Facebooks Daten-Leak: Have I Been Pwned lässt euch nach Telefonnummern suchen

Vielleicht habt ihr es mitbekommen: Facebook-Daten, die wohl 2019 erbeutet wurden, sind frei im Netz verfügbar. Auch knapp 6 Millionen Datensätze deutscher Nutzer sind darunter. In den Datensätzen: Namen, in manchen Fällen die E-Mail-Adresse, Telefonnummer (sofern angegeben) und einige andere Daten, wie Beruf oder Arbeitgeber. Diese Daten könnten Angreifer nutzen, um Phishing zu betreiben – alternativ könnten Betrüger auch versuchen, sich als fremde Personen auszugeben.

Mittlerweile hat auch das Projekt Have I Been Pwned die Daten eingepflegt und durchsuchbar gemacht. War technisch nicht ganz so einfach, wie Troy Hunt in seinem Beitrag beschreibt.

Ein Grund war auch, dass man Seiten sah, die die Datensätze durchsuchbar machten – und nicht bei allen wisse man, ob diese auch vertrauenswürdig sind. Denn: Wäre ich in dieser Sache bösartig unterwegs, dann könnte ich ja einfach die eingegebenen Telefonnummern auch weiter speichern und später diese vielleicht für irgendwelche Sperenzchen nutzen.

Zum jetzigen Zeitpunkt kann man bei Have I Been Pwned weder eine Benachrichtigung abonnieren, wenn eine Telefonnummer in einem Leak auftauchte wurde, noch gibt es ein Konzept zur Verifizierung einer Nummer, um nach sensiblen Verstößen zu suchen. Das würde einen SMS-Versand erfordern, der natürlich Kosten verursacht, aber auch einen Arbeitsaufwand, den das Projekt-Team von Have I Been Pwned zum jetzigen Zeitpunkt einfach nicht rechtfertigen kann.

Der Ursprung all dieser Daten sei immer noch nicht klar. Der ursprüngliche Satz, der Troy Hunt Have I Been Pwned von gegeben wurde, hielt sich an ein sehr konsistentes Format, der Satz in größerer Verbreitung ist vielfältiger, was darauf hindeutet, dass sie möglicherweise aus mehreren Quellen stammen.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram. PayPal-Kaffeespende.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

23 Kommentare

  1. Martin Deger says:

    Meine Handynummer ist dabei. 🙁

    Meine Festnetznummern allerdings nicht. Interessant. Könnte von WhatsApp sein?

    • Jemand Anders says:

      Eigentlich nicht, denn meine Telefonnummer ist nicht dabei. Habe aber auch schon seit ca 2018 kein facebook mehr.

    • Hast du bei Facebook deine Nummer hinterlegt? Ich nicht und meine Nummer wird auch nicht gefunden. Whatsapp nutze ich auch.
      Dafür wird meine E-Mail 5x gefunden, aber gut, dafür sollte man sich ja sowieso eine getrennte E-Mail-Adresse einrichten.

      • Im Moment geht man wohl davon aus, dass es sich um ein Subset der Nummern handelt, die 1. in Facebook hinterlegt waren, entweder über das Profil, als Recoverymethode oder für 2FA UND 2. entweder public gestellt waren oder wo das feature „via Telefonnummer gefunden werden“ aktiv war.

        Letzteres war ein default, ersteres nicht. Außerdem sagt Facebook, eine offenbar fürs crawlen notwendige Lücke sei August 2019 geschlossen worden. Nummern aus der Zeit danach sollten dementsprechend nicht betroffen sein.

        • Martin Deger says:

          Meine Nummer war im Profil, aber nicht sichtbar. Keine Ahnung, ob damit ein Login möglich ist, ich nutze die Nummer nicht als Username. 2FA ist deaktiviert. Das Feature, dass mich alle über die Telefonnummer finden können, ist aktiviert (glaube aber kaum, dass ich das aktiv aktiviert habe).

          Diese Handynummer habe ich erst seit Ende 2015; die alte Nummer ist nicht in dem Leak enthalten.

          Ich nutze Facebook schon seit Jahren nicht mehr aktiv; nur manchmal muss man eingeloggt sein, um bestimmte Informationen, die beispielsweise in einer Nutzergruppe gepostet sind, zu sehen. Tja.

          • > glaube aber kaum, dass ich das aktiv aktiviert habe

            Früher konnte man das für die Telefonnummer gar nicht abschalten. Bloß für die Mail. ..bei Telefonnummer gab es dann in klassischer Facebook Art nur „Freunde“ und „Alle“ (oder „Freunde von Freunden“)

            > Keine Ahnung, ob damit ein Login möglich ist, ich nutze die Nummer nicht als Username

            Ist möglich. Funktioniert was das betrifft exakt wie die E-Mail.

