DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Clubhouse ist nicht nur bei iPhone-Besitzern in Nordamerika und Westeuropa populär, die Audio-Chat-App hat auch in der arabischen Welt viele User gewonnen.
Clubhouse ist nicht nur bei iPhone-Besitzern in Nordamerika und Westeuropa populär, die Audio-Chat-App hat auch in der arabischen Welt viele User gewonnen. archivBild: keystone

Clubhouse-App von Daten-Leak betroffen – das musst du wissen

Der nächste Scraping-Vorfall sorgt für Schlagzeilen: Persönliche Informationen zu mehr als 1,3 Millionen Clubhouse-Usern werden im Internet verbreitet. Die betroffene Firma betont, es sei kein Hackerangriff.
Cet article est également disponible en français. Lisez-le maintenant!
12.04.2021, 10:4012.04.2021, 17:29

Was ist passiert?

Wenige Tage nachdem die persönlichen Daten von mehr als einer Milliarde Facebook- und LinkedIn-Usern zum Verkauf angeboten wurden, hat es auch die relativ junge Social-Media-Plattform Clubhouse erwischt.

Unbekannte haben eine SQL-Datenbank mit über 1,3 Millionen gesammelten Clubhouse-Benutzerdaten in einem bekannten Hacker-Forum veröffentlicht. Gratis.

«Es scheint die bisher schlimmste Woche des Jahres für Social-Media-Plattformen in Bezug auf Datenlecks gewesen zu sein, und Clubhouse schliesst sich dem an.»
Cybernews

Die im April 2020 lancierte Audio-Chat-App soll inzwischen 10 Millionen (wöchentlich) aktive User haben.

Wie konnte das passieren?

Es handelt sich um den neusten grossen Scraping-Fall, also ein automatisiertes Abgreifen von online verfügbaren Informationen. Dies war dank einer Programmierschnittstelle (API) des betroffenen Unternehmens möglich und erforderte kein (illegales) Eindringen bzw. Hacken eines fremden Systems. Jedermann konnte ungehindert auf die in einer Datenbank (ungeschützt) gespeicherten Nutzerdaten zugreifen.

screenshot: twitter
«Clubhouse wurde nicht angegriffen oder gehackt. Die Daten, auf die Bezug genommen wird, sind alles öffentliche Profilinformationen aus unserer App, auf die jeder über die App oder unsere API zugreifen kann.»
Clubhouse-Verantwortlichequelle: twitter

Die argumentative Verteidigung des US-Unternehmens, das Clubhouse anbietet, wurde bei Twitter kritisiert. Es handle sich um eine nicht öffentlich dokumentierte Schnittstelle, die nicht vor problematischen Zugriffen Dritter geschützt sei.

Welche Daten sind veröffentlicht worden?

Wie Cybernews am Sonntag berichtete, enthalten die Datensätze die folgenden persönlichen Informationen zu mehr als 1,3 Millionen registrierten Clubhouse-Usern:

  • Benutzer-ID
  • Name
  • Foto-URL
  • Username
  • Twitter-Profil
  • Instagram-Profil
  • Zahl der Follower
  • Zahl der Clubhouse-Kontakte
  • Datum des Clubhouse-Beitritts
  • Name des einladenden Users

Was auffällt: Die Mobiltelefonnummer der User scheint nicht zu den geleakten Informationen zu gehören.

Anmerkung: Bei Clubhouse konnte man sich in der Startphase seit April 2020 nur auf Einladung eines bestehenden Users anmelden. Und es existiert bislang nur eine iPhone-Version der App, die Android-Version sei noch in Entwicklung.

Der Schweizer IT-Sicherheitsexperte Marc Ruef hat sich die geleakten Daten angeschaut und gab am Montagmorgen teilweise Entwarnung. Es sehe so aus, als fehlten viele User in der am Wochenende verbreiteten Datei.

Warum ist das (trotzdem) gefährlich?

Die Informationen aus durchgesickerten Dateien können von Kriminellen auf verschiedene Weise gegen Clubhouse-User verwendet werden, hält Cybernews fest.

