Facebook: 277 Mio. Dollar DSGVO-Strafe wegen Scraping-Bots

Am 28. November verhängte die irische Datenschutzbehörde, die Data Protection Commission (DPC), gegen Facebooks Muttergesellschaft Meta eine Geldstrafe von 277 Millionen Dollar wegen zweier Verstöße gegen die Datenschutz-Grundverordnung (DSGVO).

Angreifer konnten die Daten von mehr als 533 Millionen Nutzern über einen längeren Zeitraum hinweg durch Ausnutzung einer Sicherheitslücke erlangen.

Dies ist die vierte Geldstrafe, die die Behörde gegen Meta verhängt hat. Insgesamt hat die DPC nun eine Strafe von knapp einer Milliarde Dollar gegen das Unternehmen verhängt.

Was ist passiert?

Im April 2021 veröffentlichte ein Hacker-Forum einen Datensatz von mehr als 533 Millionen Facebook-Nutzern, der eine Vielzahl von persönlichen Daten enthielt.

Die offengelegten Daten umfassten persönliche Informationen von Facebook-Nutzern aus 106 Ländern, darunter 32 Millionen aus den USA und 11 Millionen aus dem Vereinigten Königreich. Der Datensatz enthielt neben weiteren Informationen Handynummern, Facebook-ID, Namen, Geburtstage und in einigen Fällen E-Mail-Adressen.

Böswillige Angreifer konnten die Nutzerdaten in den Jahren 2018 und 2019 automatisiert über eine Schwachstelle im Kontaktimport-Tool abgreifen.  Facebook erklärte, dass die Schwachstelle behoben wurde und hob ausdrücklich hervor, dass es sich nicht um einen Hack der Plattform handele, sondern um sogenanntes „Scraping“ öffentlich zugänglicher APIs.

Mit Inkrafttreten der DSGVO im Mai 2018 untersuchte die irische Datenschutzbehörde verschiedene Facebook-Tools, darunter die Facebook-Suche und den Kontaktimport in Facebook und Instagram. Im Ergebnis stellte die Untersuchung Mängel im Design der Technologie (Privacy by design – Artikel 25 (1) DSGVO) sowie bei datenschutzfreundlichen Voreinstellungen (Privacy by default – Artikel 25 (2) DSGVO) fest. Laut DPC konnte es Facebook nicht vermeiden, dass Produkte Scraping-Angriffen ausgeliefert waren.

Neben der Geldstrafe hat die DPC Meta auch eine Frist von drei Monaten gesetzt, in der der Konzern eine Reihe von Maßnahmen umsetzen muss, um die Verarbeitung personenbezogener Daten in Einklang mit den DSGVO-Regelungen zu bringen.

Was ist Scraping?

Web-Scraping ist ein Begriff für verschiedene Methoden zur automatischen Erfassung von Informationen aus dem Internet. In der Regel erfolgt dies mit Hilfe von Bots, die menschliches Verhalten auf Webseiten simulieren und automatisch Inhalte extrahieren.

Neben der legitimen Nutzung sogenannter Scraper-Bots, z.B. von Suchmaschinen oder im Rahmen von Marktforschung, gibt es auch bösartige Bot-Entwickler, die die Software nutzen, um persönliche Daten durch Ausnutzung von Sicherheitslücken auf Webseiten oder APIs zu sammeln.

Scraping ist das neue Hacking

Bots sind heute für mehr als die Hälfte (57%) des gesamten Web-Verkehrs verantwortlich. Facebook ist nicht allein mit dem Problem des Web-Scraping konfrontiert. Kurz nachdem das Facebook-Datenleck im April 2021 bekannt wurde, tauchten Berichte auf, dass auch das soziale Netzwerk Clubhouse über seine API große Mengen an Nutzerdaten preisgegeben hatte.

Wenig später wurde auch LinkedIn von einem „Scraping-Angriff“ getroffen, bei dem Daten von über 500 Millionen Nutzern über öffentlich zugängliche APIs erfasst wurden.

In den meisten Fällen verstößt das automatische Auslesen dieser Informationen gegen die Allgemeinen Geschäftsbedingungen der sozialen Netzwerke, und Facebook hat bereits in der Vergangenheit mehrere Unternehmen dafür verklagt.

Dennoch entsteht ein klares Bild: Mit so vielen öffentlichen APIs und Daten müssen böswillige Angreifer heutzutage die Systeme nicht mehr im klassischen Sinne „hacken“. Sie müssen lediglich bereits zugängliche Daten automatisiert sammeln und gegebenenfalls zusammenführen, um komplette Datensätze von Millionen Nutzern zu erfassen.

Schütze dein Unternehmen vor Scraper-Bots

Um dein Unternehmen zuverlässig vor Scraping-Angriffen zu schützen, benötigst du eine Software, die Bots erkennen kann. fraud0 kann dir dabei helfen. Unsere Software erkennt und blockiert Bots in Echtzeit und verhindert so, dass sie auf deine Webseite zugreifen.