Bei Clubhouse hat man sich nicht nur der eigenen Handynummer, sondern auch der aller Kontakte bemächtigt. Das erklärt die Menge an Daten.
Gelang ein Hack bei Clubhouse? Der Schweizer Sicherheitsforscher Marc Ruef berichtete gestern bei Twitter über das Verkaufsangebot eines Hackers. Dieser bietet in einem Forum im Darknet eine gigantische Datenbank bestehend aus rund 3,8 Milliarden Handynummern an.
Clubhouse liebt Dein Telefonbuch!
Clubhouse ist eine audio-basierte Social-Network-App. Nachdem man sich dort registriert hat, fragt Clubhouse direkt nach einem Zugriff auf das Adressbuch. Der Nutzer muss den Zugriff spätestens dann gewähren, wenn man eine Freundin oder einen Freund einladen will. Das heißt konkret: Wenn der Datenbank-Leak echt ist, verkauft der Hacker nicht nur die Handynummern der Clubhouse-Nutzer, sondern auch all ihrer Kontakte.
Hacker will vor Datenkraken warnen
Ruef zeigt bei Twitter den Screenshot eines Untergrund-Forums, wo ein User namens „GOD“ eine riesige Sammlung an Handynummern zum Verkauf anbietet. GOD will die ganzen Telefonnummern am 4. September, anlässlich des 23. Geburtstages von Google, an einen einzigen Interessenten verkaufen.
Der anonyme Anbieter will mit seiner Aktion aber nicht nur Geld verdienen. Er verbindet damit auch jede Menge Kritik an den Methoden der Unternehmen aus dem Silicon Valley. Denn die Großkonzerne sammeln auch die Daten der Menschen ein, die ihre Dienste gar nicht in Anspruch nehmen. Der Hacker sieht dies als eine „gefährliche Verletzung“ ihrer Privatsphäre an. Es sei an der Zeit, dass man Clubhouse für ihr Verhalten bestrafe, weil sie somit gegen die DS-GVO (in Englisch GDPR) verstoßen.
Handynummern nur bedingt nützlich?
Im Netz hagelte es auch Kritik. Der Datenbank-Auszug aus Japan habe gezeigt, dass der Käufer mit Ausnahme der Telefonnummern keine zusätzlichen Informationen erhalten würde. Die Nummern könnten folglich von überall stammen. Die Herkunft müsse der Cyberkriminelle noch schlüssig beweisen, hieß es bei Twitter.
Die vielen Telefonnummern seien für Hacker kaum zu gebrauchen. Aber sie würden automatisch in dem Moment wertvoll, wenn man sie mit den Informationen aus anderen Leaks abgleicht, um die Identität der Handy-Besitzer ausfindig zu machen. Selbst für SMS Phishing, auch Smishing genannt, seien die Nummern nur sehr bedingt geeignet.
Clubhouse dementiert Hack
Gegenüber anderen Medien hat Clubhouse den Diebstahl bereits dementiert. Es habe schlichtweg keinen Angriff auf ihre Infrastuktur gegeben, hieß es auf Anfrage. Auch könne es angeblich nicht gelingen, die Nutzer alleine aufgrund der Handynummer zu identifizieren, versicherte der Unternehmens-Sprecher. Dieser glaubt an ein Script, was durch zufällig ausgewählte Zahlenkombinationen Handynummern erzeugt haben soll.
Bei Twitter munkelt man hingegen, die Anzahl der erbeuteten Nummern könne durchaus realistisch sein. Trotzdem war der letzte Datenbank-Leak aus dem Frühjahr diesen Jahres aufgrund der Menge an Informationen sehr viel aufschlussreicher.
Tarnkappe.info