Facebook: 277 Mio. Dollar DSGVO-Strafe wegen Scraping-Bots

Headshot of Oliver Kampmeier

Oliver Kampmeier

Cybersecurity Content Specialist

Vektorgrafik von 2 Quadraten mit dem Facebook und Meta Logo auf weißem Hintergrund

Am 28. November verhängte die irische Datenschutzbehörde, die Data Protection Commission (DPC), gegen die Facebook-Muttergesellschaft Meta eine Geldstrafe in Höhe von 277 Millionen Dollar wegen zweier Verstöße gegen die Datenschutzgrundverordnung (DSGVO).

Angreifer konnten über einen längeren Zeitraum mittels einer Sicherheitslücke die Daten von mehr als 533 Millionen Usern abgreifen.

Dies ist die vierte Strafe, die die Behörde gegen Meta verhängt hat. Insgesamt hat die DPC dem Unternehmen eine Geldstrafe von mittlerweile knapp 1 Milliarde Dollar auferlegt.

Was ist passiert?

Im April 2021 wurde in einem Hackerforum ein Datensatz von mehr als 533 Millionen Facebook Usern veröffentlicht, der zahlreiche personenbezogene Daten beinhaltete.

Die offengelegten Daten umfassen die personenbezogenen Informationen von Facebook Usern aus 106 Ländern, darunter 32 Millionen aus den USA und 11 Millionen aus Großbritannien. Der Datensatz beinhaltete u.a. die Mobilfunknummer, die Facebook ID, Name, Geburtstag und in manchen Fällen auch die E-Mail-Adresse.

Böswillige Angreifer konnten über einen längeren Zeitraum in den Jahren 2018 und 2019 die User-Daten automatisiert über eine Schwachstelle im Kontaktimport-Tool abgreifen. Facebook gab an, die Sicherheitslücke behoben zu haben und möchte explizit betonen, dass es sich um keinen Hack der Plattform handelt, sondern um sog. “Scraping” öffentlich zugänglicher APIs.

Mit Inkrafttreten der DSGVO im Mai 2018 untersuchte die irische Datenschutzbehörde verschiedene Tools von Facebook, darunter die Facebook Suche und den Kontaktimport in Facebook und Instagram. Das Ergebnis der Untersuchung stellte Mängel in der Technikgestaltung (Privacy by design – Artikel 25 (1) DSGVO) und hinsichtlich datenschutzfreundlicher Voreinstellungen (Privacy by default – Artikel 25 (2) DSGVO) fest. Laut DPC hat Facebook es versäumt, seine Produkte so zu gestalten, dass sie Scraping-Angriffe verhindern.

Die DPC hat dem Mutterkonzern Meta zusätzlich zur Geldstrafe noch eine dreimonatige Frist auferlegt, innerhalb derer der Konzern eine Reihe von Maßnahmen ergreifen muss, um die Verarbeitung personenbezogener Daten mit den Vorschriften der DSGVO in Einklang zu bringen.

Vektorgrafik von 2 Quadraten mit dem Facebook und Meta Logo auf weißem Hintergrund

Was ist Scraping?

Web Scraping ist ein Begriff für verschiedene Methoden, mit denen Informationen automatisiert aus dem Internet erhoben werden. In der Regel geschieht dies mithilfe von Bots, die menschliches Verhalten auf Websites simulieren und automatisiert Inhalte extrahieren.

Neben dem legitimen Einsatz von sog. Scraper-Bots z.B. durch Suchmaschinen oder im Rahmen von Marktforschungen gibt es auch böswillige Bot-Entwickler, die die Software zum Sammeln personenbezogener Daten unter Ausnutzung von Sicherheitslücken auf Websites oder APIs einsetzen.

Scraping ist das neue Hacking

Bots sind heutzutage für mehr als die Hälfte (57%) des gesamten Internettraffics verantwortlich. Facebook steht mit dem Problem des Web Scrapings nicht allein da. Kurz nach Bekanntwerden des Facebook-Datenlecks im April 2021 tauchten Reports auf, dass auch das soziale Netzwerk Clubhouse Unmengen von User-Informationen über seine API preisgegeben hat.

LinkedIn war kurze Zeit später ebenfalls von einer “Scraping-Attacke” betroffen, in der Daten von über 500 Millionen User über öffentlich zugängliche APIs abgegriffen werden konnten.

Das automatische Auslesen dieser Informationen verstößt in den meisten Fällen gegen die Geschäftsbedingungen der sozialen Netzwerke und Facebook hat in der Vergangenheit bereits mehrere Unternehmen deswegen verklagt.

Dennoch zeichnet sich ein deutliches Bild: Bei so vielen öffentlichen APIs und Daten ist es nicht mehr notwendig, dass böswillige Angreifer heutzutage die Systeme im klassischen Sinn “hacken”. Sie müssen nur bereits zugängliche Daten automatisiert sammeln und ggf. zusammenführen, um vollständige Datensätze von Millionen Usern zu erbeuten.

Schützen Sie Ihr Unternehmen vor Scraper Bots

Um Ihr Unternehmen zuverlässig vor Scraping-Attacken zu schützen, müssen Sie eine Software zur Erkennung von Bots im Einsatz haben. fraud0 kann Ihnen hier helfen. Unsere Software erkennt und blockiert Bots in Echtzeit, sodass diese von Zugriffen auf Ihre Website abgehalten werden.

Melden Sie sich noch heute für eine kostenlose 7-tägige Testversion an und überzeugen Sie sich selbst!

Inhalt
Neustes Whitepaper
Cover of the report "Unmasking the Shadows: Invalid Traffic 2024"
Unmasking the Shadows: Invalid Traffic 2024

Erfahren Sie alles, was Sie über Invalid Traffic 2024 wissen müssen, basierend auf den Daten unserer Kunden. Einschließlich einer Aufschlüsselung nach Marketingkanälen, Branchen und vielem mehr.

Newsletter abonnieren
Artikel teilen
Wie viel Werbe­budget verschwenden Sie an Fake Traffic?
1%, 4%, 36%?
Testen Sie fraud0 7 Tage lang kostenlos und finden Sie es heraus. Keine Kreditkarte erforderlich.
4.8/5
4,9 von 5 Sternen
Möchten Sie eine Tour von fraud0?
7 Tage lang kostenlos testen
Keine Kreditkarte erforderlich.

Sie haben bereits einen Account? Log in

Try fraud0 for 7 days
No credit card required.

Already have an account? Log in