Der Datensatz hätte auf einen gewöhnlichen USB-Stick gepasst, für Kriminelle könnte er ein Jackpot sein: 419 Millionen Telefonnummern von Facebook-Nutzern lagen ungesichert auf einem Internetserver. Das berichtetSicherheitsforscher Sanyam Jain, der sie gefunden hat. Der Server ist mittlerweile offline. Falls Kriminelle die Daten vorher gefunden haben, müssen Millionen Menschen künftig sehr gut auf ihre Onlinekonten aufpassen.

Die meisten Opfer sollen aus Grossbritannien, den USA und Vietnam stammen. Derzeit sieht es aus, als seien Schweizer Nummern zumindest nicht in grossem Stil betroffen.

Facebook sagt, der Datensatz enthalte viele Duplikate, insgesamt gehe es eher um 200 Millionen als um mehr als 400 Millionen Nummern. Wer die Daten bei Facebook abgegriffen hat, ist unklar. Die Angreifer nutzten dabei mutmasslich einen Zugang aus, den Facebook bis April 2018 offen hielt.

Die meisten Menschen denken beim Schutz vor Hackern wohl an sichere Passwörter. Tatsächlich kann es aber schon gefährlich werden, wenn jemand eine Telefonnummer und den Namen ihres Besitzers kennt. Im aktuellen Fall liessen sich die Namen zu den Nummern über die Facebook-ID ermitteln, die der Datensatz zusätzlich enthielt. Aus dieser öffentlichen, von Facebook vergebenen Nummer lässt sich mit wenigen Klicks auf das dahinterstehende Facebook-Profil schliessen. Kriminelle könnten mit diesen Informationen verschiedene Arten digitaler Angriffe starten, zum Beispiel, um Bankkonten zu räumen, Lösegeld zu erpressen oder Konten ihrer Opfer zu hacken.

Trick via SIM-Karte und SMS

Die Attacken beginnen meist mit sogenanntem SIM-Swapping. Dabei lassen Angreifer die Handynummer des Opfers auf eine SIM-Karte übertragen, die ihnen gehört. Dazu braucht es in manchen Fällen nicht viel mehr als einige Klicks im Onlineportal der Mobilfunkanbieter. Dann bekommen sie alle SMS und Anrufe auf ihr Telefon weitergeleitet. Erst diese Woche wurde bekannt, dass Kriminelle in Deutschland per SIM-Swapping hunderttausend Euro erbeutet haben sollen.

Die Opfer bemerken den Angriff vielleicht, weil sie keinen Empfang mehr haben und nicht telefonieren können. Womöglich sind da längst die Konten leer geräumt: Da die Angreifer die Handynummer kontrollieren, können sie den SMS-Code ab­fangen, der beim Onlinebanking mit dem sogenannten mTAN-Verfahren vor jeder Überweisung eingegeben werden muss. Das Verfahren soll Bankkonten schützen, ist bei SIM-Swapping-Angriffen aber wirkungslos.

Kriminelle könnten mit diesen Daten die Bankkonten ihrer Opfer räumen oder Lösegeld erpressen.

Viele Onlinedienste fragen auch nach Telefonnummern, um das Konto zu sichern: Nutzer können ihr Smartphone zusätzlich zum Passwort als zweiten Sicherheitsfaktor bei der An­meldung verwenden und sich Einmal-Codes per SMS zuschicken lassen. Wenn Kriminelle aber die Handynummer per SIM-Swapping übernommen haben, ist diese Form dieser Zweifaktor­authentisierung (2FA) wertlos.

Hacker können solche Sicherheitscodes auch anders abgreifen, weil SMS unverschlüsselt sind. Die Angreifer schalten sich dann zwischen Absender und Empfänger und lesen die Nachricht mit. Auch deshalb sollte man bei 2FA statt auf SMS eher auf Apps wie den Google Authenticator oder Authy setzen. Dann kommt der Code nicht per SMS, sondern wird mit der App erzeugt. Diese Methode bieten auch viele Banken an.

Handynummern sind für Facebook wertvoll

Kriminelle könnten eine Handynummer auch missbrauchen, um das Passwort des Opfers zurückzusetzen. Bei Facebook reicht ein Klick auf «Konto vergessen?». Google und andere E-Mail-Anbieter bieten ähnliche Optionen an. Die Kontowiederherstellung bietet auch noch weitere Schwachstellen: Teils werden E-Mail-Adressen angezeigt, die mit Sternchen unkenntlich gemacht sind. Wer den Namen des Nutzers kennt, kann oft auch die ganze Adresse erraten. In anderen Fällen verschicken die Anbieter Einmal-Passwörter per SMS, die Hacker abfangen können. Bei manchen Diensten ist es sogar möglich, den Account ausschliesslich per SMS zu über­nehmen. Instagram ermöglicht es etwa, die Handynummer einzugeben, um das Passwort zurückzusetzen.

Der aktuelle Fall ist nicht das erste Mal, dass Facebooks lockerer Umgang mit Handynummern auffällt. Im März deaktivierte das Unternehmen eine Option, mit der Nutzer verhindern konnten, dass Fremde ihr Konto über die Telefonnummer finden. Nach heftiger Kritik revidierte Facebook seine Entscheidung. Nutzer können sich wieder vor anderen «verstecken», die ihre Telefonnummer kennen.

Die Handynummer ist für den Konzern wertvoll, weil sie Facebook noch mehr Möglichkeiten gibt, Nutzer zu tracken und Datenbestände miteinander zu kombinieren. Und Facebook setzt die Mobilfunknummer als zentrales Identifikationsmerkmal über alle Plattformen hinweg ein: Das Unternehmen verknüpft Kontaktinformationen von Instagram, Whatsapp, dem Messenger und Facebook. Das verbindende Element ist dabei oft die Handynummer.