DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Clubhouse ist nicht nur bei iPhone-Besitzern in Nordamerika und Westeuropa populär, die Audio-Chat-App hat auch in der arabischen Welt viele User gewonnen.
Clubhouse ist nicht nur bei iPhone-Besitzern in Nordamerika und Westeuropa populär, die Audio-Chat-App hat auch in der arabischen Welt viele User gewonnen.
archivBild: keystone

Clubhouse-App von Daten-Leak betroffen – das musst du wissen

Der nächste Scraping-Vorfall sorgt für Schlagzeilen: Persönliche Informationen zu mehr als 1,3 Millionen Clubhouse-Usern werden im Internet verbreitet. Die betroffene Firma betont, es sei kein Hackerangriff.
Cet article est également disponible en français. Lisez-le maintenant!
12.04.2021, 10:40

Was ist passiert?

Wenige Tage nachdem die persönlichen Daten von mehr als einer Milliarde Facebook- und LinkedIn-Usern zum Verkauf angeboten wurden, hat es auch die relativ junge Social-Media-Plattform Clubhouse erwischt.

Unbekannte haben eine SQL-Datenbank mit über 1,3 Millionen gesammelten Clubhouse-Benutzerdaten in einem bekannten Hacker-Forum veröffentlicht. Gratis.

«Es scheint die bisher schlimmste Woche des Jahres für Social-Media-Plattformen in Bezug auf Datenlecks gewesen zu sein, und Clubhouse schliesst sich dem an.»
Cybernews

Die im April 2020 lancierte Audio-Chat-App soll inzwischen 10 Millionen (wöchentlich) aktive User haben.

Wie konnte das passieren?

Es handelt sich um den neusten grossen Scraping-Fall, also ein automatisiertes Abgreifen von online verfügbaren Informationen. Dies war dank einer Programmierschnittstelle (API) des betroffenen Unternehmens möglich und erforderte kein (illegales) Eindringen bzw. Hacken eines fremden Systems. Jedermann konnte ungehindert auf die in einer Datenbank (ungeschützt) gespeicherten Nutzerdaten zugreifen.

screenshot: twitter
«Clubhouse wurde nicht angegriffen oder gehackt. Die Daten, auf die Bezug genommen wird, sind alles öffentliche Profilinformationen aus unserer App, auf die jeder über die App oder unsere API zugreifen kann.»
Clubhouse-Verantwortliche
quelle: twitter

Die argumentative Verteidigung des US-Unternehmens, das Clubhouse anbietet, wurde bei Twitter kritisiert. Es handle sich um eine nicht öffentlich dokumentierte Schnittstelle, die nicht vor problematischen Zugriffen Dritter geschützt sei.

Welche Daten sind veröffentlicht worden?

Wie Cybernews am Sonntag berichtete, enthalten die Datensätze die folgenden persönlichen Informationen zu mehr als 1,3 Millionen registrierten Clubhouse-Usern:

  • Benutzer-ID
  • Name
  • Foto-URL
  • Username
  • Twitter-Profil
  • Instagram-Profil
  • Zahl der Follower
  • Zahl der Clubhouse-Kontakte
  • Datum des Clubhouse-Beitritts
  • Name des einladenden Users

Was auffällt: Die Mobiltelefonnummer der User scheint nicht zu den geleakten Informationen zu gehören.

Anmerkung: Bei Clubhouse konnte man sich in der Startphase seit April 2020 nur auf Einladung eines bestehenden Users anmelden. Und es existiert bislang nur eine iPhone-Version der App, die Android-Version sei noch in Entwicklung.

Der Schweizer IT-Sicherheitsexperte Marc Ruef hat sich die geleakten Daten angeschaut und gab am Montagmorgen teilweise Entwarnung. Es sehe so aus, als fehlten viele User in der am Wochenende verbreiteten Datei.

Warum ist das (trotzdem) gefährlich?

Die Informationen aus durchgesickerten Dateien können von Kriminellen auf verschiedene Weise gegen Clubhouse-User verwendet werden, hält Cybernews fest.

Insbesondere sei damit die Durchführung von gezielten Phishing-Attacken möglich oder anderen Arten von Social-Engineering-Angriffen. Dabei wird versucht, die Opfer durch Vorspiegelung falscher Tatsachen dazu zu bringen, ihre Kreditkarten-Daten oder Login-Informationen preiszugeben.

Man habe in den Datensätzen keine Kreditkartendetails oder juristisch relevante Dokumente gefunden, bestätigt Cybernews. Dennoch könne ein kompetenter Cyberkrimineller schon mit dem Profilnamen und den Verbindungen zu anderen Social-Media-Profilen echten Schaden anrichten.

«Besonders entschlossene Angreifer können die in der geleakten SQL-Datenbank gefundenen Informationen mit anderen geleakten Daten kombinieren, um detaillierte Profile ihrer potenziellen Opfer zu erstellen.»
quelle: cybernews.com

Bin ich betroffen?

Um das herauszufinden, kann man eine Abfrage starten beim Personal Data Leak Checker, einem Online-Tool, das vom IT-Newsportal Cybernews betrieben wird. Man gibt die Mailadresse oder Mobiltelefonnummer ein, worauf diese in verschlüsselter Form an den Cybernews-Server übermittelt und mit einer Datenbank verglichen werden. Darin sollen bereits über 15 Milliarden Einträge sicher gespeichert sein.

Es gilt, an die üblichen Sicherheitsmassnahmen zu erinnern, die es in Zusammenhang mit Online-Diensten gibt:

  • Man sollte wenn immer möglich eine Zwei-Faktor-Authentifizierung (2FA) aktivieren. Dabei sollte 2FA-Apps wie Google Authenticator der Vorzug gegeben werden gegenüber Lösungen, bei denen ein SMS verschickt wird.
  • Und man sollte die Verwendung eines Passwort-Managers erwägen, um sichere (und immer unterschiedliche!) Kennwörter zu erstellen und zu verwalten.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Die bösartigsten Computer-Attacken aller Zeiten

1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

15 unwiderstehliche Tipps, wie du dir das Kino-Feeling nach Hause holst

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Analyse

Threema ist das neue WhatsApp – und schlägt die Konkurrenz um Längen

Wer hätte gedacht, dass die weltbeste Messenger-App nicht aus dem Silicon Valley kommen würde, sondern vom Zürichsee. Eine persönliche Analyse.

Seit acht Jahren befasse ich mich mit dem sicheren Schweizer Messenger Threema. Den ersten Artikel dazu publizierte ich im Dezember 2012. Titel: «Die Schweizer Antwort auf WhatsApp». Die damalige erste App gab's nur fürs iPhone, und sie war zum Start gratis. Im Interview versprach der Entwickler, Manuel Kasper, die baldige Veröffentlichung einer von vielen Usern geforderten Android-Version. Und:

Er hielt Wort. Im Gegensatz zu WhatsApp.

Einige dürften sich erinnern, dass es ein gleiches …

Artikel lesen
Link zum Artikel