Fast täglich grüßt ein Datenskandal. Erst sorgten im Internet veröffentlichte Facebook-Nutzerdaten für Furore, jetzt sind weitere angebliche Datenlecks bei Social-Media-Plattformen – nämlich LinkedIn und Clubhouse – publik geworden. Millionen von Nutzerdaten sind im Netz aufgetaucht.
Wir erklären, was es mit den Datenlecks auf sich hat und warum Unternehmen besonders in Gefahr sind.
- Datenlecks bei Social-Media-Plattformen
- Facebook-Datenleck: 530 Millionen Nutzerdaten abgegriffen
- Hackerforum: LinkedIn-Nutzerdaten angeboten
- Clubhouse-Nutzerdaten im Netz
- Datenlecks bei Social-Media-Plattformen – Gefahr für Unternehmen
- IT-Experten stärken Security Awareness
- Update vom 30.06.2021: Wieder ein LinkedIn-Datenleak
Datenlecks bei Social-Media-Plattformen
Wer sich bei einer Social-Media-Plattform anmelden möchte, muss dafür meist so einige Daten von sich preisgeben. Das fängt bei der E-Mail-Adresse an, geht mit Vor- und Nachname weiter und reicht oft bis zu Telefonnummer, Wohnort und Kontaktpersonen. Trotzdem ist der Reiz oft so groß, dass Nutzer ihre Daten mehr oder weniger bereitwillig hergeben – in der vielleicht etwas naiven Hoffnung, dass der jeweilige Plattform-Anbieter schon gut darauf aufpassen wird.
Warum naiv? Ganz einfach: In der Vergangenheit haben schon so einige Datenlecks bei Social-Media-Plattformen für Aufruhr gesorgt. Dennoch stirbt die Hoffnung auch hier wieder einmal zuletzt; die Nutzer vertrauen scheinbar darauf, dass die Webseitenbetreiber aus vorgefallenen Daten-Leaks ihre Lehren ziehen und es in Zukunft besser machen.
Das kann jetzt wieder einmal angezweifelt werden, denn innerhalb weniger Tage sind zunächst Nutzerdaten von Facebook, dann LinkedIn und schließlich Clubhouse auf einschlägigen Internetseiten aufgetaucht. Kurz und knapp erklären wir, was zu den Sicherheitsvorfällen jeweils bekannt ist und aus welchen Gründen sie besonders für Unternehmen gefährlich sind.
Facebook-Datenleck: 530 Millionen Nutzerdaten abgegriffen
Angefangen hat der jüngste Reigen an Datenskandalen mit Facebook. Am Osterwochenende (03./04. April 2021) sind im Internet mehr als 530 Millionen Datensätze aufgetaucht, darunter Klarnamen, Geburtsdaten, Anschriften, E-Mail-Adressen und Telefonnummern. Die Betroffenen stammen aus insgesamt 106 Ländern – unter ihnen sind auch sechs Millionen Nutzer aus Deutschland. Die Daten sollen schon im Sommer 2019 durch einen Missbrauch der Funktion zur Freundessuche abgegriffen worden sein, laut Facebook ist diese Lücke aber seit August 2019 geschlossen.
Außerdem soll es sich dabei laut Facebook nicht um Hacking gehandelt haben, sondern um einen Fall von Scraping. Scraping ist eine gängige Taktik, bei der Angreifer eine automatisierte Software verwenden, um auf einer Web-Plattform Seite um Seite aufzurufen und alle nützlichen Informationen herauszufiltern.
Nichtsdestotrotz sind dabei Daten abgeflossen und werden seit geraumer Zeit im Internet zum Kauf angeboten. Seit Anfang April sind sie sogar frei zugänglich im Internet veröffentlicht. Facebook pocht darauf, dass es sich dabei um „alte Daten“ handelt. Aber: Viele solcher Daten werden selten bis gar nicht verändert und dürften immer noch gültig sein.
