Werbung für geklaute Userdaten: Facebook greift erst nach Jahren ein

Der Datenschutz bei Facebook gehört zu den größten medialen Diskursen derzeit. Nun wurde bekannt, dass Betrüger beim Sozialen Netzwerk öffentliche Posts mit hochsensiblen Daten – bis hin zur Sozialversicherungsnummer – von Nutzern erstellt hatten. Obwohl es sich um Betrug handelt, gießt ein Aspekt Öl ins Feuer zur Diskussion um Facebook: die Posts existierten seit Jahren und wurden erst kürzlich entfernt.

Persönliche Daten als Werbepost bei Facebook

Ganze Datensätze zu Privatpersonen wurden als werbliche Posts bei Facebook angeboten – manche waren Jahre auf der Plattform zu finden. Dafür verantwortlich waren Cyber-Kriminelle, die verschiedene persönliche und sensible Informationen zu Nutzern als Datenpaket zusammengestellt hatten. Neben Geburtsdaten und Adressen fanden sich in den Posts auch Kreditkarten- und Sozialversicherungsnummern, Telefonnummern, IDs für AOL und mehr. Dabei wurden die Posts von den Kriminellen sogar öffentlich eingestellt.

Von diesem Phänomen berichtet Lorenzo Franceschi-Bicchierai bei Motherboard, wobei Justin Shafer nach seiner Recherche den Publisher darauf aufmerksam gemacht hatte. Mehr als eine gezielte Googlesuche brauchte es nicht, um die betrügerischen Anzeigen bei Facebook zu finden.

Die Cyber-Betrüger wollten mit dem Verkauf der Daten Geld machen; und womöglich ist ihnen das zum Teil auch gelungen. Shafer selbst gab gegenüber Motherboard an, dass er überrascht war, wie lange einige der Posts bei Facebook öffentlich waren, ohne gemeldet oder über automatisierte Programme als Betrug entdeckt worden zu sein.

Facebook reagiert erst auf Meldungen von Motherboard

Am vergangenen Montag hatte der Publisher sich an Facebook gewandt und die betrügerischen Posts gemeldet. Daraufhin sind einige von ihnen dann von der Plattform verschwunden. Im Zuge dessen muss sich das Soziale Netzwerk allerdings Kritik in Bezug auf die Reaktionshaltung gefallen lassen. Denn oft kommt es erst zum Entfernen illegal agierender Gruppen, Nutzer oder Posts, wenn durch Publisher oder Einzelpersonen unmittelbar darauf hingewiesen wird.

Im Nachgang der Veröffentlichung von Motherboard gab Facebook per Statement an:

We work hard to keep your account secure and safeguard your personal information. Posts containing information like Social Security numbers or credit card information are not allowed on Facebook, and we remove this material when we become aware of it. We are constantly working to improve these efforts, and we encourage our community to report anything they see that they don’t think should be in Facebook, so we can take swift action.

Da das Posten und vor allem Verkaufen von Daten über Facebook nicht erlaubt ist, steht die Notwendigkeit der Entfernung solch krimineller Beiträge außer Frage. Trotzdem darf man an ein Unternehmen, das im letzten Jahr gut 40 Milliarden US-Dollar Einnahmen verzeichnete, den Anspruch stellen, dass aktiver gegen die Entfernung solcher Posts vorgegangen wird. Auch wenn bei über zwei Milliarden Nutzern nicht alle kriminellen Beiträge erkannt werden können.

Ein Großteil der angebotenen Daten scheint authentisch zu sein

Während es ein Leichtes wäre, falsche Daten zum Verkauf anzubieten, sieht es so aus, dass die bei den von Shafer entdeckten Posts aufgeführten Datensätze zum großen Teil echten Nutzern zugeordnet werden konnten. Anrufe vonseiten Motherboards bei einigen Telefonnummern führten zu den angegebenen Namen. Zudem berichtet Franceschi-Bicchierai davon, dass zu einem Post vom Juli 2014 die Übereinstimmung von Adressen, Namen, Geburtsdaten und Sozialversicherungsnummern von vier Nutzern verifiziert werden konnte. Ähnliches gelang auch für einen Post von 2015.

Gestern gab Facebook in einem offiziellen Blogpost bekannt, wie die internen Verfahren zur Durchsetzung von Richtlinien aussehen und dass der Prozess des Einspruchs erweitert wird. Darin gibt Monika Bickert, Vice President of Global Policy Management bei Facebook, zu:

Our policies are only as good as the strength and accuracy of our enforcement – and our enforcement isn’t perfect.

Außerdem sollen neben AI vor allem die über 7.500 Contentprüfer dafür sorgen, dass Meldungen schnell und effektiv nachgegangen wird. So richtig der Ansatz ist, so hat er doch einen Haken, der bei der Motherboard-Meldung umso deutlicher hervortritt: die Konzentration auf geflaggte Posts stellt zunächst all die dubiosen Beiträge mit teils kriminellem Inhalt hintenan, die bis dato nicht gemeldet worden sind. Daher ist zu hoffen, dass Facebooks AI künftig darauf abzielt, sensible persönliche Daten wie Sozialversicherungsnummern, deren Verkauf verboten ist, zu erkennen. Das mag nicht von heute auf morgen klappen. Doch einige der brisanten Posts waren mehrere Jahre auf Facebook. Mehr als genug Zeit, sie als unangemessen zu identifizieren und einer Prüfung zu unterziehen.