontakt-Import-Funktion“ nutzen konnten. <BR /><BR />Mit dieser Funktion konnte man Freunde auf Facebook finden, deren Telefonnummer man auf dem Handy abgespeichert hatte. Das funktionierte auch, wenn die Telefonnummer in den Privatsphäre-Einstellungen vom Facebook-Nutzer auf „nicht-öffentlich“ gestellt worden ist.<BR /><BR />Wie sind die Angreifer vorgegangen: Sie ließen zunächst mit einem Programm automatisiert Handynummern erstellen, haben sie in die Facebook-Suche eingegeben und mit bestehenden Nummern abgeglichen. War die hochgeladene Nummer zufällig echt und gehörte zu einem Facebook-Profil, verknüpften sie die Nummer mit den weiteren öffentlichen Profil-Daten, etwa dem Namen und dem Arbeitsplatz. So entstanden eine Menge Datensätze, die 2021 im Internet auftauchten.