Packet Storm: Facebook Datenleck größer als zugegeben

Packet Storm attackiert Facebook und legt dar, dass die Zahl von sechs Millionen betroffenen Usern nicht richtig sei. Darüber hinaus können durch den Bug viel mehr Informationen geflossen sein, als Facebook gegenüber betroffenen Nutzern angab.

Denn es sei nicht nur möglich gewesen, den Bug einmal auszunutzen, sondern den Datensatz zu einer Person iterativ "anzureichern". Mit jedem Schritt liesen sich so mehr Informationen sammeln.

Packet Storm beruft sich auf die Ergebnisse der eigenen Testreihen und Experimente, die zum Auffinden des Bugs führten. Dabei ergibt sich eine deutliche Abweichung zwischen dem, was Packet Storm an Informationen von Facebook herunterladen konnte und worüber Facebook die Nutzer informierte. Gegenüber einem Betroffenen erklärte Facebook, nur eine Email-Adresse wäre durch das Leck geschlüpft, obwohl es tatsächlich vier personenbezogene Informationen waren. In einem anderen Fall gab Facebook die Preisgabe von drei Informationen an, obwohl sieben durch den Bug mitgeteilt wurden.

Folgendes Beispiel nennt Packet Storm zur Veranschaulichung der Problematik:

1. Dan hat einen Facebook-Acoount und sich dort mit der Email-Adresse dan@freemail.xy registiert. Er hat absichtlich keine Telefonnummer bei Facebook hinterlegt.

2. Alice, eine Freundin von Dan, läd ihr Adressbuch mit Kontaktinformationen bei Facebook hoch. Entweder über Google, ihr Telefon oder eine der vielen anderen möglichen Quellen. Darin ist ein Eintrag von Dan mit der Telefonnummer 408-555-1212, der E-Mail Adresse dan@freemeil.xy und der E-Mail Adresse dan@datingsite.xy enthalten.

3. Eve, die keine Freundin von Dan ist, hat die E-Mail Adresse dan@freemail.xy über dessen Blog in Erfahrung gebracht und läd sie als Kontakt zu Facebook hoch. Anschließend läd sie ihre erweiterten Kontaktinformationen von Facebook herunter. Die erweiterten Kontaktinformationen enthalten eine Datei namens addressbook.html, die eigentlich nur diejenigen Kontaktinformationen enthalten sollte, welche Eve hochgeladen hatte. Während der "Bug" existierte, konnte Eve zusätzlich einen Eintrag für Dan mit der Telefonnummer 408-555-1212 erhalten, zusammen mit den E-Mail Adressen dan@freemail.xy und dan@dateingsite.xy. Dan wollte nie, dass Eve diese Informationen erhält.

Soweit hatten wir bei TweakPC aufgrund der Mitteilung von Facebook das auch verstanden und berichtet. Packet Storm gibt nun Aufschluss über das, was Facebook nicht klarstellte. Das Beispiel geht weiter:

4. Frank, der wie Dan bei "das Unternehmen" arbeitet, läd seine Kontaktinformationen bei Facebook hoch. Darin ist ein Eintrag zu Dan mit den Telefonnummern 408-555-1212 und 312-555-2323 sowie den E-mail Adressen dan@dans-geheimer-regierungsarbeitsplatz.gov.xy und dreaddrop@secretmail.xy enthalten.

5. Eve läd eine Kontaktdatei mit Dans Telefonnummer 408-555-1212 bei Facebook hoch, die sie bei ihrem letzen Download erhalten hatte. Anschließend läd sie wieder ihr erweiteres Datenset herunter und erfährt, dass Dan außer dan@freemail.xy, dan@datingsite.xy und auch die E-Mail Adressen dan@dans-geheimer-regierungsarbeitsplatz.gov.xy und dreaddrop@secretmail.xy sowie die Telefonnummer 312-555-2323 hat. Dann prüft sie die 312-555-2323 bei whitepages.com und findet Dans Wohnanschrift heraus.

6. Nachdem der "Bug" gefixed wurde schreibt Facebook Dan eine E-Mail und erzählt ihm, dass folgende Informationen weitergegeben wurden: 408-555-1212, dan@freemail.xy, dan@datingsite.xy.

Laut Packet Storm hat Facebook betroffene Nutzer nur über den ersten Schritt informiert (Eve erfährt von 408-555-1212, dan@freemail.xy und dan@dateingsite.xy). Über den zweiten möglichen Schritt (Eve erhält Kenntnis von dan@dans-geheimer-regierungsarbeitsplatz.gov.xy, dreaddrop@secretmail.xy und 312-555-2323) hüllt sich Facebook aber in Schweigen. Gegenüber Packet Storm gab das Netzwerk an, nur Nutzer informiert zu haben, wenn Information direkt in Verbindung mit ihrem Namen geleaked worden seien.

Darüber hinaus erklärte Facebook, dass Personen, die keine Mitglieder des Netzwerkes sind, nicht kontaktiert wurden, wenn deren Daten betroffen waren. Das begründet die Datenkrake ausgerechnet damit, dass nicht noch mehr Informationen offengelegt werden sollen. Offenbar möchte Facebook auch nicht der Aufforderung nachkommen, den Gesamtumfang aller kompromittierten Daten publik zu machen und betroffenen Nutzer auch keinen Einblick gewähren, wer in den Besitz ihrer Daten gelangt ist. Letzteres wäre fraglos ein Verstoß gegen den Datenschutz, ersteres hingegen kann nur dem Ziel dienen, das wahre Ausmaß des Datenlecks zu verschleiern.