419 Millionen Handynummern von Facebook-Nutzern frei zugänglich

Im Internet wurde ein grosser Datensatz mit Handynummern von Facebook-Nutzern gefunden. Wer die Daten veröffentlicht hat, ist nicht bekannt. Kriminelle können damit viel anstellen.

Doch nicht so sicher: Facebook (im Bild Chef Mark Zuckerberg) wurden persönliche Kundendaten geraubt. Foto: Justin Sullivan (Getty Images)

Doch nicht so sicher: Facebook (im Bild Chef Mark Zuckerberg) wurden persönliche Kundendaten geraubt. Foto: Justin Sullivan (Getty Images)

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Der Datensatz hätte auf einen gewöhnlichen USB-Stick gepasst, für Kriminelle könnte er ein Jackpot sein: 419 Millionen Telefonnummern von Facebook-Nutzern lagen ungesichert auf einem Internetserver. Das berichtetSicherheitsforscher Sanyam Jain, der sie gefunden hat. Der Server ist mittlerweile offline. Falls Kriminelle die Daten vorher gefunden haben, müssen Millionen Menschen künftig sehr gut auf ihre Onlinekonten aufpassen.

Die meisten Opfer sollen aus Grossbritannien, den USA und Vietnam stammen. Derzeit sieht es aus, als seien Schweizer Nummern zumindest nicht in grossem Stil betroffen.

Facebook sagt, der Datensatz enthalte viele Duplikate, insgesamt gehe es eher um 200 Millionen als um mehr als 400 Millionen Nummern. Wer die Daten bei Facebook abgegriffen hat, ist unklar. Die Angreifer nutzten dabei mutmasslich einen Zugang aus, den Facebook bis April 2018 offen hielt.

Die meisten Menschen denken beim Schutz vor Hackern wohl an sichere Passwörter. Tatsächlich kann es aber schon gefährlich werden, wenn jemand eine Telefonnummer und den Namen ihres Besitzers kennt. Im aktuellen Fall liessen sich die Namen zu den Nummern über die Facebook-ID ermitteln, die der Datensatz zusätzlich enthielt. Aus dieser öffentlichen, von Facebook vergebenen Nummer lässt sich mit wenigen Klicks auf das dahinterstehende Facebook-Profil schliessen. Kriminelle könnten mit diesen Informationen verschiedene Arten digitaler Angriffe starten, zum Beispiel, um Bankkonten zu räumen, Lösegeld zu erpressen oder Konten ihrer Opfer zu hacken.

Trick via SIM-Karte und SMS

Die Attacken beginnen meist mit sogenanntem SIM-Swapping. Dabei lassen Angreifer die Handynummer des Opfers auf eine SIM-Karte übertragen, die ihnen gehört. Dazu braucht es in manchen Fällen nicht viel mehr als einige Klicks im Onlineportal der Mobilfunkanbieter. Dann bekommen sie alle SMS und Anrufe auf ihr Telefon weitergeleitet. Erst diese Woche wurde bekannt, dass Kriminelle in Deutschland per SIM-Swapping hunderttausend Euro erbeutet haben sollen.

Die Opfer bemerken den Angriff vielleicht, weil sie keinen Empfang mehr haben und nicht telefonieren können. Womöglich sind da längst die Konten leer geräumt: Da die Angreifer die Handynummer kontrollieren, können sie den SMS-Code ab­fangen, der beim Onlinebanking mit dem sogenannten mTAN-Verfahren vor jeder Überweisung eingegeben werden muss. Das Verfahren soll Bankkonten schützen, ist bei SIM-Swapping-Angriffen aber wirkungslos.

Kriminelle könnten mit diesen Daten die Bankkonten ihrer Opfer räumen oder Lösegeld 
erpressen.

Viele Onlinedienste fragen auch nach Telefonnummern, um das Konto zu sichern: Nutzer können ihr Smartphone zusätzlich zum Passwort als zweiten Sicherheitsfaktor bei der An­meldung verwenden und sich Einmal-Codes per SMS zuschicken lassen. Wenn Kriminelle aber die Handynummer per SIM-Swapping übernommen haben, ist diese Form dieser Zweifaktor­authentisierung (2FA) wertlos.

Hacker können solche Sicherheitscodes auch anders abgreifen, weil SMS unverschlüsselt sind. Die Angreifer schalten sich dann zwischen Absender und Empfänger und lesen die Nachricht mit. Auch deshalb sollte man bei 2FA statt auf SMS eher auf Apps wie den Google Authenticator oder Authy setzen. Dann kommt der Code nicht per SMS, sondern wird mit der App erzeugt. Diese Methode bieten auch viele Banken an.

