Neuer Datenschutzverstoß von Meta
Halbe Milliarde WhatsApp-Nummern im Darknet
Foto: Sergei Elagin - shutterstock.com
487 Millionen WhatsApp-Nummern stehen seit Mitte November im Darknet zum Verkauf. Auf Anfrage des Online-Portals Cybernews lieferte der Anbieter einige Stichproben der Daten. Die Sicherheitsforscher konnten bestätigen, dass es sich bei den Nummern tatsächlich um aktive Konten handelt. Insgesamt kommen die Daten aus 84 verschiedenen Ländern, auch sechs Millionen Konten aus Deutschland sind betroffen. Noch schlimmer hat es Nutzer aus Ägypten erwischt, wo 45 Millionen Kontodaten gestohlen wurden. In Italien sind 35 Millionen Konten betroffen, in Saudi-Arabien 29 Millionen, in Frankreich und der Türkei jeweils 20 Millionen Konten.
Wie der Hacker an die Daten gelangen konnte, ist nicht bekannt. Er sprach gegenüber Cybernews lediglich von "eigenen Methoden". Vermutlich startete der Unbekannte keinen aufwendigen Cyberangriff, sondern setzte auf Scraping. Dabei lesen Cyberkriminelle mithilfe spezieller Tools Daten aus, die von den Inhabern selbst veröffentlicht wurden und teilweise öffentlich einsehbar sind, und speichern diese.
Meta tausendfach angeklagt
Bislang hat sich der WhatsApp-Mutterkonzern Meta nicht zu dem Sicherheitsvorfall geäußert. Es ist nicht das erste Mal, dass Nutzerdaten des Unternehmens geleakt wurden. Erst im April 2021 gab es eine ähnliche Datenpanne, von der mehr als 533 Millionen Facebook-Nutzer betroffen waren. Während sich bei den Usern daraufhin Spam-Nachrichten und Phishing- beziehungsweise Smishing-Versuche häuften, gab es vorerst für Meta keine Konsequenzen. Bis das Landgericht Zwickau im September 2022 Meta zur Zahlung von 1.000 Euro an einen Nutzer verurteilte. Dem Opfer sei ein immaterieller Schaden im Sinne der europäischen Datenschutzgrundverordnung entstanden. Facebook habe die Daten seiner Kunden nur unzureichend vor Hacker-Angriffen geschützt. Auch die Landgerichte Gießen und Oldenburg verurteilten Meta zu Schmerzensgeld.
Allerdings sind die Urteile gegen den Tech-Giganten nicht rechtskräftig. Es handelt sich dabei um sogenannte Versäumnisurteile was bedeutet, dass eine richterliche Entscheidung ohne Anwesenheit einer Partei getroffen wurde. Gegen das Urteil aus Zwickau hat Meta bereits Einspruch eingelegt und wird dies vermutlich auch gegen die anderen Urteile tun. Mehrere Tausend Klagen sind nach wie vor in den deutschen Gerichten anhängig. Es ist zu erwarten, dass auch als Reaktion auf die diesjährige Datenschutzverletzung viele Klagen auf Meta einprasseln werden.
265 Millionen Euro Strafe in Irland
Gestern, am 28. November, wurde ein neues Urteil zu dem Datenschutzvorfall im April 2021 veröffentlicht. Demnach hat die irische Datenschutzbehörde DPC eine Strafe von 265 Millionen Euro über Meta verhängt. Für ihre Untersuchungen habe die Behörde eng mit den übrigen EU-Mitgliedern zusammengearbeitet. Facebook teilte mit, die Entscheidung zu prüfen.
Da Metas europäischer Sitz in Irland ist, zeichnet die dortige Datenschutzbehörde für Verstöße gegen die DSGVO verantwortlich. Mittlerweile liegen die Strafen für den Konzern in Irland bei 910 Millionen Euro. Im September 2021 erlegte die irische Behörde WhatsApp eine Strafe von 225 Millionen Euro auf, im März 2022 gab es ein Bußgeld für Meta von 17 Millionen Euro. Im September diesen Jahres folgte die Rekordstrafe von 405 Millionen Euro für Instagram aufgrund schwerer Verstöße gegen Datenschutzregeln für Kinder. Auch gegen diese Urteile gegen WhatsApp und Instragram legte Meta Berufung ein.
Lesetipp: Datenschutzbeauftragter: ein Traumjob?