Unsere Identifikation eines vermeintlichen Clubhouse-Leaks mit 3.8 Milliarden Telefonnummern hat hohe Wellen geschlagen. Neben der Berichterstattung verschiedener Medien auf der ganzen Welt haben wir eine Reihe von Interviews zum Zwischenfall geführt. In der Tageszeitung 20 Minuten ist ein umfangreiches Interview mit Marc Ruef erschienen, der mit dem Journalisten Tobias Bolzern die Hintergründe und Auswirkungen des Leaks besprochen hat.

Du hast die Meldung auf Twitter publik gemacht, woher stammt sie ursprünglich?

Wir führen für unsere Kunden sogenanntes Darknet-Monitoring durch, bei dem wir nach auffälligen Kommunikationen und Angeboten suchen. Dabei ist uns das Angebot für die Clubhouse-Daten aufgefallen.

Wie zuverlässig ist deiner Meinung nach diese Quelle im Darknet?

Der Benutzer ist “berühmt-berüchtigt”. Er ist zwar schon länger dabei, aber auch schon mit dubiosen Angeboten aufgefallen.

Hattest du eine Möglichkeit, das Sample zu sichten. Sind die Daten echt?

Der Anbieter hat ein Sample mit 83 Millionen Datensätzen für Japan zur Verfügung gestellt. Manche Analysten behaupten, dass die Telefonnummern einfach zufällig generiert sind. Stichproben haben aber gezeigt, dass es sich ziemlich sicher um echte Daten handelt.

Wie könnten die Milliarden Nummern überhaupt abgegriffen worden sein?

Auf könnte man meinen, dass es sich um einen Leak handelt, bei dem jemand die internen Daten gestohlen hat. Da es sich jedoch nur um einen Teil der durch Clubhouse gesammelten Daten handelt, gehen wir jedoch davon aus, dass diese über die API zusammengetragen wurde. Eine API stellt eine Schnittstelle zur Verfügung, mit der man automatisiert mit dem Dienst kommunizieren kann. Diese API scheint keine Einschränkungen oder Alarmierungen umgesetzt zu haben, weshalb die enorme Datensammlung uneingeschränkt erfolgen konnte. Das gleiche Problem musste Facebook Anfang des Jahres eingestehen, als 533 Millionen Datensätze zusammengetragen und herumgereicht wurden.

Sind auch andere persönliche Daten (Namen etc) abhanden gekommen?

Im Sample ist lediglich die Telefonnummer und ein Score zu finden. Letzterer gibt an, wie oft eine Telefonnummer bei der Synchronisierung der Kontaktdaten der Benutzer hochgeladen wurde. Dadurch lassen sich Echtheit und Popularität einer Nummer identifizieren.

Was können Hacker mit einem solchen Datensatz an Telefonnummern machen?

Verifizierte Nummern haben einen höheren Wert. Diese können für Werbung, Spam, Phishing, Social Engineering und Identitätsdiebstahl herhalten. Zudem können die Nummern mit anderen Quellen, zum Beispiel Whatsapp, abgeglichen werden, um Profile zu vervollständigen.

Wie kann ich mich schützen?

Viele Dienste erlauben das Synchronisieren der Kontaktdaten des Smartphones. Wenn jemand meine Nummer gespeichert hat und diese hochlädt, ist es zu spät. Man müsste sehr restriktiv mit der Herausgabe seiner eigenen Nummer sein und diese oft wechseln. Doch das ist nicht praktikabel.

Sobald Leaks bekannt sind, sollte man sich derer bewusst sein und bei zukünftigen Anfragen skeptisch sein. Die Anzahl der Angriffe wird zwangsweise zunehmen.

Mittlerweile gibt es Zweifel auch Clubhouse dementiert. Was kannst du dazu sagen?

Ohne die Internas zu kennen, wird es schwierig zu einem konklusiven Schluss zu kommen. Egal, ob die Daten echt sind oder nicht, sie sollten uns bewusst machen, dass das Synchronisieren von Kontaktdaten ein bisher gern vernachlässigtes Risiko darstellt. Und zwar auch für Leute, die sich bei einem Dienst nicht angemeldet haben.

Gibt es in der Vergangenheit Vorfälle mit einem ähnlichen Ausmass?

Erst kürzlich habe ich in einem Fachbeitrag vom “Zeitalter der Leaks” gesprochen. Millionen von Daten sind die letzten Jahre geleakt: 280 Millionen Kundeninformationen von Microsoft, 5.2 Millionen Datensätze von Marriott, und 500’000 Zoom-Konten. Das wird zunehmen.

Wenn die Daten echt sind: Wie schlimm ist das für User weltweit genau?

Die Konsequenz ist nicht die Gleiche, wie wenn zusätzliche benutzeridentifizierende Daten (z.B. Name, Anschrift) oder gar Passwörter enthalten sind. Am ehesten wird die Anzahl dubioser Zugriffe zunehmen. Das ist vorerst zu verkraften. Zeitgleich ist es aber ein Vorbote, was da in Bezug auf Umfang und Intensität noch auf uns zukommen wird. Das Zeitalter der Leaks wird nicht so schnell aufhören.

Links

• https://www.20min.ch
• https://www.20min.ch/story/wenn-jemand-deine-nummer-gespeichert-hat-ist-es-zu-spaet-900582120850

Tags