318 Millionen Personendaten sollen offen herumgelegen haben

13. Januar 2021 um 15:35
image

Sensible Nutzerdaten von Instagram, Facebook und Linkedin sollen bei einer chinesischen Firma geleakt sein. Es gebe Schweizer Opfer.

Ein chinesisches Startup namens Socialarks soll Opfer eines massiven Datenverstosses sein. Dies meldet die Antiviren-Vergleichs-Site Safety Detectives, welche auch nach Vulnerabilities suche.
400GB soll die Datenbank umfassen und 318 Millionen Personendaten von Linkedin, Facebook und Instagram beinhalten. Darunter sollen sich auch Schweizer Daten finden sowie persönliche Informationen von VIPs und Internet-Stars.
Die Daten sollen in einer schlecht gesicherten Elasticsearch-Datenbank auf einem segmentierten Server beim chinesischen Cloud-Provider in Hong Kong offen herumgelegen sein. "Jeder, der im Besitz der IP-Adresse des Servers war, hätte auf die Datenbank zugreifen können", schreiben die Autoren.
Bei den rund 11 Millionen Instagram-Usern finden sich in der Datenbank deren Biografien, Profilbilder, Follower-Zahlen, Standorteinstellungen sowie persönliche Informationen wie E-Mail-Adressen und Telefonnummern.
Zu den Opfern gehören 6267 "Insta-User" aus der Schweiz. Für Facebook und LinkedIn werden keine Schweizer Personendaten ausgewiesen.
image
Grafik: Safety Detectives
Bei 88 Millionen Facebook-Usern seien zudem Likes und Messenger ID-Nummern enthalten.
Es sollen laut Safety Detectives auch 66 Millionen Linkedin-User-Daten gesammelt worden sein: Vollständiger Name, E-Mail-Adresse, Job-Profil, Linkedin-Profil-Link, Tags, Domain-Name, Login-Namen von verbunden Social-Media-Konten wie Twitter sowie der Firmenname und Umsatzspanne.
Wie die Social-Media-Managementfirma Socialarks all die sensiblen Daten überhaupt erlangte, ist offenbar nicht klar. Sie seien unter Verletzung der Nutzungsbedingungen der Social-Media-Firmen mit "Scraping" heruntergesaugt und dann teilweise mit weiteren Daten aus anderen, unbekannten Quellen angereichert worden.
Safety Detectives schreibt im Blogpost, sie hätten die chinesische Firma informiert und nun sei die DB gesichert.
Socialarks hat sich bis anhin nicht zur Publikation der Safety Detectives geäussert.

Wenn Passwörter nichts nutzen

Dies ist ein trauriger Trost. Treffen die Vorwürfe tatsächlich zu, so haben die Opfer keine Chance, ihre Privatsphäre mit wechselnden, sicheren Passworten zu schützen. Es bliebe nur, sich genau zu überlegen, was man bei welchen Social-Media-Firmen speichert, und zu hoffen, dass diese solche Datenschutz-Verletzungen ahnden.
Daten-Scraping ist an sich nicht neu oder ungewöhnlich, manchmal in beschränktem Ausmass auch gestattet. Verblüffend ist allerdings, dass Linkedin, Facebook und Instagram diese riesige Datensammel-Aktion weder bemerkt noch gestoppt haben.
Zudem soll dieselbe chinesische Firma schon einmal – im August 2020 – derselben Datenschutz-Verletzung beschuldigt worden sein und habe nicht gehandelt oder es handelt sich diesmal um weitere Datensätze.
Kursieren solche Personendaten in dieser Form, so wären unter anderem automatisierte spezifische Attacken, Spam, Betrug, Identitätsdiebstahl sowie Stalking oder Erpressung möglich.

Loading

Mehr zum Thema

image

Risikostufe "orange": Die Rhätische Bahn will einen CISO mieten

Die RhB möchte die Sicherheitsstrategie weiterentwickeln. Nun sucht das Unternehmen einen CISO "As-a-Service", der helfen soll, IT-Systeme, aber auch Fahrzeugsteuerung zu schützen.

publiziert am 1.12.2023 1
image

Aargau informiert über das Ausmass des Xplain-Hacks

Bei dem Cyberangriff wurden heikle Daten entwendet. Der Kanton will zukünftig die Sicherheit bei externen Lieferanten besser beachten.

publiziert am 1.12.2023
image

EU einigt sich auf Cyberschutz für IoT-Geräte

Ein besserer Schutz von vernetzten Geräten ist dringlich. Nun wurde der Cyber Resilience Act definiert. Für Kritik sorgen die Übergangsfristen für Hersteller.

publiziert am 1.12.2023
image

Wie künstliche und menschliche Intelligenz bei Cybersicherheit zusammenspielen

Zum Start des GoHack23, einem dreitägigen Anlass von Gobugfree und der Fernfachhochschule Schweiz, diskutierten Referenten aus Politik, Wissenschaft und Wirtschaft die Zukunft der Schweizer Cybersicherheit.

publiziert am 1.12.2023