[Born-IT] 540 Millionen Facebook-Datensätze offen im Internet

Sicherheitsforscher sind kürzlich auf einen Datenträger von einer Medienfirma aus Mexiko gestoßen, der offen im Internet verfügbar war. Dieser Datenspeicher enthielt gut 540 Millionen Datensätze zu Facebook-Benutzern. Die letzten Tage bin ich nicht dazu gekommen, über Facebook und die neuesten →

Weiterlesen


Autor: Günter Born

 

[musv]

Versteh ich nicht, was jetzt der Skandal sein soll.

Facebook ist öffentlich. Wer Daten dort ablegt, hat sie praktisch der Welt zur Verfügung gestellt. Das sollte man akzeptieren, wenn man dort ein Konto eröffnet. Vielleicht sollte das bei der Registriermaske gleich groß und dick dazustehen. Würde uns einiges an aufgebauschten Pseudoskandalen ersparen, und die Welt könnte sich wieder auf wichtigere Dinge konzentrieren.

 

[KaPiTN]

Email und Paßwörter sind aber nicht öffentlich.

 

[musv]

Facebook ist öffentlich. E-Mails + Passwörter sind Informationen, die in Facebook gespeichert sind. Damit sind zumindest die E-Mail-Adressen auch öffentlich.

Unterstellen wir Facebook netterweise mal, dass die Passwörter nur als Hash gespeichert werden. Sonst wären die auch öffentlich.

 

[KaPiTN]

Du meinst, weil das Facebook UI öffentlich ist und man darüber E-Mail und Paßwort zum Login eingibt, wären diese öffentlich?
Ich sehe Daten, die beim Anbieter liegen, die andere User nicht sehen, als nicht öffentlich an.

Unabhängig davon hat FB, zumindest in der Vergangenheit, Paßwörter im Klartext gespeichert.

 

[War-10-ck]

So ein Unsinn. Ich kann bei Facebook genauso meine Privatsphäreeinstellungen anpassen, so dass nur noch eine engeschränkte Menge an Freunden mein Profil und die hinterlegten Daten sehen kann. Da ist lange nicht zwangsweise alles öffentlich.

 

[musv]

Du meinst, weil das Facebook UI öffentlich ist und man darüber E-Mail und Paßwort zum Login eingibt, wären diese öffentlich?
Ich sehe Daten, die beim Anbieter liegen, die andere User nicht sehen, als nicht öffentlich an.

Das hast du falsch verstanden. Ich sehe alles als öffentlich an, was im Internet steht.

Wenn ich Informationen vor der Welt verbergen will, dann stell ich sie nicht ins Internet.

 

[KaPiTN]

Dann sind diese Daten eben nicht öffentlich, weil sie ja normal nicht ungewollt angezeigt werden.

 

[War-10-ck]

@musv: Dann sind aber auch alle Daten die du auf deinem Computer hast "öffentlich" solange er mit dem Internet verbunden ist. Im Grunde schützt ja auch hier nur die Router und PC Konfiguration diese Daten vor dem Zugriff von außen. Nicht anders als bei Facebook.

 

[thom53281]

Wenn ich Informationen vor der Welt verbergen will, dann stell ich sie nicht ins Internet.

Kleine Ergänzung dazu:

Sobald irgendwas einmal im Internet stand, muss man auch davon ausgehen, dass sich jemand den Inhalt kopiert haben könnte. Ein "Huch, das sollte eigentlich nicht im Internet stehen, blende das mal schnell aus." kann oft schon zu spät sein.

 

[musv]

Dann sind diese Daten eben nicht öffentlich, weil sie ja normal nicht ungewollt angezeigt werden.

Falsche Schlussfolgerung begründet durch eine nicht belegbare Unterstellung und die Ausblendung sämtlicher technischer Möglichkeiten.

@musv: Dann sind aber auch alle Daten die du auf deinem Computer hast "öffentlich" solange er mit dem Internet verbunden ist. Im Grunde schützt ja auch hier nur die Router und PC Konfiguration diese Daten vor dem Zugriff von außen. Nicht anders als bei Facebook.

Damit hast du Recht. Da ich die installierte Soft- und Hardware nicht in jedem Detail kenne und kontrollieren kann, muss ich zwangsläufig davon ausgehen, dass diese Daten ohne meinen Willen ins Internet gelangen können. Nichts anderes hat uns Edward Snowden aufgezeigt.

 

[KaPiTN]

Was sollen denn dann nichtöffentliche Daten sein?

Technisch möglich ist auch der Zugriff auf Offline-Rechner. Entweder, weil jemand z.B. vor der Wohnung die Elektromagnetische Abstrahlung abfängt oder weil ein anderer Rechner daneben steht , der befallen ist und thermische Veränderungen über das Internet weitergibt.

Von der Möglichkeit, physikalisch Zugriff zu bekommen, mal ganz abgesehen.

 

[Shodan]

Ich finde es zwar immer schön, wenn Facebook auf die Fresse bekommt. aber ...

Den “cc-datalake”, mit seinen 146 GB und etwa 540 Millionen Datensätzen hat das Unternehmen "Cultura Colectiva" auf einen komplett ungeschützen Amazon-Cloud-Server abgelegt.

