Keine gute Woche für Social Media
Von: Stefan Hager
Nachdem Anfang April die Daten von 533 Millionen Facebook-Benutzern als Sammlung bereitgestellt wurden, folgte ein Datenpaket mit Nutzerdaten von 500 Millionen LinkedIn-Nutzern und, als kleiner Nachtisch, eine Sammlung mit 1.3 Millionen Nutzerdaten von Clubhouse.
Allen drei Leaks ist eines gemeinsam: es handelt sich um Daten, die auf die eine oder andere Weise von den Webseiten selbst abgezogen worden sind, und nicht von kompromittierten Systemen auf der Seite der Anbieter.
Dieses “Scraping” genannte Verfahren zielt darauf, meist über bereitgestellte APIs Daten zu extrahieren, auf die man sonst keinen Zugriff hätte. Als Beispiel: wenn Du nicht mein Freund auf Facebook bist, siehst Du meine Telefonnummer nicht, basta*.
*weder bin ich auf Facebook noch ist das Statement richtig, wie die Realität zeigt
Die API erlaubt es aber, dass man das eigene Telefonbuch mit den Kontaktdaten an Facebook übermittelt, und Facebook dann Daten zurückliefert, wenn es eine Nummer kennt. Klar, ist ja auch für die Datenkraken praktisch: sie sehen, wer tatsächlich auch außerhalb Facebook vernetzt ist und bilden das innerhalb ihrer Plattform ab. So weit, so gut.
Die Angreifer haben sich das zunutze gemacht und ein Telefonbuch erstellt, was jede erdenkliche Telefonnummer beinhaltete. Und Facebook hat — das war in 2019 — fleißig alle Daten übermittelt, die es zu einer der Telefonnummern hatte.
Im Fall von Facebook fand dieses Datenleck zwar vor zwei Jahren statt, und diese Lücke ist seitdem gestopft, aber das komplette Paket mit allen entwendeten Daten ist nun kürzlich wieder aufgetaucht. Wenn also Deine echte Telefonnummer vor 2019 in Facebook war, ist diese spätestens jetzt weit verbreitet.
Genau wie Facebook IDs, volle Namen (und hatte Facebook da nicht eine Pflicht, den echten anzugeben?), Ortsangabe, Geburtsdatum, Email-Adresse, Beziehungsstatus etc., etc.
Scraping hat auch bei LinkedIn zu Datenverlust von Namen, Emailadresse, Telefonnummer, verlinkten Social Media Profilen und Lebensläufen etc. geführt — bei 500 Millionen Nutzerinnen und Nutzern.
Allerdings ist nach wie vor nicht klar, ob es sich um eine Zusammenführung von bereits abgeflossenen Daten von LinkedIn aus früheren Breaches handelt, die mit anderen Daten zusammengeführt wurden; also wie bei Facebook um eine Neuauflage bereits bekannter Informationen, oder um etwas komplett Neues. LinkedIn selbst bestreitet, dass Informationen gestohlen wurden, die nicht sowieso für jeden zugänglich auf ihrer Webseite sind:
Bleibt noch die junge App Clubhouse mit vergleichsweise geringen 1.3 Millionen via Scraping gestohlenen Nutzerdaten wie Name, verlinkten Social Media Accounts, Anzahl Followers und Anzahl der Accounts, denen man selbst folgt, und von wem man eingeladen wurde.
Aber, wie Clubhouse in einem Tweet schreibt, das ist völlig normal und ok und alles sowieso öffentlich verfügbare Information:
Was ist zu tun?
Es besteht die Vermutung, dass die Daten vor allem für besseren Spam verwendet werden, als auch die Telefonnummern für Werbeanrufe und SMS mit Phishing-Links oder anderen Betrugsmaschen.
Was zu tun ist, kann man eigentlich so zusammenfassen: Bitte bleibt wachsam!
Kriminelle werden die Informationen aus diesen Leaks verstärkt nutzen, um glaubwürdigere SMS oder Phishing-Mails zu erstellen. Die kommen dann eben nicht mehr von einem generischen Konto, sondern z.B. angeblich vom Konto Eurer auf Facebook verlinkten Tante.
Die Daten von LinkedIn waren für Eure professionellen Kontakte bislang auch schon immer sichtbar, also all das, was ihr selbst dort eingetragen und freigegeben habt. Jetzt hat sich Euer professionelles Netzwerk ganz ohne Einbezug eines Thought Leaders zwar außerhalb von LinkedIn um viele Kontakte erweitert, die sind Euch aber nicht unbedingt freundlich gesonnen.
Natürlich könnt ihr Eure Passwörter auf Facebook, LinkedIn und Clubhouse ändern (wie immer am Besten mit Hilfe eines Passwort-Managers, damit es schön komplex ist und ihr es Euch nicht merken müsst), aber da in keinem Fall Passwörter oder Hashes entwendet wurden, hilft das in der Situation leider nicht:
Die Daten sind weg.
Facebook wird die betroffenen Nutzer übrigens nicht informieren, LinkedIn überlegt sich das noch.
Schließen möchte ich diesen Blogbeitrag mit einem Zitat von fortune.com, welches ich kopfschüttelnd gelesen habe und für mich im Kopf zusammengefasst habe mit “Sicher, Eure Daten sind weg, aber denkt niemand an die armen Firmen, denen das passiert ist?”.
“Data leaks threaten to undermine Facebook’s business model of gathering a large amount of personal information and using that to sell targeted ads.” — fortune.com
