bedeckt
DE | FR
burger
Digital
Online-Sicherheit

Clubhouse-App von Daten-Leak betroffen – das musst du wissen

Diana Moukalled, a Lebanese journalist who closely follows social media checks the Clubhouse application, at her office in Beirut, Lebanon, Wednesday, April 7, 2021. Hundreds of thousands of people in ...
Clubhouse ist nicht nur bei iPhone-Besitzern in Nordamerika und Westeuropa populär, die Audio-Chat-App hat auch in der arabischen Welt viele User gewonnen. archivBild: keystone

Clubhouse-App von Daten-Leak betroffen – das musst du wissen

Der nächste Scraping-Vorfall sorgt für Schlagzeilen: Persönliche Informationen zu mehr als 1,3 Millionen Clubhouse-Usern werden im Internet verbreitet. Die betroffene Firma betont, es sei kein Hackerangriff.
Cet article est également disponible en français. Lisez-le maintenant!
12.04.2021, 10:4012.04.2021, 17:29
Daniel Schurter
Daniel Schurter
Inhaltsverzeichnis
Was ist passiert?Wie konnte das passieren?Welche Daten sind veröffentlicht worden?Warum ist das (trotzdem) gefährlich?Bin ich betroffen?Quellen

Was ist passiert?

Wenige Tage nachdem die persönlichen Daten von mehr als einer Milliarde Facebook- und LinkedIn-Usern zum Verkauf angeboten wurden, hat es auch die relativ junge Social-Media-Plattform Clubhouse erwischt.

Unbekannte haben eine SQL-Datenbank mit über 1,3 Millionen gesammelten Clubhouse-Benutzerdaten in einem bekannten Hacker-Forum veröffentlicht. Gratis.

«Es scheint die bisher schlimmste Woche des Jahres für Social-Media-Plattformen in Bezug auf Datenlecks gewesen zu sein, und Clubhouse schliesst sich dem an.»
Cybernews

Die im April 2020 lancierte Audio-Chat-App soll inzwischen 10 Millionen (wöchentlich) aktive User haben.

Wie konnte das passieren?

Es handelt sich um den neusten grossen Scraping-Fall, also ein automatisiertes Abgreifen von online verfügbaren Informationen. Dies war dank einer Programmierschnittstelle (API) des betroffenen Unternehmens möglich und erforderte kein (illegales) Eindringen bzw. Hacken eines fremden Systems. Jedermann konnte ungehindert auf die in einer Datenbank (ungeschützt) gespeicherten Nutzerdaten zugreifen.

Bild
screenshot: twitter
«Clubhouse wurde nicht angegriffen oder gehackt. Die Daten, auf die Bezug genommen wird, sind alles öffentliche Profilinformationen aus unserer App, auf die jeder über die App oder unsere API zugreifen kann.»
Clubhouse-Verantwortlichequelle: twitter

Die argumentative Verteidigung des US-Unternehmens, das Clubhouse anbietet, wurde bei Twitter kritisiert. Es handle sich um eine nicht öffentlich dokumentierte Schnittstelle, die nicht vor problematischen Zugriffen Dritter geschützt sei.

Welche Daten sind veröffentlicht worden?

Wie Cybernews am Sonntag berichtete, enthalten die Datensätze die folgenden persönlichen Informationen zu mehr als 1,3 Millionen registrierten Clubhouse-Usern:

  • Benutzer-ID
  • Name
  • Foto-URL
  • Username
  • Twitter-Profil
  • Instagram-Profil
  • Zahl der Follower
  • Zahl der Clubhouse-Kontakte
  • Datum des Clubhouse-Beitritts
  • Name des einladenden Users

Was auffällt: Die Mobiltelefonnummer der User scheint nicht zu den geleakten Informationen zu gehören.

Anmerkung: Bei Clubhouse konnte man sich in der Startphase seit April 2020 nur auf Einladung eines bestehenden Users anmelden. Und es existiert bislang nur eine iPhone-Version der App, die Android-Version sei noch in Entwicklung.

Der Schweizer IT-Sicherheitsexperte Marc Ruef hat sich die geleakten Daten angeschaut und gab am Montagmorgen teilweise Entwarnung. Es sehe so aus, als fehlten viele User in der am Wochenende verbreiteten Datei.

Warum ist das (trotzdem) gefährlich?

Die Informationen aus durchgesickerten Dateien können von Kriminellen auf verschiedene Weise gegen Clubhouse-User verwendet werden, hält Cybernews fest.

Insbesondere sei damit die Durchführung von gezielten Phishing-Attacken möglich oder anderen Arten von Social-Engineering-Angriffen. Dabei wird versucht, die Opfer durch Vorspiegelung falscher Tatsachen dazu zu bringen, ihre Kreditkarten-Daten oder Login-Informationen preiszugeben.

Man habe in den Datensätzen keine Kreditkartendetails oder juristisch relevante Dokumente gefunden, bestätigt Cybernews. Dennoch könne ein kompetenter Cyberkrimineller schon mit dem Profilnamen und den Verbindungen zu anderen Social-Media-Profilen echten Schaden anrichten.

«Besonders entschlossene Angreifer können die in der geleakten SQL-Datenbank gefundenen Informationen mit anderen geleakten Daten kombinieren, um detaillierte Profile ihrer potenziellen Opfer zu erstellen.»
quelle: cybernews.com

Bin ich betroffen?

Um das herauszufinden, kann man eine Abfrage starten beim Personal Data Leak Checker, einem Online-Tool, das vom IT-Newsportal Cybernews betrieben wird. Man gibt die Mailadresse oder Mobiltelefonnummer ein, worauf diese in verschlüsselter Form an den Cybernews-Server übermittelt und mit einer Datenbank verglichen werden. Darin sollen bereits über 15 Milliarden Einträge sicher gespeichert sein.

