
Laut Angaben wurde ein Server mit Aufzeichnungen von Hunderten Millionen Facebook-Benutzerkonten ohne Online-Schutz gefunden TechCrunch.
Der Server enthielt insgesamt 419 Millionen Benutzerdatensätze. Etwa 133 Millionen davon waren für US-Benutzer, 18 Millionen für britische Benutzer und 50 Millionen für Benutzer in Vietnam.
Der Server selbst war nicht passwortgeschützt, was bedeutet, dass jeder online auf die Protokolle zugreifen kann.
Jeder dieser Datensätze enthielt die eindeutige Benutzer-ID von Facebook (anhand derer der Benutzername des Kontos ermittelt werden kann) sowie die dem Konto zugeordnete Telefonnummer. Einige Datensätze enthielten auch die Benutzernamen, das Geschlecht und das Land des Benutzers.
In einer Erklärung zu TechCrunchFacebook gab an, dass der Datensatz auf dem Server “alt” war. Insbesondere erklärte das Unternehmen, dass die Informationen irgendwie erhalten worden seien, bevor Facebook Änderungen vorgenommen habe, um den öffentlichen Zugang zu Telefonnummern zu entfernen, die mit Benutzerkonten verknüpft sind.
“Der Datensatz wurde entfernt und wir haben keine Beweise dafür gesehen, dass Facebook-Konten entführt wurden”, sagte der Sprecher.
TechCrunch Reporter konnten die Richtigkeit der Serverdaten überprüfen, indem sie die Datensätze mit bekannten Facebook-Nutzern verglichen. Sie konnten auch andere Datensätze mit dem Facebook-Tool zum Zurücksetzen von Passwörtern überprüfen, das eine teilweise Telefonnummer anzeigt.
Interessanterweise ist unklar, wem der Server gehört oder woher er stammt. Wenn TechCrunch kontaktierte das Hosting-Unternehmen, der Server wurde gezogen. Es ist auch unklar, wie, warum und wann Facebook-Daten gelöscht wurden.
Der ungeschützte Server wurde zuerst vom Sicherheitsforscher Sanyam Jain entdeckt, der erklärte, er habe die Telefonnummern mehrerer Prominenter finden können.
Während Facebook behauptet, es gebe keinen Hinweis darauf, dass Benutzerkonten entführt wurden, könnte sich das Vorhandensein des Datensatzes als Sicherheitsrisiko für die beteiligten Benutzer erweisen.
Zum Beispiel wird das Hacken von SIM-Karten immer häufiger. Mithilfe von SIM-Hacking-Techniken kann ein schlechter Schauspieler den Betreiber anrufen und ihn auffordern, eine bestimmte Telefonnummer zu übergeben. Dies kann dem Angreifer Zugriff auf Funktionen zum Zurücksetzen von Kennwörtern und eine Möglichkeit geben, die Benutzerauthentifizierung auf zwei Arten zu umgehen.
Das Durchsickern von Online-Telefonnummern kann Sie auch mehr Spam oder Robocalls aussetzen, die selbst ein zunehmend ernstes Problem darstellen.