Diese Firma hat die Daten von Facebook erhalten, genau so wie damals "Cambridge Analytica", um ihre eigenen "Content-Success-Prediction" Algorithmen zu trainieren, so die Quelle
Facebooks ist als für die Verarbeitung verantwortliche Stelle, die die Daten weiter gegeben hat, zu untersuchen. Da werden Millionen an personenbezogenen Datensätzen an Dritte weitergeben, die diese offensichtlich nicht zu schützen wissen. Imho wäre eine Razzia angemessen um vor Ort Informationen über die Geschäftspraktiken einzusammeln. Es würde mich nicht irritieren, wenn eine Untersuchungskommission anhand der dabei sichergestellten Informationen zu dem Ergebnis kommen würde, dass dies laxe Form von Datenweitergabe bei Facebook Methode hat.

In den Screenshots der Quelle sind große Dateien mit Aufschrift Webhooks zu sehen. Es ist durchaus möglich, dass die 146GB von dem Unternehmen "Cultura Colectiva" über die verschiedenen APIs von Facebook über lange Zeit und unterhalb üblicher Rate Limitierung gesammelt wurden. Wenn die Daten nur die Interaktionen von Personen mit den Pages/Apps/Ads des mexikanischen Publishers betreffen, bleibt an dem Skandal für Facebook nicht viel übrig.

Der mexikanische Media-Publisher mit Facebook-Spezialisierung hat, laut Wikipedia, 30 Millionen Follower aus Latein-Amerika und den USA und 10 eigene Data Scientists.

Breaking News: Mexikanisches Unternehmen sammelt Daten über US Bürger.


Gibt es sowas wie die DSGVO auch in Mexiko?
Thales: Ja, die Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Ähnlich wie in Europa müssen auch in Mexiko personenbezogene Daten geschützt werden. Cultura Colectiva kann daher mit einer Strafe in Höhe von 100 bis 320,000 Tages-Mindestlöhnen des zuständigen Federal District rechnen.

 

[Trolling Stone]

Kann man diese Daten irgendwo einsehen und durchsuchen, ob man selbst betroffen ist?

 

[Jan_de_Marten]

@Trolling Stone:
du fragst natürlich nur für einen Freund oder?

 

[Trolling Stone]

Nö, für mich.

 

[Shodan]

@Trolling Stone:

Por favor dirija su solicitud a: contacto@culturacolectiva.com , en atención al “Responsable del Departamento de Datos Personales”.

Identifikationsdaten mitliefern (in dem Datensatz wahrscheinlich deine ID, bekommst du hier: https://graph.facebook.com/v3.2/me?fields=id,name ).
Frist von 4 Wochen setzen. Nach 2 Wochen höflich nachfragen.
Bekommst du in vier Wochen keine sinnvolle Antwort, (nicht mal eine Info zwecks Fristverlängerung um maximal zwei weitere Monate) gehst du mit dem gesamten Gesprächsverlauf zu deiner Landesdatenschutzbehörde. (Es liegt nahe auch die mexikanische Behörde zu informieren, aber eventuell ist es besser die eigene freundlich zu bitten das zu tun)

einsehen und durchsuchen

Soweit ich bisher aus den News herauslesen konnte, haben die IT Security Leute von UpGuard standesgemäß gehandelt und erst ihren Blog-Post veröffentlicht, als die Daten (dank Eingreifen von Facebook und Amazon) nicht mehr öffentlich erreichbar waren, Der mexikanische Media Publisher hatte einfach gar nicht auf die reagiert.

Das macht es unwahrscheinlich, dass jemand diese kopiert hat und jetzt einen "Suche darin, ob du enthalten bist" Service anbietet. Wenn überhaupt, haben sich irgendwelche Big-Data-Gruppen oder Black-Market-Data-Dealers die Daten gerippt.

UpGuard kannst du auch kontaktieren, die sind ja offen damit, dass sie diese Daten verarbeitet haben, aber deren Antwort kann ich dir nennen: "Nur Stichproben genommen, Zweck Analyse der öffentlichen Daten und Optimierung der globalen IT Sicherheit und Datenschutzimplementationen, (Nutzen: Reputation / Publicity). Nur Spezialisten mit NDAs damit beschäftigt, alles auch technisch optimal geschützt und inzwischen auch gelöscht. Nur die Summen und die geschwärzten Beispiele wurden behalten" oder so.

Bei Amazon und Facebook sieht es wahrscheinlich ähnlich aus. Selbst wenn diese im Rahmen ihrer eigenen Prüfung des Sachverhalts Kopien gemacht haben, tun sie gut daran die Daten zu vernichten und nur den Report der Experten zu behalten. Würden sie die Daten aufbewahren "weil es um diese möglicherweise juristische Streitereien geben könnte", dann klassifizieren sie diese damit als besonders zu schützende Daten und dürfen sie in einer Art "Cold Storage" aufbewahren, an die nur eine kleine Gruppe Personen überhaupt zugreifen darf. Die müsste deine Anfrage dann beantworten, da in diesem Fall ja keine Ermittlungsinteressen der Auskunft entgegen stehen. Amazon und Facebook ist zwar zu zu trauen, dass sie eine "Abteilung für solche Fälle" haben, aber ebenso, dass diese unterfinanziert ist und nur bei absoluter Notwendigkeit angefragt wird. Also nur wenn ein Verfahren läuft und die Behörden die Daten sicherstellen lassen.

"Responsible Disclosure" hat hier allen Beteiligten genug Zeit gegeben die Schredder heiß laufen zu lassen.