Ein chinesisches Startup namens Socialarks soll Opfer eines massiven Datenverstosses sein. Dies meldet die Antiviren-Vergleichs-Site Safety Detectives, welche auch nach Vulnerabilities suche.

400GB soll die Datenbank umfassen und 318 Millionen Personendaten von Linkedin, Facebook und Instagram beinhalten. Darunter sollen sich auch Schweizer Daten finden sowie persönliche Informationen von VIPs und Internet-Stars.

Die Daten sollen in einer schlecht gesicherten Elasticsearch-Datenbank auf einem segmentierten Server beim chinesischen Cloud-Provider in Hong Kong offen herumgelegen sein. "Jeder, der im Besitz der IP-Adresse des Servers war, hätte auf die Datenbank zugreifen können", schreiben die Autoren.

Bei den rund 11 Millionen Instagram-Usern finden sich in der Datenbank deren Biografien, Profilbilder, Follower-Zahlen, Standorteinstellungen sowie persönliche Informationen wie E-Mail-Adressen und Telefonnummern.

Zu den Opfern gehören 6267 "Insta-User" aus der Schweiz. Für Facebook und LinkedIn werden keine Schweizer Personendaten ausgewiesen.

Bei 88 Millionen Facebook-Usern seien zudem Likes und Messenger ID-Nummern enthalten.

Es sollen laut Safety Detectives auch 66 Millionen Linkedin-User-Daten gesammelt worden sein: Vollständiger Name, E-Mail-Adresse, Job-Profil, Linkedin-Profil-Link, Tags, Domain-Name, Login-Namen von verbunden Social-Media-Konten wie Twitter sowie der Firmenname und Umsatzspanne.

Wie die Social-Media-Managementfirma Socialarks all die sensiblen Daten überhaupt erlangte, ist offenbar nicht klar. Sie seien unter Verletzung der Nutzungsbedingungen der Social-Media-Firmen mit "Scraping" heruntergesaugt und dann teilweise mit weiteren Daten aus anderen, unbekannten Quellen angereichert worden.

Safety Detectives schreibt im Blogpost, sie hätten die chinesische Firma informiert und nun sei die DB gesichert.

Socialarks hat sich bis anhin nicht zur Publikation der Safety Detectives geäussert.

Dies ist ein trauriger Trost. Treffen die Vorwürfe tatsächlich zu, so haben die Opfer keine Chance, ihre Privatsphäre mit wechselnden, sicheren Passworten zu schützen. Es bliebe nur, sich genau zu überlegen, was man bei welchen Social-Media-Firmen speichert, und zu hoffen, dass diese solche Datenschutz-Verletzungen ahnden.

Daten-Scraping ist an sich nicht neu oder ungewöhnlich, manchmal in beschränktem Ausmass auch gestattet. Verblüffend ist allerdings, dass Linkedin, Facebook und Instagram diese riesige Datensammel-Aktion weder bemerkt noch gestoppt haben.

Zudem soll dieselbe chinesische Firma schon einmal – im August 2020 – derselben Datenschutz-Verletzung beschuldigt worden sein und habe nicht gehandelt oder es handelt sich diesmal um weitere Datensätze.

Kursieren solche Personendaten in dieser Form, so wären unter anderem automatisierte spezifische Attacken, Spam, Betrug, Identitätsdiebstahl sowie Stalking oder Erpressung möglich.