  2. Meine Handynummer ist auch dabei und prompt hab ich in den letzten zwei Tagen auch zwei Phishing SMS erhalten. Kann ich dagegen irgendwas machen, ich lass mich da nicht reinlegen, aber nervig sind diese SMS schon.

    • Bei mir dasselbe, wäre auch für Ratschläge dankbar.

      • Hängt ein bisschen vom Spam ab, aber vielleicht nützlich:

        Wenn der SMS Spam von Telefonnummern aus dem Ausland kommt und du keinen regelmäßigen Kontakt in diese Länder pflegst (in meinem Fall sind es z.B. ausschließlich Nummern aus afrikanischen Ländern) gibt es in vielen Telefon-Apps die Möglichkeit, Nummern via Vorwahl zu blockieren.

        Da muss man dann halt alle genutzen Vorwahlen blockieren. Nach ein paar Tagen war bei mir Ruhe..

    • Für iOS gibt es die Open Source App „Bouncer“ im App Store. Funktioniert bei mir sehr gut.

    • Vorsicht:

      Das kann auch an „Flubot“ liegen. Da werden die Handynummern zufällig generiert und auf gut Glück SMS mit Links versendet. Gibt’s auch einige Beiträge online dazu.

      Meine Nummer ist hier nicht auf der Liste und ich hab allein letzte Woche 3 SMS erhalten.

      Nervig hoch 10, auch wenn zumindest ich weiß, man klickt nicht auf den Link. Wer unbedarft ist (ältere Menschen) und vielleicht gerade was bestellt hat, fällt vielleicht drauf rein.

    • Martin Deger says:

      Meine Handynummer ist auch dabei; und ich habe auch einige Phishing-SMS erhalten, und auch Anrufe von 0800-Nummern, die allerdings immer auflegen, bevor ich antworten kann.

    • undersound says:

      meine ist auch dabei und prompt bekomme ich einen Anruf von einer Werbevertreterin die mich mit meinem Facebook Namen anspricht. Interessant.

  3. oettinger77 says:

    Meine Handynummer ist nicht dabei. Immerhin, ich muss schon genug „Hello i’m calling you from Microsoft“ Anrufe ertragen…

  4. Meine ist auch dabei. Habe schon jetzt mehrere Male über SMS und Signal Spam erhalten!
    Nun weiß ich wieso… danke auch. Die war nur als Sicherheitsmerkmal hinterlegt und nicht öffentlich

    • Meine Nummer war auch dabei, Habe auch eine Spam-SMS erhalten. Ich vermute allerdings, dass jemand anders sein Telefonbuch Facebook zur verfügung gestellt hat. In der SMS wurde ich mit einem Titel (Funktionsbeschreibung) angesprochen, den ich nur an der Arbeit habe. Ansonten habe ich meine Handynummern Facebook nicht bewusst zur Verfügung gestellt.

  5. Bei Android Messages kann man Spamschutz in den Einstellungen aktivieren. Sollte ausreichen, um keine Phishing-SMS zu bekommen

  6. Der Facebook Datensatz wird mindestens ein halbes Jahr alt sein.
    Neue Nummer nicht dabei, alte Nummer schon.

    • Bei mir ist auch nur die alte Nummer dabei und nicht meine aktuelle. Ich hab die am 28. Mai 2019 in Facebook umgestellt, nachdem ich 5 Jahre die veraltete drinnen hatte. Glück gehabt, dass es mir erst so spät aufgefallen ist ^^

  7. Wolfgang D. says:

    Die Prüfung verschiedener Daten hat mir zumindest teilweise gezeigt, *wer* so alles meine persönlichen Daten unter Betrügern verteilt hat. Facebook war nicht darunter, weil das genau wegen der nicht angegebenen Daten (Personalausweiskopie hochladen, die spinnen wohl) von denen gesperrt wurde.

  8. Karsten Meyer says:

    Wenn ich das richtig verstanden habe, geht es hier nicht um Zugangsdaten, sondern lediglich um Daten, die viele eh öffentlich einsehbar haben (Telefonbuch, Website usw.). Oder nicht?

    • Du kannst dich sowohl mit Handynummer als auch mit Mailadresse einloggen – beide Angaben kannst du im Profil mehr oder weniger öffentlich sichtbar machen.
      So gesehen also: es geht auch um Zugangsdaten.

      • Karsten Meyer says:

        Zum Einloggen braucht es doch in jedem Fall ein Passwort, und Passworte fallen nicht unter die Daten, die da abgegriffen wurden.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.