Lin­ke­dIn

Lese­dau­er 4 Minu­ten

Für Unter­neh­men sind Social-Media-Platt­for­men wie Lin­ke­dIn oft unver­zicht­bar, jedoch gleich­zei­tig auch ein hohes Risiko.

Auch ich nut­ze Lin­ke­dIn sowie ver­schie­de­ne ande­re Social-Media-Kanäle.

Das mache ich natür­lich nur, weil ich sel­ber mein bes­ter Daten­schutz­be­auf­trag­ter bin und mir die Risi­ken dabei durch­weg bewusst sind.

Den­noch ist es unver­meid­lich, stän­dig die Akti­vi­tä­ten der ein­zel­nen Anbieter:innen bzw. deren Sicher­heits­ver­fah­ren im Blick zu behalten.

So sind nun in einem Unter­grund­fo­rum Daten von rund 700 Mil­lio­nen Nutzer:innen feilgeboten.

Dies sind immer­hin 200 Mil­lio­nen mehr als bei einem ähn­li­chen Vor­fall im April die­sen Jahres.

Das Team der Platt­form Res­to­re­Pri­va­cy hat in einem bekann­ten Hacker­fo­rum einen Bei­trag ent­deckt, in dem seit Anfang ver­gan­ge­ner Woche per­so­nen­be­zo­ge­ne Daten von rund 700 Mil­lio­nen – und damit von fast allen – Nutzer:innen des Netz­werks zum Kauf ange­bo­ten werden.

Eine von dem Team ana­ly­sier­te “Kost­pro­be” mit einer Mil­li­on Daten­sät­zen habe sich als authen­tisch erwie­sen, heißt es im RestorePrivacy-Blog.

Wie die Daten in die Hän­de des unter dem Pseud­onym “Tom­Li­ner” auf­tre­ten­den Ver­käu­fers gelang­ten, ist unklar. 

93 Pro­zent der Nutzer:innen poten­zi­ell betroffen.

Einer Stich­pro­be durch hei­se Secu­ri­ty sowie einem Blog­ein­trag von Res­to­re­Pri­va­cy zufol­ge, ent­hält das Leak Lin­ke­dIn-Nut­zer­da­ten­sät­ze mit voll­stän­di­gen Namen, E‑Mail- und Post­adres­sen, Stand­ort­da­ten, Tele­fon­numm­nern, Lin­ke­dIn-Nut­zer­na­men und Profil-URLs.

Anga­ben zu Geschlecht, per­sön­li­chem und beruf­li­chem Wer­de­gang und wei­te­ren Social-Media-Accounts der jewei­li­gen Nutzer:innen sei­en eben­falls betroffen.

Sofern der Ver­käu­fer tat­säch­lich im Besitz von ins­ge­samt 700 Mil­lio­nen Daten­sät­zen wäre, ent­sprä­che dies fast 93 Pro­zent aller Nutzer:innen.

Eige­nen Sta­tis­ti­ken zufol­ge nut­zen der­zeit welt­weit rund 756 Mil­lio­nen Men­schen das sozia­le Netz­werk für den Business-Bereich. 

Fest­zu­hal­ten ist, dass ledig­lich ein Bruch­teil der Daten öffent­lich – genau­er: gegen acht “Cre­dits” der inter­nen Forums­wäh­rung – ein­seh­bar und stich­pro­ben­ar­tig auf Echt­heit geprüft ist. 

Somit lässt sich kei­ner­lei Ein­schät­zung zu Echt­heit oder “Qua­li­tät” der übri­gen Daten treffen.

Das aktu­el­le Ver­kaufs­an­ge­bot steht im sel­ben Forum wie eine ähn­li­che Lin­ke­dIn-Daten­samm­lung, die bereits Anfang April die­ses Jah­res zum Kauf ange­bo­ten wurde. 

Das dama­li­ge Leak ent­hielt laut Anga­ben des Ver­käu­fers – der übri­gens ein ande­res Pro­fil nutz­te als jenes beim aktu­el­len Ange­bot – Daten von rund 500 Mil­lio­nen LinkedIn-Nutzer:innen.