Handynummern sind für Facebook wertvoll

Kriminelle könnten eine Handynummer auch missbrauchen, um das Passwort des Opfers zurückzusetzen. Bei Facebook reicht ein Klick auf «Konto vergessen?». Google und andere E-Mail-Anbieter bieten ähnliche Optionen an. Die Kontowiederherstellung bietet auch noch weitere Schwachstellen: Teils werden E-Mail-Adressen angezeigt, die mit Sternchen unkenntlich gemacht sind. Wer den Namen des Nutzers kennt, kann oft auch die ganze Adresse erraten. In anderen Fällen verschicken die Anbieter Einmal-Passwörter per SMS, die Hacker abfangen können. Bei manchen Diensten ist es sogar möglich, den Account ausschliesslich per SMS zu über­nehmen. Instagram ermöglicht es etwa, die Handynummer einzugeben, um das Passwort zurückzusetzen.

Der aktuelle Fall ist nicht das erste Mal, dass Facebooks lockerer Umgang mit Handynummern auffällt. Im März deaktivierte das Unternehmen eine Option, mit der Nutzer verhindern konnten, dass Fremde ihr Konto über die Telefonnummer finden. Nach heftiger Kritik revidierte Facebook seine Entscheidung. Nutzer können sich wieder vor anderen «verstecken», die ihre Telefonnummer kennen.

Die Handynummer ist für den Konzern wertvoll, weil sie Facebook noch mehr Möglichkeiten gibt, Nutzer zu tracken und Datenbestände miteinander zu kombinieren. Und Facebook setzt die Mobilfunknummer als zentrales Identifikationsmerkmal über alle Plattformen hinweg ein: Das Unternehmen verknüpft Kontaktinformationen von Instagram, Whatsapp, dem Messenger und Facebook. Das verbindende Element ist dabei oft die Handynummer.

Erstellt: 05.09.2019, 23:39 Uhr

So schützen Sie sich vor Angriffen via Handynummer

Es gibt wirksame Vorkehrungen, um die eigenen Accounts gegen Angriffe über die Telefonnummer abzusichern. Nutzer sollten für alle Onlinekonten komplexe und ausreichend lange Passwörter benutzen: Am besten schützen zufällig generierte. Falls es der Anbieter erlaubt, das Konto mit einem zweiten Faktor zu versehen, sollte die Zweifaktorauthentisierung aktiviert werden. Idealerweise nicht jene per SMS, sondern per Authentisierungs-App. Zu den Grundregeln der Sicherheit gehört auch, dasselbe Passwort niemals für mehrere Accounts zu verwenden. So lässt sich verhindern, dass Hacker mehrere Konten knacken können, wenn sie Log-in-Daten im Darknet kaufen.

Passwörter müssen nicht regelmässig geändert werden – es sei denn, eine Sicherheitslücke oder ein Datenleck wird bekannt. Zusätzlich können Nutzer und Nutzerinnen sich gegen SIM-Swapping schützen, indem sie ein sicheres Kundenkennwort bei ihrem Mobilfunkanbieter festlegen. Dann kann niemand in ihrem Namen bei der Kunden-Hotline des Providers beantragen, die Handynummer zu übertragen. (red)

Europas oberster Bankenaufseher hat vor grossen Lücken bei der Regulierung von Digitalwährungen wie Libra gewarnt. Auf die von Facebook geplante Cyberdevise müsse besonders geachtet werden, sagte der Präsident der Europäischen Bankenaufsicht, José Manuel Campa, gestern. Für solche von privaten Firmen organisierten Cyberdevisen gebe es keine ausreichenden Regeln. Sie fielen in ein «grosses Loch». Gegen die von Facebook geplante Cyberdevise Libra laufen Notenbanken, Aufseher und Politiker schon länger Sturm. (sda)

Artikel zum Thema

«Man müsste Facebook dichtmachen»

Erstmals sprechen drei Moderatoren über ihre desaströsen Arbeitsbedingungen. Was sie erzählen, muss jedem Social-Media-Nutzer zu denken geben. Mehr...

Facebook führt separaten News-Bereich ein

Medien sollen bei Facebook bis Ende Jahr einen eigenen Auftritt erhalten und dafür bezahlt werden. Mehr...

Facebook liess Nutzer-Aufnahmen abtippen

Nach Amazon, Apple und Google gerät nun auch Facebook in die Kritik, weil Mitarbeiter Messenger-Unterhaltungen mitgehört haben. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Paid Post

Wollen Sie einen echten Cyborg treffen?

Ihnen gehen Technik und Innovation unter die Haut? Gewinnen Sie 2x2 VIP-Tickets für die Volvo Art Session.

Kommentare

Weiterbildung

Lohncheck in Pflegeberufen

Qualifiziertes Pflegepersonal ist rar. Eine Pflegeinitiative setzt sich darum für höhere Löhne ein.

Die Welt in Bildern

Bergungsarbeiten nach Taifun-Katastrophe: Der heftige Wirbelsturm «Hagibis» hinterliess über weite Teile Japans eine Spur der Verwüstung. Die Zahl der Todesopfer ist gemäss eines japanischen Fernsehsenders auf 66 gestiegen. (15. Oktober 2019)
(Bild: Jae C. Hong/AP) Mehr...