Es gilt, an die üblichen Sicherheitsmassnahmen zu erinnern, die es in Zusammenhang mit Online-Diensten gibt:

  • Man sollte wenn immer möglich eine Zwei-Faktor-Authentifizierung (2FA) aktivieren. Dabei sollte 2FA-Apps wie Google Authenticator der Vorzug gegeben werden gegenüber Lösungen, bei denen ein SMS verschickt wird.
  • Und man sollte die Verwendung eines Passwort-Managers erwägen, um sichere (und immer unterschiedliche!) Kennwörter zu erstellen und zu verwalten.

Quellen

LinkedIn-Daten von Millionen Usern im Netz entdeckt – das musst du wissen
Facebook-Datenleak: Hier erfährst du, ob du auch davon betroffen bist
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Themen
Die bösartigsten Computer-Attacken aller Zeiten
1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Der Lösegeld-Trojaner «WannaCry» geht als bislang grösste Ransomware-Attacke in die IT-Annalen ein. Früher war aber nicht alles besser, im Gegenteil! Wir zeigen dir eine Auswahl der schlimmsten Malware-Attacken ...
Auf Facebook teilenAuf X teilen
15 unwiderstehliche Tipps, wie du dir das Kino-Feeling nach Hause holst
Video: watson
Das könnte dich auch noch interessieren:
Du hast uns was zu sagen?
Hast du einen relevanten Input oder hast du einen Fehler entdeckt? Du kannst uns dein Anliegen gerne via Formular übermitteln.
22 Kommentare
Zum Login
user avatar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
ch.vogel
12.04.2021 11:36registriert Mai 2014
Könntet ihr bitte den Begriff "Leak" nicht mehr für solche Vorfälle benutzen?

"Leak" impliziert, dass vorhin etwas "sealed", also verschlossen/geschützt war.

Das ist NICHT der Fall bei öffentlich zugänglichen Daten, die lediglich abgegriffen werden.

Ob das Scraping jetzt über aufsteigende ID-Nummern passiert oder anhand einer Liste bekannter E-Mail-Adressen/Telefonnummern aus früheren Leaks, das macht auch keinen Unterschied.
625
Melden
Zum Kommentar
avatar
_andreas
12.04.2021 11:08registriert April 2020
Und der nächste Scraping Fall. Solche Meldungen werden wir in der nächsten Zeit noch öfters sehen. Verhindern kann man es kaum. Vieleicht öffnet es aber auch den letzten noch die Augen dass man eben nicht alles von sich preisgibt im Internet.
Übrigens ist Scraping völlig legal, da öffentlich zugängliche Daten abgegriffen werden. Was man aber mit den Daten anfängt kann illegal sein.
321
Melden
Zum Kommentar
avatar
Hierundjetzt
12.04.2021 11:04registriert Mai 2015
Ernsthafte Frage: Muss ich Clubhouse kennen? Der Kerngedanke der Website ist doch, das Mitarbeiter mit Mitarbeiter über ein frei gewähltes Thema sprechen und sich gegenseitig in Ihren Ansichten bestätigen.

Dünkt mich jetzt eher wie damals bei den Pfadfinder vor dem (virtuellen) Lagerfeuer.

Aber ich bin offen für Kritik.
283
Melden
Zum Kommentar
22
Meistgelesen
1
Nach Wintereinbruch: Weisser Teppich auf den Pässen, Föhn bringt Auflockerung
2
Ukraine entscheidet sich gegen US-Kampfjets – und für den schwedischen Gripen
3
Die Wetterpropheten haben geschmöckt: Das sind ihre Prognosen für den Winter
4
WO BLEIBEN DENN EIGENTLICH DIESE FAILS?
5
USA planen totale Überwachung von Social Media – das solltest du wissen
Meistkommentiert
1
Neue EU-Verträge: 570'000 Personen würden nach 5 Jahren Recht auf Daueraufenthalt erhalten
2
Juventus mit neuem Trainer einig +++ Lionel Messi verlängert bei Inter Miami
3
Picdump 163 – hier könnte Ihr Meme stehen
4
Wo gibt es halbwegs gute Sandwiches hierzulande?
Meistgeteilt
1
Stadt Pokrowsk unter Druck +++ 27'000 Haushalte in der Ukraine ohne Strom
2
Israel greift im Norden Gazas an +++ Israel verbietet IKRK Häftlings-Besuche
3
Fed senkt Leitzins erneut ++ Südkorea verleiht Trump höchsten Verdienstorden
4
WWM: Bei dieser fiesen Sport-Frage fällt der Kandidat von 32'000 auf 500 Euro zurück
5
Grosse Erleichterung: Schweizer Töfffahrer Noah Dettwiler ausser Lebensgefahr
Rekord: Ein Fünftel aller Neuwagen ist rein elektrisch
Der Wechsel vom Verbrenner zum Elektroauto nimmt weltweit Fahrt auf. Im dritten Quartal erreichten reine Stromer auf wichtigen Märkten einen Rekordanteil bei den Neuwagen.
Noch nie machten reine Elektroautos einen so hohen Anteil der neu verkauften Wagen aus wie im dritten Quartal. Die Beratungsgesellschaft PwC kommt in ihrer regelmässigen Analyse für weltweit 40 wichtige Märkte auf einen Anteil von knapp 21 Prozent, wie sie mitteilte. Das sind zwei Prozentpunkte mehr als im zweiten Quartal und der höchste je ermittelte Wert. Basis sind Zahlen aus Märkten, die zusammen für rund 85 Prozent des weltweiten Autoabsatzes stehen.
Zur Story