Insbesondere sei damit die Durchführung von gezielten Phishing-Attacken möglich oder anderen Arten von Social-Engineering-Angriffen. Dabei wird versucht, die Opfer durch Vorspiegelung falscher Tatsachen dazu zu bringen, ihre Kreditkarten-Daten oder Login-Informationen preiszugeben.

Man habe in den Datensätzen keine Kreditkartendetails oder juristisch relevante Dokumente gefunden, bestätigt Cybernews. Dennoch könne ein kompetenter Cyberkrimineller schon mit dem Profilnamen und den Verbindungen zu anderen Social-Media-Profilen echten Schaden anrichten.

«Besonders entschlossene Angreifer können die in der geleakten SQL-Datenbank gefundenen Informationen mit anderen geleakten Daten kombinieren, um detaillierte Profile ihrer potenziellen Opfer zu erstellen.»
quelle: cybernews.com

Bin ich betroffen?

Um das herauszufinden, kann man eine Abfrage starten beim Personal Data Leak Checker, einem Online-Tool, das vom IT-Newsportal Cybernews betrieben wird. Man gibt die Mailadresse oder Mobiltelefonnummer ein, worauf diese in verschlüsselter Form an den Cybernews-Server übermittelt und mit einer Datenbank verglichen werden. Darin sollen bereits über 15 Milliarden Einträge sicher gespeichert sein.

Es gilt, an die üblichen Sicherheitsmassnahmen zu erinnern, die es in Zusammenhang mit Online-Diensten gibt:

  • Man sollte wenn immer möglich eine Zwei-Faktor-Authentifizierung (2FA) aktivieren. Dabei sollte 2FA-Apps wie Google Authenticator der Vorzug gegeben werden gegenüber Lösungen, bei denen ein SMS verschickt wird.
  • Und man sollte die Verwendung eines Passwort-Managers erwägen, um sichere (und immer unterschiedliche!) Kennwörter zu erstellen und zu verwalten.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Die bösartigsten Computer-Attacken aller Zeiten

1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

15 unwiderstehliche Tipps, wie du dir das Kino-Feeling nach Hause holst

Video: watson

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

25 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
ch.vogel
12.04.2021 11:36registriert Mai 2014
Könntet ihr bitte den Begriff "Leak" nicht mehr für solche Vorfälle benutzen?

"Leak" impliziert, dass vorhin etwas "sealed", also verschlossen/geschützt war.

Das ist NICHT der Fall bei öffentlich zugänglichen Daten, die lediglich abgegriffen werden.

Ob das Scraping jetzt über aufsteigende ID-Nummern passiert oder anhand einer Liste bekannter E-Mail-Adressen/Telefonnummern aus früheren Leaks, das macht auch keinen Unterschied.
625
Melden
Zum Kommentar
avatar
_andreas
12.04.2021 11:08registriert April 2020
Und der nächste Scraping Fall. Solche Meldungen werden wir in der nächsten Zeit noch öfters sehen. Verhindern kann man es kaum. Vieleicht öffnet es aber auch den letzten noch die Augen dass man eben nicht alles von sich preisgibt im Internet.
Übrigens ist Scraping völlig legal, da öffentlich zugängliche Daten abgegriffen werden. Was man aber mit den Daten anfängt kann illegal sein.
321
Melden
Zum Kommentar
avatar
Hierundjetzt
12.04.2021 11:04registriert Mai 2015
Ernsthafte Frage: Muss ich Clubhouse kennen? Der Kerngedanke der Website ist doch, das Mitarbeiter mit Mitarbeiter über ein frei gewähltes Thema sprechen und sich gegenseitig in Ihren Ansichten bestätigen.

Dünkt mich jetzt eher wie damals bei den Pfadfinder vor dem (virtuellen) Lagerfeuer.

Aber ich bin offen für Kritik.
283
Melden
Zum Kommentar
25
4 Fragen zu Apples europäischem Entwicklungs-Standort in München

Auf den Geräteboxen von Apple steht in der Regel «Designed in California». Dabei werden wichtige Technik-Bausteine von Geräten wie dem iPhone oder dem Mac auch ausserhalb Kaliforniens entworfen. Immer wichtiger wird dabei der Standort München.

Zur Story