Instagram, TikTok & Youtube: Daten von knapp 235 Mio. Profilen im Netz geleakt

Wie sicher sind deine Profile auf Insta, TikTok etc.? Wie sich jetzt wieder mal zeigt, nicht wirklich sicher: Social Data, ein Unternehmen, das Social Media-Daten von Influencern an Marketer verkauft, hat laut Comparitech-Forschern eine Datenbank mit über 200 Millionen Social-Media-Profilen frei zugänglich im Internet veröffentlicht. Darunter Daten wie Namen, Bilder, Kontaktinfos etc. Noch dazu ist Social Data nicht astrein an diese Infos gekommen: Denn dieses Scraping zwar öffentlicher Daten widerspricht den Nutzungsbedingungen der meisten Social-Media-Dienste. Datendiebstahl

Betroffene Server wurden abgeschaltet

Die Daten wurden von öffentlich sichtbaren Social-Media-Seiten auf Youtube, TikTok und Instagram genommen. Comparitech entdeckte 3 identische Kopien der geleakten Daten. Es scheint so, dass der Großteil der Daten ursprünglich von Deep Social stammt, einer Firma, die es mittlerweile nicht mehr gibt. Zumindest deuten die Namen der Instagram-Datensätze darauf hin. Nach dieser Entdeckung wand sich Sicherheitsspezialist Diachenko an Deep Social, wo er wiederum an Social Data weitergeleitet wurde. Die Firma reagiert immerhin recht zeitnah auf den Leak, gab diesen zu und schaltete die Server, auf denen die Daten gehostet wurden, 3 Stunden nach Info aus.

Datensammlung legal?

Nichtsdestotrotz ist der riesige Datensatz von Deep Social an sich nicht rechtens: Denn Facebook und Instagram haben Deep Social bereits 2018 aus ihren Marketing APIs verbannt und dem Unternehmen rechtliche Schritte angedroht, sollte es weiterhin Daten von Userprofilen scrapen. Deep Social kĂĽndige daraufhin an, seinen Betrieb einzustellen und hat dies offensichtlich auch getan.

Was ist Web-Scraping eigentlich?

Web-Scraping kopiert automatisch massenweise Daten und Informationen von Webseiten bzw. eben sozialen Medien wie im vorliegenden Fall. Social Data behauptet, nur öffentlich zugängliche Daten zu scrapen. Aber selbst das widerspricht den Nutzungsbedingungen von Instagram, Facebook, TikTok und Youtube. Es ist für die Social Media-Unternehmen allerdings schwierig, die Scraping-Bots von normalen Besuchern zu unterscheiden. Meist erfolgt die Reaktion erst zu spät und der Zugriff auf die Nutzerkonten ist bereits erfolgt.

Social Data bestreitet illegales Scraping

Diachenko erhielt von einem Social Data-Sprecher folgendes E-Mail-Statement: „Der negative Konnex zum Wort Leak impliziert, dass die Daten illegal erlangt wurden. Das stimmt so einfach nicht, sämtliche Daten sind fĂĽr JEDEN frei im Internet zugänglich. Ich wäre Ihnen dankbar, wenn Sie das klarstellen könnten. Jeder könnte jede Person, die in ihren Social-Media-Profilen Telefon oder E-Mail angibt auf die gleiche Weise phishen oder kontaktieren, auch ohne die Existenz der Datenbank […] Soziale Netzwerke selbst geben die Daten an AuĂźenstehende weiter – das ist ihr Geschäft. Diejenigen Nutzer, die keine Informationen zur VerfĂĽgung stellen wollen, machen ihre Konten privat.“

Auch Facebook meldete sich zu dem Zwischenfall bei Comparitech per E-Mail zu Wort: „Persönliche Daten aus Instagram abzuschöpfen, ist ein klarer Verstoß gegen unsere Richtlinien. Wir haben Deep Social im Juni 2018 den Zugang zu unserer Plattform entzogen und sie rechtlich dazu aufgefordert, jede weitere Datenerfassung zu unterlassen.“

Wie lange waren die Daten zugänglich?

Ganz klar ist das nicht. Entdeckt wurde die Datenbank von Comparitech am 1. August. Außerdem ist unklar, ob unautorisierte Dritte auf die Daten zugegriffen haben. Die Honeypot-Tests von Comparitech zeigen jedoch, dass Hacker ungesicherte Datenbanken innerhalb weniger Stunden nach dem Leak finden und attackieren können.

Welche Daten wurden geleakt?

Drei identische Kopien der Daten wurden auf drei verschiedenen IPv6-Adressen gehostet. Insgesamt wurden auf jeder dieser Adressen Daten von etwa 235 Millionen Social-Media-Profilen (Instagram, TikTok, Youtube) gespeichert – darunter u. a. folgende: Profilname, Klarname, Profilfoto, Alter u. a. sowie statistische Daten wie Anzahl der Follower, Likes, Zuwachsrate der Follower, Alter der Follower etc. In einer von fünf Datensätzen fanden die Comparitech-Spezialisten stichprobenartig auch eine Telefonnummer oder E-Mailadresse.

Risiken durch geleakte Daten

Leider bergen derartige Leaks natürlich auch Gefahren für die betroffenen User. Besonders das Risiko von Betrugs- und Phishingnachrichten ist hoch. Die Experten empfehlen Instagram- und TikTok-Nutzern, nach derartigen Nachrichten Ausschau zu halten, die entweder direkt verschickt werden oder in den Kommentaren gepostet werden. Auch wenn die Daten öffentlich zugänglich sind, machen die Größe und der Umfang der Datenbank sie anfälliger für großangelegte Attacken. Beispielsweise könnten Betrüger gefälschte Konten anlegen.

Web-Scraping greift weiterhin um sich

Facebook und andere soziale Netzwerke haben sich zwar verschiedenste rechtliche und auch technologische Schritte zur Eindämmung von Web-Scraping überlegt. Aber in der Praxis werden leider nach wie vor die öffentlichen Profile von Usern abgegrast. Prominentes Beispiel ist die Gesichtserkennung von Clearview.ai, die Profile für Fotos gescrapt hat – millionenfach.


Erstellt am:28. August 2020


Sicherheit im Internet Hilfe

Sicherheit mit VPN - Hilfe zur Auswahl!

Schreibe einen Kommentar