Wenige Tage nachdem die persönlichen Daten von mehr als einer Milliarde Facebook- und LinkedIn-Usern zum Verkauf angeboten wurden, hat es auch die relativ junge Social-Media-Plattform Clubhouse erwischt.
Unbekannte haben eine SQL-Datenbank mit über 1,3 Millionen gesammelten Clubhouse-Benutzerdaten in einem bekannten Hacker-Forum veröffentlicht. Gratis.
Die im April 2020 lancierte Audio-Chat-App soll inzwischen 10 Millionen (wöchentlich) aktive User haben.
Es handelt sich um den neusten grossen Scraping-Fall, also ein automatisiertes Abgreifen von online verfügbaren Informationen. Dies war dank einer Programmierschnittstelle (API) des betroffenen Unternehmens möglich und erforderte kein (illegales) Eindringen bzw. Hacken eines fremden Systems. Jedermann konnte ungehindert auf die in einer Datenbank (ungeschützt) gespeicherten Nutzerdaten zugreifen.
Die argumentative Verteidigung des US-Unternehmens, das Clubhouse anbietet, wurde bei Twitter kritisiert. Es handle sich um eine nicht öffentlich dokumentierte Schnittstelle, die nicht vor problematischen Zugriffen Dritter geschützt sei.
Security bugs are unintended features. It is an insecure practice to expose an API without rate limit and throttling protection. Unauthenticated/Authenticated users should not be able to scrape your whole user table through an API
— cucrisis (@cucrisis) April 11, 2021
Wie Cybernews am Sonntag berichtete, enthalten die Datensätze die folgenden persönlichen Informationen zu mehr als 1,3 Millionen registrierten Clubhouse-Usern:
Was auffällt: Die Mobiltelefonnummer der User scheint nicht zu den geleakten Informationen zu gehören.
Anmerkung: Bei Clubhouse konnte man sich in der Startphase seit April 2020 nur auf Einladung eines bestehenden Users anmelden. Und es existiert bislang nur eine iPhone-Version der App, die Android-Version sei noch in Entwicklung.
Der Schweizer IT-Sicherheitsexperte Marc Ruef hat sich die geleakten Daten angeschaut und gab am Montagmorgen teilweise Entwarnung. Es sehe so aus, als fehlten viele User in der am Wochenende verbreiteten Datei.
I am analyzing the #Clubhouse leak. Even though there is a lot of data, it is not that interesting. And it looks like there are many users missing. pic.twitter.com/rl6ex5yvp2
— Marc Ruef (@mruef) April 12, 2021
Die Informationen aus durchgesickerten Dateien können von Kriminellen auf verschiedene Weise gegen Clubhouse-User verwendet werden, hält Cybernews fest.
Insbesondere sei damit die Durchführung von gezielten Phishing-Attacken möglich oder anderen Arten von Social-Engineering-Angriffen. Dabei wird versucht, die Opfer durch Vorspiegelung falscher Tatsachen dazu zu bringen, ihre Kreditkarten-Daten oder Login-Informationen preiszugeben.
Man habe in den Datensätzen keine Kreditkartendetails oder juristisch relevante Dokumente gefunden, bestätigt Cybernews. Dennoch könne ein kompetenter Cyberkrimineller schon mit dem Profilnamen und den Verbindungen zu anderen Social-Media-Profilen echten Schaden anrichten.
Um das herauszufinden, kann man eine Abfrage starten beim Personal Data Leak Checker, einem Online-Tool, das vom IT-Newsportal Cybernews betrieben wird. Man gibt die Mailadresse oder Mobiltelefonnummer ein, worauf diese in verschlüsselter Form an den Cybernews-Server übermittelt und mit einer Datenbank verglichen werden. Darin sollen bereits über 15 Milliarden Einträge sicher gespeichert sein.
Es gilt, an die üblichen Sicherheitsmassnahmen zu erinnern, die es in Zusammenhang mit Online-Diensten gibt:
"Leak" impliziert, dass vorhin etwas "sealed", also verschlossen/geschützt war.
Das ist NICHT der Fall bei öffentlich zugänglichen Daten, die lediglich abgegriffen werden.
Ob das Scraping jetzt über aufsteigende ID-Nummern passiert oder anhand einer Liste bekannter E-Mail-Adressen/Telefonnummern aus früheren Leaks, das macht auch keinen Unterschied.
Übrigens ist Scraping völlig legal, da öffentlich zugängliche Daten abgegriffen werden. Was man aber mit den Daten anfängt kann illegal sein.
Dünkt mich jetzt eher wie damals bei den Pfadfinder vor dem (virtuellen) Lagerfeuer.
Aber ich bin offen für Kritik.