Informationen von Millionen Social-Media-Konten waren für einen ungeklärten Zeitraum wegen eines Fauxpas von Social Data zugänglich.
Das Datenanalyseunternehmen Social Data hat Informationen von ungefähr 235 Millionen Social-Media-Profilen durch eine ungesicherte Datenbank für jedermann zugänglich gemacht. Die teils sehr vertraulichen Daten stammen größtenteils von Instagram, aber auch von TikTok und YouTube. Das könnte User zu Zielscheiben von Phishing-Attacken machen.
Die meisten Daten stammen von Instagram
Die offengelegten Informationen enthielten nicht nur vollständige Namen, Alter, Geschlecht und Profilfotos. Etwa jeder fünfte Eintrag enthielt sogar eine Telefonnummer oder eine E-Mail-Adresse, wie die Experten von Comparitech rund um den Cybersecurity-Leader Bob Diachenko herausfanden und in einem Blog-Beitrag berichten. Auch waren Statistiken von Influencern einzusehen, die unter anderem Auskunft geben über Anzahl der Follower, Engagementquote, Wachstumsrate sowie Geschlecht, Alter, Standorte und Vorlieben von Abonnenten. Die ungesicherte Datenbank hat Social Data Anfang August offline geschaltet, nachdem Forscher von Comparitech den derzeitigen Administratoren darauf aufmerksam machten.
Phishing-Angriffe befürchtet
Die Daten waren dabei auf mehrere Datensätze verteilt. Die bedeutendsten waren zwei mit jeweils über 90.000 Millionen Einträgen, die Profildatensätze von Instagram enthielten. Der drittgrößte war ein Datensatz von etwa 42 Millionen TikTok-Nutzern, gefolgt von knapp 4 Millionen YouTube-Profilen. Es ist derweil nicht klar, wie lange die Datenbank für jedermann auffindbar war und ob die Daten überhaupt in falsche Hände gerieten. Das jemand die Gunst der Stunde ergriff, ist jedoch nicht unwahrscheinlich. „Unsere Honeypot-Experimente zeigen, dass Hacker ungesicherte Datenbanken innerhalb weniger Stunden nach der Enthüllung finden und angreifen können“, schreibt Comparitech. Personen, deren Daten das Datenleck preisgab, sind demnach möglicherweise einem höheren Risiko ausgesetzt, Ziele von Phishing-Angriffen zu werden.
Verwechslungsgefahr: Social Data und Deep Social
Das beschuldigte Unternehmen, Social Data, gab das Datenleck zu. Es betont aber gleichzeitig die rechtmäßige Erwerbung der Informationen. Die Daten stammen ursprünglich jedoch von einem anderen Unternehmen mit ähnlichem Geschäftsmodell, wie Comparitech herausfand. Deep Social, so der Name der Firma, schöpfte die Informationen ab, gab aber 2018 seine Geschäftstätigkeit auf. Facebook hatte dem Unternehmen untersagt, Daten von Instagram-Benutzerprofilen zu entnehmen. Nach eigenen Angaben habe das in Erklärungsnot geratene Social Data allerdings nichts Weiteres mit Deep Social zu schaffen. Das Sammeln öffentlich zugänglicher Informationen von Social-Media-Diensten ist erst einmal nicht illegal. Die meisten Social-Media-Unternehmen verbieten solche Praktiken allerdings in ihren Nutzungsbedingungen. Facebook drohte deswegen Deep Social damals mit einer Klage.
Tarnkappe.info