Hackerforum: LinkedIn-Nutzerdaten angeboten
Das zweite angebliche Datenleck folgte sozusagen auf dem Fuße – nun beim Karrierenetzwerk LinkedIn. Das Fachportal Cybernews berichtete darüber am 6. April 2021 exklusiv. In dem Bericht heißt es, dass Hacker online Datensätze von einer halben Milliarde LinkedIn-Nutzern zum Kauf anbieten. Auch diese Datensätze sollen volle Namen, E-Mail-Adressen, Telefonnummern sowie Informationen zum Arbeitsplatz enthalten. Der Verkäufer stellte dem Bericht zufolge zunächst „nur“ zwei Millionen Datensätze online – zum Preis von zwei Dollar, um die Echtheit der Daten zu beweisen und den restlichen Datenberg im Nachgang höchstbietend zu versteigern.
LinkedIn selbst hat den bereits käuflichen Datensatz untersucht und gibt in einem Statement bekannt, dass die Daten nicht aus einem Datenleck stammen und keine privaten Nutzerkontendaten entwendet wurden. Vielmehr beinhalte der Datensatz Informationen, die Nutzer öffentlich auf ihren Profilen mitteilen und die wiederum durch Scraping zusammengetragen werden konnten. Anschließend seien die Daten noch mit Informationen von anderen Webseiten angereichert worden.
Clubhouse-Nutzerdaten im Netz
Der dritte Datenvorfall im Bunde soll sich bei der Clubhouse-App ereignet haben. Diese Social-Media-Plattform ist noch vergleichsweise jung und hat erst im Februar 2021 einen regelrechten Hype in Deutschland ausgelöst. Schon damals waren die Schlagzeilen nicht nur positiv, denn der Datenschutz wurde häufig angeprangert. Und jetzt sollen – erneut laut einem Bericht von Cybernews – 1,3 Millionen Nutzerdaten im Internet aufgetaucht sein.
In diesem Fall scheint es sich immerhin um keine sensiblen Informationen zu handeln. Vielmehr gehören unter anderem der Name, die Profilbild-URL, der Username, das Datum der Registrierung und das Nutzerprofil, von dem der jeweilige Nutzer die Clubhouse-Einladung erhalten hat, zu den kopierten Daten. Die Datensammlung soll dabei ebenfalls nicht durch ein Datenleck, sondern durch Scraping entstanden sein.
Datenlecks bei Social-Media-Plattformen – Gefahr für Unternehmen
Wie auch immer die veröffentlichten Datensammlungen zustande gekommen sind und wie sensibel die jeweiligen Informationen sind – alle drei Fälle zeigen wieder einmal, wie groß das Gefahrenpotenzial solcher Datenskandale ist. Denn: Hacker haben eine Kunst daraus gemacht, einzelne Informationsbrocken zu einem stimmigen Gesamtbild zusammen zu basteln – und dieses Gesamtbild nutzen Sie dann, um absolut glaubwürdige Social-Engineering-Angriffe und Phishing-Attacken zu starten. Beispielsweise können die Angreifer dadurch in einer E-Mail täuschend echt vorgeben, ein Kontakt des Empfängers zu sein, sodass gefährliche Links vertrauensvoll einfach angeklickt werden.
Die aktuellen Fälle bei LinkedIn und Clubhouse sind dabei besonders gefährlich für Unternehmen, weil hier Menschen in einem professionellen Kontext netzwerken. Es ist also durchaus denkbar, dass hier für einzelne Unternehmen ganze Beziehungscluster entstanden sind, die sowohl interne als auch externe Kontakte mit einbinden und viel Potenzial für zukünftige Täuschungsmanöver bieten.
Und im privaten Kontext ist die Gefahr kaum geringer. Hier scheinen vor allem geleakte Telefonnummern ein gefundenes Fressen zu sein. Seit dem Facebook-Leak kam es jedenfalls schon vermehrt zu SMS-Spam.
Ziehen sich Plattformen aus der Affäre?
Die Datenlecks bei Social-Media-Plattformen, die man aber offensichtlich nicht beim Namen nennen will, zeigen dabei auch wieder, dass sich die Betreiber gern aus der Verantwortung ziehen. Facebook beispielsweise will die Betroffenen nicht persönlich über den Vorfall informieren – einerseits weil die Daten ohnehin „alt“ seien, andererseits weil dies gar nicht durchführbar sei.
