Fakt ist, dass Facebook nicht plant, die Betroffenen des Datenlecks zu informieren. Das Unternehmen sieht das Problem nicht bei sich selber und verweist expilizit auf öffentlich-verfügbare Daten („public information“), aus denen das Leck bestehen soll.

Diese Vorgehensweise ist durchaus Problem, weil beispielsweise ein Kunde von uns Schattenprofile von ahnungslosen „Nicht-Benutzern“ entdeckt hat, die für möglicherweise zukünftige maliziöse Handlungen angelegt wurden oder vielleicht für PR-Kampagnen vorsorglich angelegt und danach „vergessen“ wurden.

Egal wie man es dreht und wendet: Ein Reputationsproblem, wenn man dies nicht erkennt. Da die wenigsten Anwender, eine Mehrfaktor-Authentifzierung und/oder zufällige Passwörter aus einem Passwort-Manager benutzen, ist es ein leichtes für Angreifer die Passwörter zu erraten oder zu „cracken“.

Aktuell argumentiert Facebook, dass die Benutzerkonten im 500 Mio.-Datenleck über „Brute-Force” enumerativ ausgelesen wurden: Eine unbekannt Gruppe oder Person hat ein Telefonbuch mit allen möglichen Telefonnummern erstellt und dieses dann mit fiktiven Server-Abfragen zu möglichen Facebook-Freunden abgeglichen. Dagegen spricht jedoch eines: Warum konnten so nicht-öffentliche Telefonnummern von Benutzer, wie eben auch Firmengründer Mark ZUCKERBERG selber, ausgelesen werden?

So schreibt Alon Gal (bekannt durch „Under the Breach”) dazu: