Laut dem Bericht von Tech Crunch sind weltweit bis zu 420 Millionen Nutzer des sozialen Netzwerks betroffen. Facebook behauptet, dass es in diesem Datensatz zahlreiche Duplikate gebe. Intern gehe man daher davon aus, dass rund 200 Millionen Nutzer betroffen seien. Unter den Telefonnummern sollen 133 Millionen von Facebook-Nutzern aus den USA stammen, weitere 13 Millionen aus Großbritannien und mehr als 50 Millionen aus Vietnam.

Es ist unklar, wer die Auflistung zu welchem Zweck erstellt und hochgeladen hat. Die Telefonnummern waren Tech Crunch zufolge jeweils mit einer Facebook-ID verknüpft. Mit dieser einmaligen Zahlenkombination lässt sich der Name des Facebook-Kontos und damit die Identität des Nutzers herausfinden.

Bis April 2018 war es bei Facebook möglich, durch die Eingabe von Telefonnummer oder E-Mail-Adresse das Profil des entsprechenden Nutzers zu finden. Der Konzern hatte eingeräumt, dass die Freunde-Suche nach Telefonnummern dazu missbraucht worden sei, Daten abzugreifen, und schaltete die Funktion ab. Die nun aufgetauchte Datenbank könnte unter Umständen mithilfe des sogenannten Scrapings zusammengetragen worden sein. Bei dieser Suchtechnik fischen Hacker im Internet gezielt nach (Text-)Daten. Das kann ein Nutzer manuell machen, in der Regel übernehmen jedoch automatisierte Programme diese Aufgabe. Facebook war bislang nicht erfolgreich darin, die Praxis auf seiner Plattform zu unterbinden, auch auf Instagram hat der Konzern damit zu kämpfen.

Die Gefahr, die von einem solchen Datenleck ausgeht, ist enorm. Abgesehen davon, dass die betroffenen Nutzer per Telefon belästigt werden können, könnten Online-Kriminelle die Nummern auch verwenden, um sich Zugang zu Nutzer- und möglicherweise sogar Bankkonten zu verschaffen. Denn mit einer Telefonnummer lässt sich das Konto bei zahlreichen Online-Diensten absichern. Dazu wird die sogenannte Zwei-Faktor-Authentisierung verwendet, bei der neben Nutzernamen und Passwort auch ein zusätzlicher Code benötigt wird, um sich anzumelden. Dieser Code wird in der Regel einmalig generiert und per SMS an den Nutzer verschickt. Kennen Betrüger die Handynummer eines Anwenders, können sie sich beim Netzanbieter als Besitzer des Anschlusses ausgeben und Handy sowie SIM-Karte als gestohlen melden. So können sie den Anbieter dazu bringen, die Nummer auf eine neue SIM-Karte zu übertragen. Damit wird der Inhaber von seinem eigenen Konto ausgesperrt und die Fremden erlangen Zugriff. Diese Methode wird als SIM-Swapping (wörtlich „SIM-Tausch“) bezeichnet. Opfer dieser Masche wurden auch schon hochrangige Mitarbeiter von den sozialen Medien, zuletzt Twitter-Chef Jack Dorsey.

Facebook ist schon mehrmals negativ aufgefallen, weil das Online-Netzwerk nicht verhindern konnte, dass Daten seiner Nutzer an die Öffentlichkeit gerieten. Zu einer schwerwiegenden Datenpanne war es zuletzt im April gekommen. Damals stellte sich heraus, dass 540 Millionen Kundendaten auf öffentlich zugänglichen Servern eines Online-Speicherdienstes zu finden waren. Das Unternehmen reagierte umgehend und ließ die Daten entfernen, Facebook-Chef Mark Zuckerberg gelobte Besserung.

Wegen der andauernden Datenschutz-Skandale musste Zuckerbergs Unternehmen erst im Juli in den USA fünf Milliarden Dollar Strafe zahlen. Zudem verpflichtete sich das Netzwerk, eine Reihe von Auflagen im Umgang mit den Daten seiner Nutzer zu erfüllen. Darauf hatte sich der Facebook-Konzern mit der US-Verbraucherschutzbehörde geeinigt.