Zum dritten Mal innerhalb von einer Woche sind Nutzerdaten einer Social-Media-Plattform veröffentlicht worden. Nach Facebook und Linkedin ist jetzt Clubhouse betroffen. Wie zuerst cybernews.com berichtet hat, sind die Accountinformationen von 1,3 Millionen Nutzerinnen und Nutzern in einem Hackerforum veröffentlicht worden.
Keine sensiblen Informationen veröffentlicht
Der Datensatz enthält demnach die folgenden Informationen:
- Name
- Profilbild-URL
- Username
- Twitter- und Instagram-Handle
- Anzahl der Follower
- Anzahl der gefolgten Personen
- Datum der Registrierung
- Profil, von dem die Einladung verschickt wurde
Es handelt sich also weder um sensible Informationen wie Passwörter und Kreditkartennummen noch um Handynummern oder E-Mail-Adressen.
Welches Risiko besteht?
„Dennoch kann ein kompetenter Cyberkrimineller schon mit dem Profilnamen und den Verbindungen zu den anderen Social-Media-Profilen des Nutzers echten Schaden anrichten“, warnt cybernews.com.
Die Informationen könnten mit anderen geleakten Daten kombiniert werden, um detaillierte Opferprofile zu erstellen. Damit könnten Kriminelle überzeugende Phishing- und Social-Engineering-Angriffe starten oder Identitätsdiebstahl begehen.
Was steckt hinter dem (Möchtegern-)Leak?
„Die Benutzer-ID sind numerisch. Es sieht also so aus, als hätte jemand die Daten über die private API von Clubhouse abgegriffen und dabei von Benutzer-ID eins bis darüber hinaus iteriert“, vermutet Sicherheitsforscherin Jane Manchun Wong.
Der Datensatz ist also weniger ein Leak, sondern eher eine per Web-Scraping generierte Sammlung von Informationen, die für Clubhouse-User sowieso öffentlich einsehbar sind.
Damit unterscheidet sich der Vorfall von den Datenlecks bei Facebook und Linkedin, die wenige Tage zuvor öffentlich geworden waren. Dabei wurden auch Telefonnummern und E-Mail-Adressen veröffentlicht. Außerdem handelt es sich um einen deutlich kleineren Datensatz.
Und warum konnte man überhaupt solche Massen an Daten über die private API herausfinden? Warum hat Clubhouse hier nicht einfach sinnvolle Beschränkungen eingeführt? Dass so etwas mal passieren könnte, hätte man sich ja denken können. Und dass damit Profile erstellt werden können, reicht ja schon an sich, viele Daten in Masse sind immer ein Problem. Klar ist es gut, dass keine sensiblen Daten geteilt worden sind, aber dass über die private API so viel an ebenfalls wichtigen Daten einfach abgegriffen werden konnte, erscheint mir als fahrlässig vorher in Bedacht gezogen worden zu sein von Seiten Clubhouses aus.