Der Eintrag in dem populären Hackerforum liest sich etwas kryptisch, doch wer Angebote wie dieses kennt weiß, welcher Schatz hier angeboten wird: „LinkedIn Scraped Emails, phone and full 2m Profiles“ bietet ein neu registrierter anonymer Nutzer an; darunter ein paar Beispiele für sein Angebot und der Satz „Also selling 500m Profiles, pm me for price $$$$ minimum“.
Übersetzt heißt das: Der Nutzer bietet in dem Forum zunächst zwei Millionen Nutzerdatensätze an, die er aus Daten des Business-Social-Netzwerks LinkedIn zusammengestellt hat, gewissermaßen als Warenprobe. Wer aber bereit ist, ihm eine mindestens vierstellige Dollarsumme zu überweisen, der kann den kompletten Datensatz bekommen – die Daten von 500 Millionen Nutzern der Plattform. Für datenschutzbewusste Nutzer ist dieser Massenverkauf eine Horrornachricht, für den Konzern hinter LinkedIn, den Softwarehersteller Microsoft, ebenfalls.
Für die Plattformbetreiber ist dieser Verkauf bereits das zweite Datenschutzdesaster innerhalb einer Woche: Bereits am Samstag vergangener Woche bot ein Datendieb in einem anderen Forum ebenfalls 500 Millionen Datensätze zum Verkauf, diesmal von Facebook-Nutzern, Preis auch Verhandlungssache. Die beiden Fälle haben eine Gemeinsamkeit: Beide Male nutzten die Täter keine klassische Sicherheitslücke.
Sowohl Facebook als auch LinkedIn leugnen in Statements vehement, dass die Täter sich in den internen Nutzerdatenbanken umsehen konnten. Stattdessen haben die Angreifer einfach ein eigenes Programm geschrieben, dass systematisch Millionen Seiten von Nutzern aufruft, kopiert und dabei bekannte Schwächen ausnutzt.
Im Fall des Facebook-Leaks etwa konnten die Angreifer Telefonnummern aus einem Werkzeug generieren, das Facebook ursprünglich zum Finden von Freunden via Handynummer gebaut hatte. Scraping heißt diese Hackermethode, sie verstößt natürlich gegen Nutzungsbedingungen der Plattformen, doch ein klassisches Sicherheitsleck stellt sie nicht dar.
Weder Facebook noch LinkedIn scheinen beunruhigt
Das ändert natürlich nichts daran, dass die Täter die Daten auf eine Weise aggregieren konnten, die deutlich der Datennutzung widerspricht, zu der die betroffenen Nutzer ursprünglich zugestimmt haben.
Auch im Fall LinkedIn konnten die Täter augenscheinlich mit ihrem Scraping-Werkzeug einfach immer wieder neue Profile aufrufen, 500 Millionen mal, bis sie eine wertvolle Datenbank zusammengestellt hatten. Enthalten sind im Falle LinkedIn Namen, E-Mail-Adressen, Telefonnummern, das Geschlecht des Nutzers, der angegebene Arbeitgeber sowie Hinweise auf das Alter aus der angegebenen Bildungshistorie.
Im Fall Facebook kommen neben Telefonnummern auch noch Geburtsdaten und Wohnorte hinzu. Enthalten waren sogar die Daten von Facebook-Gründer Mark Zuckerberg, selbst seine Telefonnummer stand online. Prompt fand ein Sicherheitsforscher heraus, das Zuckerberg selbst das Facebook-Konkurrenzangebot Signal nutzt.
LinkedIn selbst gab in einem ersten Statement an, dass die Täter lediglich ohnehin öffentliche Daten gesammelt hätten, dass sie damit gegen Nutzungsbedingungen verstoßen hätten und dass man versuche, sie juristisch zur Verantwortung zu ziehen. Auf die Tatsache, das die Täter augenscheinlich innerhalb kurzer Zeit millionenfach Profile aufrufen konnten, ohne dass interne Systeme Alarm schlugen und den Zugang blockierten, geht LinkedIn wie auch Facebook nicht ein.