Branchenexperten lassen auch nicht das Argument gelten, dass sich die Angreifer nicht über Sicherheitslücken in die Datenbanken der Plattformen eingehackt, sondern Scraping genutzt haben. Dieses Argument würde einfach nur vorgeschoben, um einer (teuren) Maßregelung durch die Datenschutzbehörden zu entgehen. Der Vorwurf der Sicherheitsexperten: Die Plattformen müssten die Möglichkeit von Scraping von vornherein verhindern.
Und wenn das Kind schon in den Brunnen gefallen ist, müsste zumindest die Reaktion darauf angemessen sein. Sprich: Die Plattform-Betreiber müssten die Anwender über die Lage informieren und sie darüber aufklären, wie sie sich vor einem Missbrauch der abgegriffenen Informationen am besten schützen. Das überlassen die Plattformen aber lieber anderen – beispielsweise der Webseite have I been pwned?, auf der sich prüfen lässt, ob die eigene E-Mail-Adresse, mit der man sich bei Facebook und Co. anmeldet, geleakt wurde.
IT-Experten stärken Security Awareness
Für den einzelnen Nutzer wie auch für ganze Unternehmen heißt es daher, äußerste Wachsamkeit walten lassen zu müssen. Mitarbeiter sind aber oft nicht ausreichend über die Gefahren aus dem Cyberspace aufgeklärt – das Resultat sind dann Schlagzeilen zu den spektakulärsten Cyberangriffen 2020 oder über erfolgreich verlaufene Cyberspionage-Angriffe. Was tun? Unternehmen sollten verstärkt auf die Schulung der Security Awareness aller Mitarbeiter setzen.
Entsprechende Trainings bestehen dabei häufig aus einem theoretischen Teil, in dem über die potenziellen Bedrohungen aufgeklärt wird, und einem praktischen Teil, bei dem exemplarisch Phishing-Attacken simuliert und die Reaktionen der Mitarbeiter darauf ausgewertet werden. Mit der Zeit entwickeln alle Beteiligten ein gutes Gespür dafür, auf welchen Link und welchen Anhang sie tatsächlich klicken können und wo dagegen die Gefahr lauert.
Sie möchten Ihre Mitarbeiter mit Hilfe einer solchen Schulung ebenfalls sensibilisieren? Dann nehmen Sie Kontakt zu unseren Experten aus dem IT-SERVICE.NETWORK auf! Unsere Partner haben derartige Schulungen entweder selbst im Portfolio oder können Ihnen ein solches Training zumindest vermitteln. Wir freuen uns auf Ihre Anfrage!
Update vom 30.06.2021: Wieder ein LinkedIn-Datenleak!
Daten von etwa 700 Millionen LinkedIn-Nutzenden sollen laut aktuellen Berichten derzeit im Darknet zum Kauf angeboten werden. Sollten die Daten echt sein, wären fast 93 Prozent aller LinkedIn-Nutzenden von diesem Leak betroffen. Das Team der Plattform Restore Privacy konnte einen kleinen Teil des Datensatzes bereits untersuchen und dessen Echtheit bestätigen. Ob das gesamte Datenpaket tatsächlich so groß ist und dieselbe Qualität aufweist, bleibt dagegen offen.
Unter den Daten der ersten „Kostprobe“ befinden sich jedenfalls der vollständige Name, Anschriften, E-Mail-Adressen, Telefonnummern sowie Angaben zu Geschlecht, beruflichem Werdegang und genutzten Social-Media-Accounts. Der Anbieter, der das Datenpaket für 5.000 US-Dollar anbietet, gibt an, er habe die Daten per Scraping über das LinkedIn-API abgezogen. LinkedIn dagegen beteuert, dass die Daten aus anderen Quellen stammen müssen.
Das Problem bleibt in jedem Fall dasselbe: Cyberkriminelle könnten diese Daten auf vielfältige Weise ausnutzen. Unter anderem drohen Phishing-Attacken, Social-Engineering-Angriffe und Identitätsdiebstahl.
Weiterführende Links:
PC-SPEZIALIST, Merkur, heise, facebook, cybernews, SPIEGEL, t3n, LinkedIn, t3n, RESTORE PRIVACY
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung