318 Millionen Personendaten sollen offen herumgelegen haben

13. Januar 2021 um 15:35
image

Sensible Nutzerdaten von Instagram, Facebook und Linkedin sollen bei einer chinesischen Firma geleakt sein. Es gebe Schweizer Opfer.

Ein chinesisches Startup namens Socialarks soll Opfer eines massiven Datenverstosses sein. Dies meldet die Antiviren-Vergleichs-Site Safety Detectives, welche auch nach Vulnerabilities suche.
400GB soll die Datenbank umfassen und 318 Millionen Personendaten von Linkedin, Facebook und Instagram beinhalten. Darunter sollen sich auch Schweizer Daten finden sowie persönliche Informationen von VIPs und Internet-Stars.
Die Daten sollen in einer schlecht gesicherten Elasticsearch-Datenbank auf einem segmentierten Server beim chinesischen Cloud-Provider in Hong Kong offen herumgelegen sein. "Jeder, der im Besitz der IP-Adresse des Servers war, hätte auf die Datenbank zugreifen können", schreiben die Autoren.
Bei den rund 11 Millionen Instagram-Usern finden sich in der Datenbank deren Biografien, Profilbilder, Follower-Zahlen, Standorteinstellungen sowie persönliche Informationen wie E-Mail-Adressen und Telefonnummern.
Zu den Opfern gehören 6267 "Insta-User" aus der Schweiz. Für Facebook und LinkedIn werden keine Schweizer Personendaten ausgewiesen.
image
Grafik: Safety Detectives
Bei 88 Millionen Facebook-Usern seien zudem Likes und Messenger ID-Nummern enthalten.
Es sollen laut Safety Detectives auch 66 Millionen Linkedin-User-Daten gesammelt worden sein: Vollständiger Name, E-Mail-Adresse, Job-Profil, Linkedin-Profil-Link, Tags, Domain-Name, Login-Namen von verbunden Social-Media-Konten wie Twitter sowie der Firmenname und Umsatzspanne.
Wie die Social-Media-Managementfirma Socialarks all die sensiblen Daten überhaupt erlangte, ist offenbar nicht klar. Sie seien unter Verletzung der Nutzungsbedingungen der Social-Media-Firmen mit "Scraping" heruntergesaugt und dann teilweise mit weiteren Daten aus anderen, unbekannten Quellen angereichert worden.
Safety Detectives schreibt im Blogpost, sie hätten die chinesische Firma informiert und nun sei die DB gesichert.
Socialarks hat sich bis anhin nicht zur Publikation der Safety Detectives geäussert.

Wenn Passwörter nichts nutzen

Dies ist ein trauriger Trost. Treffen die Vorwürfe tatsächlich zu, so haben die Opfer keine Chance, ihre Privatsphäre mit wechselnden, sicheren Passworten zu schützen. Es bliebe nur, sich genau zu überlegen, was man bei welchen Social-Media-Firmen speichert, und zu hoffen, dass diese solche Datenschutz-Verletzungen ahnden.
Daten-Scraping ist an sich nicht neu oder ungewöhnlich, manchmal in beschränktem Ausmass auch gestattet. Verblüffend ist allerdings, dass Linkedin, Facebook und Instagram diese riesige Datensammel-Aktion weder bemerkt noch gestoppt haben.
Zudem soll dieselbe chinesische Firma schon einmal – im August 2020 – derselben Datenschutz-Verletzung beschuldigt worden sein und habe nicht gehandelt oder es handelt sich diesmal um weitere Datensätze.
Kursieren solche Personendaten in dieser Form, so wären unter anderem automatisierte spezifische Attacken, Spam, Betrug, Identitätsdiebstahl sowie Stalking oder Erpressung möglich.

Loading

Mehr zum Thema

image

Wurde Lockbit zerschlagen?

Ermittler haben den Spiess umgedreht. Auf der Darknet-Seite der Ransomware-Bande zeigt ein Timer, wann die Website abgeschaltet werden soll. Ist das schon das Ende von Lockbit?

publiziert am 20.2.2024
image

Millionen-Kopfgeld auch für Chefs der Alphv-Bande

Nach Hive nimmt die US-Regierung eine weitere Ransomware-Bande ins Visier. Sie hatte in der Schweiz unter anderem Bernina attackiert.

publiziert am 19.2.2024
image

Zürcher Regierung nimmt Stellung zu Staatstrojanern im neuen Polizeigesetz

Der Regierungsrat hat auf eine parlamentarische Anfrage geantwortet. "Government Software" sehe das revidierte Polizeigesetz nicht vor.

publiziert am 19.2.2024
image

Schwachstellen der deutschen E-ID gibt es auch bei Schweizer Lösung

Aufgrund einer Sicherheitslücke kann die deutsche E-ID dazu genutzt werden, um unter fremdem Namen ein Bankkonto zu eröffnen. Nach aktuellem Stand wäre dies auch beim digitalen Pass der Schweiz möglich.

publiziert am 19.2.2024 1