Der dama­li­ge Ver­käu­fer hat­te für die 500 Mil­lio­nen Daten­sät­ze einen zu ver­han­deln­den Betrag “min­des­tens im vier­stel­li­gen Bereich” ver­langt; im Fal­le des aktu­el­len Leaks und Pos­tings fehlt eine sol­che Anga­be. Der Preis ist offen­bar Verhandlungssache.

Nach­bes­se­rungs­be­darf bei der LinkedIn-API?

Gegen­über Res­to­re­Pri­va­cy gab der aktu­el­le Ver­käu­fer Tom­Li­ne an, die Lin­ke­dIn-API miss­bräuch­lich ange­zapft zu haben, um nach Daten zu craw­len, die Nutzer:innen des Netz­werks hoch­ge­la­den hät­ten. Von einem Daten­leck im her­kömm­li­chen Sin­ne ist also wohl nicht aus­zu­ge­hen. Lin­ke­dIn selbst hat sich zu den aktu­el­len Gescheh­nis­sen noch nicht geäußert.

Nach dem Vor­fall im April hat­te das Unter­neh­men mit­ge­teilt, dass

“öffent­lich ein­seh­ba­re Infor­ma­tio­nen (…) von Lin­ke­dIn abge­grif­fen und mit Daten von ande­ren Web­sites oder Unter­neh­men kom­bi­niert” wor­den seien. 

Lin­ke­dIn

Dem­nach hat es sich zumin­dest damals also um blo­ßes “Scra­ping” öffent­lich ver­füg­ba­rer Daten gehan­delt, die anschlie­ßend mit nicht-öffent­li­chen Daten (damals unter ande­rem Tele­fon­num­mern und E‑Mail-Adres­sen) kom­bi­niert wurden.

Die Anga­ben des aktu­el­len Ver­käu­fers könn­te aller­dings Anlass zu Spe­ku­la­tio­nen über Angriffs­mög­lich­kei­ten auf die Lin­ke­dIn-API geben. 

Denn natür­lich soll­te es grund­sätz­lich weder mög­lich sein, über eine API unbe­rech­tigt Nut­zer­da­ten abzu­grei­fen noch ohne beson­de­re Zugriffs­rech­te nicht-öffent­li­che Daten wie E‑Mail-Adres­sen oder Tele­fon­num­mern einzusehen. 

Vor­fall fußt laut Lin­ke­dIn aber­mals auf Scraping.

Dazu wur­de das fol­gen­de State­ment abgegeben:

“Aktu­ell ist die Unter­su­chung des Vor­falls noch nicht abge­schlos­sen. Jedoch scheint der ver­öf­fent­lich­te Daten­satz aus­schließ­lich öffent­lich ein­seh­ba­re Infor­ma­tio­nen zu ent­hal­ten, die von Lin­ke­dIn abge­grif­fen und mit Daten ande­rer Quel­len kom­bi­niert wur­den. Es han­delt sich nicht um ein Lin­ke­dIn Daten­leck und unse­re Unter­su­chung hat erge­ben, dass kei­ne pri­va­ten Mit­glie­der­da­ten von Lin­ke­dIn ver­öf­fent­licht wur­den. Die­ses soge­nann­te Scra­ping von Mit­glie­der­da­ten ver­stößt gegen unse­re Nut­zungs­be­din­gun­gen und wir arbei­ten stän­dig dar­an, unse­re Mit­glie­der und ihre Daten zu schützen.”

State­ment von LinkedIn

Der Wort­laut die­ses State­ments ist iden­tisch mit dem vom Vor­fall im April.

Auf die Nach­fra­ge bezüg­lich API-Angriffs­mög­lich­kei­ten ging das Unter­neh­men nicht ein.

Wie anfangs erwähnt, nut­ze auch ich Lin­ke­dIn.

Hier errei­che ich Per­so­nen, wel­che ich auf ande­ren Kanä­len schwer oder gar nicht erreiche.

Dabei ist natür­lich der Zweck sowie die Art der Ver­net­zung durch­aus eine andere.

Doch wie es oft ist: fast alles ist mach­bar, aber nicht alles ist sinnvoll.

Also las­sen Sie sich gut beraten.