Facebook hat in letzter Zeit nicht die größten Erfolge in Bezug auf die Benutzersicherheit verzeichnet, und obwohl sich die Nachrichten über Verstöße in letzter Zeit beruhigt haben, scheint es, dass der Trend wieder angeheizt hat.
TechCrunch In dem Bericht dieser Woche wird detailliert beschrieben, wie ein Server nicht so geschützt war, wie es hätte sein sollen, und infolgedessen wurden Telefonnummern, die mit Facebook-Konten verknüpft waren, online durchgesickert. Dem Bericht zufolge war der Server nicht durch ein Passwort geschützt, wodurch er für jedermann zugänglich war.
Infolgedessen hatten Facebook-Nutzer Zugriff auf Hunderte Millionen Telefonnummern, bis zu 419 Millionen. Allein in den Vereinigten Staaten gab es 133 Millionen Aufzeichnungen. 50 Millionen Datensätze wurden von Facebook-Nutzern in Vietnam entdeckt, 18 Millionen Datensätze stammten von Nutzern in Großbritannien.
Die Telefonnummer war nicht die einzige sensible Daten auf dem Server, da jedes Konto auch die eindeutige Facebook-ID enthielt.
Der exponierte Server enthielt über 419 Millionen Datensätze über mehrere Benutzerdatenbanken in verschiedenen Regionen, darunter 133 Millionen Datensätze über Facebook-Benutzer in den USA, 18 Millionen Benutzerdatensätze in Großbritannien und einen weiteren mit mehr als 50 Millionen Benutzerdatensätzen in Vietnam.
Da der Server jedoch nicht mit einem Kennwort geschützt war, konnte jeder Benutzer die Datenbank finden und darauf zugreifen.
Jeder Datensatz enthielt die eindeutige Facebook-ID eines Benutzers und die im Konto angegebene Telefonnummer. Die Facebook-ID eines Benutzers ist in der Regel eine lange, eindeutige und öffentliche Nummer, die mit seinem Konto verknüpft ist. Sie kann leicht verwendet werden, um den Benutzernamen eines Kontos zu erkennen.
Es ist jedoch erwähnenswert, dass Facebook den Zugang zu Telefonnummern seit über einem Jahr eingeschränkt hat. Infolgedessen datiert dieser bestimmte Server darüber hinaus, und Facebook gibt sogar an, dass der auf dem Server vorhandene Datensatz alt war:
Dieser Datensatz ist alt und hat anscheinend Informationen, die wir vor den Änderungen im letzten Jahr erhalten haben, um die Fähigkeit von Personen zu beseitigen, andere anhand ihrer Telefonnummern zu finden “, sagte der Sprecher. „Der Datensatz wurde entfernt und wir haben keine Hinweise darauf gesehen, dass Facebook-Konten kompromittiert wurden.
Das Speichern von Daten auf diese Weise ist leider nicht ungewöhnlich. Dieses spezielle Problem kann dazu führen, dass Personen mit exponierten Telefonnummern noch mehr Spam-Anrufe erhalten, als sie möglicherweise bereits erhalten. Darüber hinaus sind auch SIM-Swap-Angriffe möglich, die es jemandem ermöglichen, einen Netzbetreiber dazu zu bringen, einer schändlichen Person die Telefonnummer einer anderen Person zuzuweisen.
Dies ist nicht unbedingt ein schwerwiegender Verstoß, zeigt jedoch, wie wichtig es ist, diese Server zu sperren, auf denen potenziell vertrauliche Informationen gespeichert werden können. Auf diese Weise offen zu lassen, ohne dass ein Passwort vorhanden ist, ist sehr riskant.