Clubhouse-Profilinfos wurden in einem Hackerforum veröffentlicht. (Foto: Koshiro K / Shutterstock.com)
Zum dritten Mal innerhalb von einer Woche sind Nutzerdaten einer Social-Media-Plattform veröffentlicht worden. Nach Facebook und Linkedin ist jetzt Clubhouse betroffen. Wie zuerst cybernews.com berichtet hat, sind die Accountinformationen von 1,3 Millionen Nutzerinnen und Nutzern in einem Hackerforum veröffentlicht worden.
Keine sensiblen Informationen veröffentlicht
Der Datensatz enthält demnach die folgenden Informationen:
- Name
- Profilbild-URL
- Username
- Twitter- und Instagram-Handle
- Anzahl der Follower
- Anzahl der gefolgten Personen
- Datum der Registrierung
- Profil, von dem die Einladung verschickt wurde
Es handelt sich also weder um sensible Informationen wie Passwörter und Kreditkartennummen noch um Handynummern oder E-Mail-Adressen.
Welches Risiko besteht?
„Dennoch kann ein kompetenter Cyberkrimineller schon mit dem Profilnamen und den Verbindungen zu den anderen Social-Media-Profilen des Nutzers echten Schaden anrichten“, warnt cybernews.com.
Die Informationen könnten mit anderen geleakten Daten kombiniert werden, um detaillierte Opferprofile zu erstellen. Damit könnten Kriminelle überzeugende Phishing- und Social-Engineering-Angriffe starten oder Identitätsdiebstahl begehen.
Was steckt hinter dem (Möchtegern-)Leak?
„Die Benutzer-ID sind numerisch. Es sieht also so aus, als hätte jemand die Daten über die private API von Clubhouse abgegriffen und dabei von Benutzer-ID eins bis darüber hinaus iteriert“, vermutet Sicherheitsforscherin Jane Manchun Wong.
Der Datensatz ist also weniger ein Leak, sondern eher eine per Web-Scraping generierte Sammlung von Informationen, die für Clubhouse-User sowieso öffentlich einsehbar sind.
Damit unterscheidet sich der Vorfall von den Datenlecks bei Facebook und Linkedin, die wenige Tage zuvor öffentlich geworden waren. Dabei wurden auch Telefonnummern und E-Mail-Adressen veröffentlicht. Außerdem handelt es sich um einen deutlich kleineren Datensatz.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Und warum konnte man überhaupt solche Massen an Daten über die private API herausfinden? Warum hat Clubhouse hier nicht einfach sinnvolle Beschränkungen eingeführt? Dass so etwas mal passieren könnte, hätte man sich ja denken können. Und dass damit Profile erstellt werden können, reicht ja schon an sich, viele Daten in Masse sind immer ein Problem. Klar ist es gut, dass keine sensiblen Daten geteilt worden sind, aber dass über die private API so viel an ebenfalls wichtigen Daten einfach abgegriffen werden konnte, erscheint mir als fahrlässig vorher in Bedacht gezogen worden zu sein von Seiten Clubhouses aus.