Eine riesige Datenbank mit mehr als 419 Millionen Telefonnummern von Facebook Usern, verknüpft mit der Facebook ID standen unverschlüsselt im Netz. Über die Facebook ID lässt sich der Facebook Username ausfindig machen. Teilweise waren auch Klarnamen, Geschlecht und Staatsangehörigkeit des jeweiligen Nutzers verzeichnet.
Aufgedeckt hat das der Sicherheitsforscher Sanyam Jain. Der Administrator des Servers hat die Datenbank inzwischen vom Netz genommen. Wer die Daten auf den Server gestellt hat ist nicht bekannt. Laut Techcrunch stammen die Daten die Daten aus den USA, Vietnam und Großbritannien.
Facebool hat die Echtheit der riesigen Datensammlung bestätigt. Es handelt sich um Daten, die jemand über Facebooks Usersuche gesammelt habe. Bis April 2018 war es bei Facebook möglich, durch die Eingabe von Telefonnummer oder E-Mailadresse das Profil des entsprechenden Users zu finden. Da Telefonnummern nach bekannten Schemata vergeben werden, war es möglich, die Nummern der Reihe nach durchzuprobieren um zu sehen, welche Profile es gibt. So hätte sich diese Datenbank zusammentragen lassen können.
Laut Facebook gibt es keine Hinweise darauf, dass die Daten zum Knacken von Facebook-Konten genutzt worden seien. Möglich ist das über so genanntes SIM Swapping. Dabei gibt sich ein Betrüger gegenüber dem Mobilfunkbetreiber als der Anschlussinhaber aus und meldet Telefon und SIM-Karte als gestohlen, um eine neue SIM-Karte mit der jeweiligen Nummer zu erhalten.
Während der Großteil der Datensätze aus Vietnam und den USA stammt, waren ca. 18 Millionen britische Personen betroffen. Damit fällt der Vorfall unter die Datenschutz-Grundverordnung. Der Firmensitz des Betreibers ist nicht relevant (siehe Artikel 3 DSGVO).
Bereits wegen des Cambridge Analytica-Skandals hat Facebook in mehreren europäischen Staaten Geldstrafen (z.B. Italien oder Großbritannien) zahlen müssen. Da der damalige Vorfall vor Inkrafttreten der DSGVO aufgedeckt wurde, kam nicht die DSGVO zur Anwendung. In diesem Fall wird das Unternehmen mit höheren Bußgeldern rechnen müssen.