318 Millionen Personendaten sollen offen herumgelegen haben

13. Januar 2021 um 15:35
image

Sensible Nutzerdaten von Instagram, Facebook und Linkedin sollen bei einer chinesischen Firma geleakt sein. Es gebe Schweizer Opfer.

Ein chinesisches Startup namens Socialarks soll Opfer eines massiven Datenverstosses sein. Dies meldet die Antiviren-Vergleichs-Site Safety Detectives, welche auch nach Vulnerabilities suche.
400GB soll die Datenbank umfassen und 318 Millionen Personendaten von Linkedin, Facebook und Instagram beinhalten. Darunter sollen sich auch Schweizer Daten finden sowie persönliche Informationen von VIPs und Internet-Stars.
Die Daten sollen in einer schlecht gesicherten Elasticsearch-Datenbank auf einem segmentierten Server beim chinesischen Cloud-Provider in Hong Kong offen herumgelegen sein. "Jeder, der im Besitz der IP-Adresse des Servers war, hätte auf die Datenbank zugreifen können", schreiben die Autoren.
Bei den rund 11 Millionen Instagram-Usern finden sich in der Datenbank deren Biografien, Profilbilder, Follower-Zahlen, Standorteinstellungen sowie persönliche Informationen wie E-Mail-Adressen und Telefonnummern.
Zu den Opfern gehören 6267 "Insta-User" aus der Schweiz. Für Facebook und LinkedIn werden keine Schweizer Personendaten ausgewiesen.
image
Grafik: Safety Detectives
Bei 88 Millionen Facebook-Usern seien zudem Likes und Messenger ID-Nummern enthalten.
Es sollen laut Safety Detectives auch 66 Millionen Linkedin-User-Daten gesammelt worden sein: Vollständiger Name, E-Mail-Adresse, Job-Profil, Linkedin-Profil-Link, Tags, Domain-Name, Login-Namen von verbunden Social-Media-Konten wie Twitter sowie der Firmenname und Umsatzspanne.
Wie die Social-Media-Managementfirma Socialarks all die sensiblen Daten überhaupt erlangte, ist offenbar nicht klar. Sie seien unter Verletzung der Nutzungsbedingungen der Social-Media-Firmen mit "Scraping" heruntergesaugt und dann teilweise mit weiteren Daten aus anderen, unbekannten Quellen angereichert worden.
Safety Detectives schreibt im Blogpost, sie hätten die chinesische Firma informiert und nun sei die DB gesichert.
Socialarks hat sich bis anhin nicht zur Publikation der Safety Detectives geäussert.

Wenn Passwörter nichts nutzen

Dies ist ein trauriger Trost. Treffen die Vorwürfe tatsächlich zu, so haben die Opfer keine Chance, ihre Privatsphäre mit wechselnden, sicheren Passworten zu schützen. Es bliebe nur, sich genau zu überlegen, was man bei welchen Social-Media-Firmen speichert, und zu hoffen, dass diese solche Datenschutz-Verletzungen ahnden.
Daten-Scraping ist an sich nicht neu oder ungewöhnlich, manchmal in beschränktem Ausmass auch gestattet. Verblüffend ist allerdings, dass Linkedin, Facebook und Instagram diese riesige Datensammel-Aktion weder bemerkt noch gestoppt haben.
Zudem soll dieselbe chinesische Firma schon einmal – im August 2020 – derselben Datenschutz-Verletzung beschuldigt worden sein und habe nicht gehandelt oder es handelt sich diesmal um weitere Datensätze.
Kursieren solche Personendaten in dieser Form, so wären unter anderem automatisierte spezifische Attacken, Spam, Betrug, Identitätsdiebstahl sowie Stalking oder Erpressung möglich.

Loading

Mehr erfahren

Mehr zum Thema

image

Richtig priorisieren für den Desasterfall

aspectra steht für den sicheren und hochverfügbaren Betrieb von geschäftskritischen Anwendungen. In einem aktuellen Kundenprojekt stand ein möglichst geringes RPO im Zentrum. Welche Lösung konnte die hohen Anforderungen von Near-Zero-RPO erfüllen?

image

Ticketmaster-Hacker bieten Tickets für Taylor Swift an

Die Hacker stellen Barcodes für hunderttausende Tickets für die Eras-Tour ins Netz. Mehr soll folgen, wenn Ticketmaster nicht ein hohes Lösegeld bezahlt.

publiziert am 8.7.2024
image

Krypto-Börse Lykke auf dem Weg zur Besserung

Der Schweizer Handelsplattform wurden über 20 Millionen Dollar an Krypto-Währungen gestohlen. Derzeit arbeitet das Unternehmen an der Wiederbeschaffung.

publiziert am 8.7.2024
image

M365: EU-Kommission verklagt EU-Datenschützer

Der Datenschutzbeauftragte hat der Kommission vorgeworfen, Microsoft 365 rechtswidrig einzusetzen. Diese klagt jetzt dagegen – wie auch Microsoft.

publiziert am 5.7.2024