Das die Fälle kein echtes Datenleck zur Ursache haben, ist nur ein schwacher Trost für die Nutzer, deren persönliche Biografiedetails nun in einer einfach durchsuchbaren Datenbank zusammengefasst sind. Ob die Nutzer überhaupt darüber informiert werden, dass ihre Daten betroffen sind, ließ LinkedIn noch offen.
Facebook dagegen wies darauf hin, dass die am Samstag veröffentlichten Daten aus einer Lücke aus dem Jahr 2019 stammten, die inzwischen geschlossen sei. Das massenhafte Abgreifen von Telefonnummern sei seitdem unmöglich. Man plane deswegen auch nicht, die betroffenen Nutzer zu benachrichtigen.
Die Art des Datenlecks ist irrelevant
Mit dieser Haltung dürfte Facebook jedoch mindestens in der EU in Konflikt mit der Datenschutzgrundverordnung (DSGVO) geraten. Denn die sieht vor, dass Nutzer immer dann benachrichtigt werden müssen, wenn Daten an Dritte abgeflossen sind, ohne dass die Nutzer dem zugestimmt hätten. Die DSGVO gilt bereits seit 2018.
Ob eine echte Sicherheitslücke Grundlage des Lecks ist, oder ob die Datendiebe lediglich geschickt die Plattformfunktionen nutzen, ist aus Sicht von Datenschützern dabei relativ irrelevant. Die irische Datenschutzbehörde ist zuständig für den Fall, da Facebooks Europazentrale im irischen Dublin angesiedelt ist. Die Iren kündigten deswegen eine eigene Untersuchung an, sie könnten Facebook dazu zwingen, zumindest die europäischen Nutzer zu warnen.
Denn die Daten mögen zwar allesamt aus öffentlichen Profilen der Nutzer stammen. Zumindest die Telefonnummern sind normalerweise nicht ohne Weiteres einsehbar – und sie sind auch der vermutlich wertvollste Teil des Lecks. Sollten die Daten an Phishing-Betrüger verkauft werden, können diese damit automatisiert personalisierte Phishingmails verschicken, etwa als genau passenden Geburtstagsgruß oder als Mail vom Arbeitgeber getarnt.
Auch können sie dank der Nummern direkt die Opfer anrufen und mit den bekannten Daten eine Bekanntschaft vortäuschen. In den USA ist es zudem relativ einfach, SMS umzuleiten, wenn eine Handynummer, der Name und das Geburtsdatum eines Nutzers bekannt sind. Das gelingt in Europa nicht ohne Weiteres.
Hasso-Plattner-Institut bietet Check an
Haben potenzielle Angreifer eine solche Umleitung eingerichtet, können sie SMS mit Zwei-Faktor-Pinnummern abgreifen, damit kann dann gleich der komplette Identitätsdiebstahl gelingen. Die Täter nutzen etwa gefälschte Paypal- oder Banking-Seiten.
Wer bereits weiß, dass seine Daten im Netz verkauft werden, der ist gewarnt, reagiert vielleicht weniger leichtgläubig, ändert Passwörter oder Mail-Adressen in seinen Konten und kann also Betrüger abwehren – auch deswegen ist zumindest Facebooks Blockadehaltung zur Benachrichtigung der Betroffenen wenig verständlich.
Wer angesichts dessen lieber selbst überprüfen will, ob seine Daten bereits Teil eines Lecks sind, der kann diverse Angebote im Netz für einen Gegencheck nutzen. Ein seriöses Angebot ohne versteckte Kosten bietet in Deutschland das Hasso-Plattner-Institut (https://sec.hpi.de/ilc/). Laut der Seitenstatistik checkt das Institut die Eingaben des Nutzers gegen Referenzdaten von über zwölf Milliarden Datensätze aus über 1200 Leaks. Allein diese Zahlen zeigen die Dimension des Problems, dass die Industrie hat.
Scheinbar haben die Plattformbetreiber noch nicht ausreichend Lehren aus der Vergangenheit gezogen: Auch der Fall Cambridge Analytica, der Facebook in den USA ein Strafgeld von fünf Milliarden Dollar kostete, resultierte ursprünglich aus der Scraping-Methode.
https://ift.tt/2OFD6Bw
Wissenschaft & Technik
Bagikan Berita Ini
0 Response to "LinkedIn und Facebook: So dreist greifen Hacker Nutzerdaten ab - WELT"
Post a Comment