Drittanbieter speichern umfassende Datensätze auf AWS S3

Facebook verliert Kontrolle über Daten

| Autor / Redakteur: Dirk Srocke / Peter Schmitz

UpGuard hat auf AWS-Servern über 540 Millionen ungesicherte Facebook-Datensätze gefunden.
UpGuard hat auf AWS-Servern über 540 Millionen ungesicherte Facebook-Datensätze gefunden. (Bild: UpGuard)

Über 146 Gbyte an Informationen von Facebooknutzern standen per Amazon S3 offenbar jedem frei zum Download verfügbar, darunter auch unverschlüsselte Passwörter – das berichtet Sicherheitsanbieter UpGuard in einem Blogbeitrag vom 3. April.

Mit den zwei jetzt gefundenen Datensätzen verdeutlicht das UpGuard Cyber Risk Team eindringlich die Gefahren massenhaft durchgeführter Datensammlungen. Die von Drittanbietern stammenden Datensätze waren unabhängig voneinander in Amazon S3 Buckets gespeichert. Über die hätte jeder Internetanwender hunderte Millionen Einträge zum Nutzerverhalten einzelner Facebookanwender herunterladen können – ohne dass das Social Network noch etwas dagegen hätte tun können.

Die Daten stammen einerseits von der in Facebook integrierten App „At the Pool“, die offenbar bereits 2014 eingestellt wurde. Enthalten waren hier Details von 22.000 Nutzern. Neben Vorlieben, Fotos und Freunden enthielt der Datensatz auch unverschlüsselte Passwörter. UpGuard vermutet allerdings, dass es sich dabei um Zugangsdaten zur App handelt – und nicht solche zu Facebook selbst. Ein akutes Sicherheitsrisiko wäre damit nur für Anwender konstruierbar, die identische Passwörter bei verschiedenen Diensten genutzt und schon seit längerer Zeit nicht mehr geändert haben.

Wichtige Sicherheits­einstellungen für Facebook

Soziale Netzwerke absichern

Wichtige Sicherheits­einstellungen für Facebook

19.06.18 - In den Standardeinstellungen ist Facebook sehr unsicher eingestellt. Hacker nutzen das aus, um Profile zu kopieren und Daten zu stehlen. Wir zeigen die wichtigsten Sicherheits­regeln für Facebook und wie man mit wenigen Einstellungen die Sicherheit, die Privatsphäre und den Datenschutz deutlich verbessern kann und Hacker damit aus seinem Facebook-Profil aussperrt. lesen

Im zweiten Datensatz fanden die Forscher andererseits über 540 Millionen Datensätze mit einem Umfang von 146 GByte, die vom mexikanischen Medienunternehmen Cultura Colectiva stammen. Wenngleich UpGuard hier nicht auf gespeicherte Passwörter verweist, biete die Dichte der gesammelten Informationen zu Nutzern, Kommentaren oder Likes an sich einiges Missbrauchspotential.

Träge Reaktionen und Beschwichtigungen

UpGuard will Cultura Colectiva wiederholt per Mail am 10. Januar und 14. Januar auf die öffentlich zugänglichen Daten hingewiesen, darauf aber keine Reaktion erhalten haben. Eine Mitteilung vom 28. Januar an Amazon Web Services (AWS) wurde offenbar beantwortet, die Daten im Bucket seien jedoch weiterhin frei zugänglich geblieben. Erst nach einer Nachfrage des Medienunternehmens Bloomberg an Facebook am 3. April sei der „cc-datalake“ genannte Bucket schließlich gesichert worden.

Laut Nachrichtensender CNBC beschwichtigt Cultura Colectiva: Privatsphäre und Sicherheit von Nutzern seien nicht gefährdet gewesen, denn private Daten wie Passwörter oder E-Mails waren nicht zugänglich. Nichtsdestotrotz habe man die eigenen Sicherheitsmaßnahmen verstärkt.

Bundeskartellamt maßregelt Facebook

Diskussion um Datenverknüpfung, DSGVO und Marktmacht

Bundeskartellamt maßregelt Facebook

08.02.19 - Das Bundeskartellamt untersagt Facebook, Nutzerdaten ungefragt aus verschiedenen Quellen zusammenzuführen. Das soziale Netzwerk protestiert gegen die Entscheidung und zweifelt an der Fachkenntnis der Behörde. Die bekommt derweil Rückendeckung vom Bundesdatenschutzbeauftragten. lesen

Mit Facebook selbst hat UpGuard in der Angelegenheit offenbar nicht kommuniziert. Ein von CNBC nicht namentlich von genannter Unternehmenssprecher will zumindest keine Kenntnis von einer Kontaktaufnahme haben. Dafür verwies Facebook gegenüber dem Sender auf die eigenen Policies; denen zufolge dürften Dritte von Facebook stammende Informationen nicht an ungesichteren Orten ablegen.

Bei „At the Pool“ seien die Daten derweil noch offline gegangen, bevor UpGuard eine Mitteilung hatte verschicken können. Über die Gründe hierfür lässt sich freilich nur spekulieren.

Nur halbe Entwarnung

Die gute Nachricht: Beide Lecks enthalten offenbar keine Passwörter zu Facebook-Konten. Nichtsdestotrotz zeigen die Datansätze laut UpGuard, wie leicht das Soziale Netzwerk die Kontrolle über einmal gesammelte Daten verliert. Auch wenn Facebook den Zugriff Dritter auf Daten künftig beschränke: Eine Fülle bereits in freie Wildbahn gelangte Informationen ließen sich nicht mehr zurückholen oder kontrollieren.

Trotz Patch ein mögliches Datenleck bei Facebook

Risiko Security-Patches

Trotz Patch ein mögliches Datenleck bei Facebook

13.12.18 - Dass persönliche Daten von Facebook-Nutzern über eine Schwachstelle in Chrome abgreifbar waren, war eine der Schlagzeilen im Sommer des Jahres. Patch drauf, Gefahr gebannt, ist die übliche Vorgehensweise, aber dieses Mal entpuppte sich der Patch als Kuckucksei, denn die gestopfte Sicherheitslücke bedingte das nächste Datenleck. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45845534 / Sicherheitsvorfälle)