Linkedin: Daten von 500 Millionen Nutzern online zum Verkauf angeboten
Angreifer verlangt nur vierstelligen Betrag. Als Beweis tröpfeln 2 Millionen Linkedin-Datensätze durch. Laut Linkedin ist es Scraping von Mitgliederdaten.
Von
- Frank Schräer
In einem populären Hackerforum werden 500 Millionen Linkedin-Profildaten zum Verkauf angeboten. Als Beweis können Interessierte zwei Millionen Datensätze für eine minimale Gebühr erlangen. Es handelt sich um öffentlich von den Linkedin-Nutzern publizierte Daten wie Namen, E-Mail-Adressen, Telefonnummern und Arbeitgeber. Linkedin untersucht den Vorfall und bezeichnet ihn als unerlaubtes Scraping von Mitgliederdaten.
Nach einem Bericht von Cybernews werden zwei Millionen Linkedin-Datensätze für Forum-Credits im Wert von 2 US-Dollar angeboten. Die kompletten 500 Millionen Profildaten können dann auf Anfrage für einen mindestens vierstelligen Preis erstanden werden. Sensible Daten wie Kennwörter, Kreditkarten- oder Bankinformationen gehören nach Ansicht der zum Beweis angebotenen Datensätze allerdings nicht dazu, da für die Datensammlung lediglich automatisierte Anfragen – sogenanntes "Scraping" – in großem Stil genutzt wurden.
Laut Linkedin unerlaubtes Scraping öffentlicher Daten
Die angebotenen Mitgliederdaten umfassen Linkedin-IDs, vollständige Namen, E-Mail-Adressen, Telefonnummen, Geschlecht, Berufsbezeichnung und andere Job-bezogene Daten, Links zu Linkedin-Profilen und Profilen in anderen sozialen Netzwerken. Dies sind alles von den Linkedin-Nutzern selbst veröffentlichte Daten und für andere Linkedin-Anwender einsehbar. Allerdings können sie in aggregierter Form für Phishing-Angriffe oder Brute-Force-Methoden zur Ermittlung von Kennwörtern genutzt werden.
Lesen Sie auch
Auf Anfrage des ZDF erklärte Linkedin selbst: "Aktuell ist die Untersuchung des Vorfalls noch nicht abgeschlossen, allerdings scheint der veröffentlichte Datensatz öffentlich einsehbare Informationen zu enthalten, die von LinkedIn abgegriffen und mit Daten von anderen Websites oder Unternehmen kombiniert wurden. Dieses sogenannte Scraping von Mitgliederdaten verstößt gegen die LinkedIn-Nutzungsbedingungen und wir arbeiten ständig daran, unsere Mitglieder und ihre Daten zu schützen."
Facebook & Linkedin im Visier der Datensammler
Vor wenigen Tagen erst wurden Daten hunderter Millionen Facebook-Nutzer erneut im Netz entdeckt. Die vertraulichen Daten der Facebook-Anwender sind in einem Forum für Cyberkriminelle aufgetaucht. Sie stammen aus einem Leak im Jahr 2019. Facebook hat dieses Problem damals behoben, aber jetzt waren die Daten kostenfrei verfügbar.
Im Jahre 2012 waren bereits Linkedin-Passwörter im Umlauf. In einschlägigen Internet-Foren kursierte eine Liste mit über 6 Millionen Passwort-Hashes, die von Linkedin stammen. 2016 wurde allerdings bekannt, dass das Linkedin-Passwort-Leck desaströse Ausmaße angenommen hat, da nicht nur die damals veröffentlichten 6 Millionen Passwörter geklaut, sondern über 100 Millionen im Untergrund gehandelt wurden.
Lesen Sie auch
Linkedin zählt nach eigenen Angaben derzeit fast 740 Millionen registrierte Nutzer aus über 200 Ländern. Ob die 500 Millionen jetzt angebotenen Profildaten aktuell oder ein Resultat vorheriger Angriffe sind, ist noch unklar. Wer wissen will, ob sein Linkedin-Profil betroffen ist, kann dies anhand einer Cybernews-Webseite und der bei Linkedin hinterlegten E-Mail-Adresse überprüfen.
[Update 09.04.2021 – 17:04 Uhr] Linkedin hat uns mittlerweile dazu folgende Stellungnahme geschickt: "Wir ergreifen umfassende Maßnahmen, um die Daten zu schützen, die uns LinkedIn Mitglieder anvertrauen. Wir haben einen Datensatz untersucht, der angeblich von LinkedIn stammt und zum Verkauf angeboten wurde. Dabei haben wir festgestellt, dass es sich tatsächlich um kombinierte Daten einer Reihe von Websites und Unternehmen handelt. Darunter sind unter anderem öffentlich einsehbare Mitgliederprofildaten, die offenbar von LinkedIn durch Scraping abgegriffen wurden. Somit handelt es sich nicht um ein Datenleck und es waren keine privaten Daten von LinkedIn Nutzern in den Daten enthalten, die wir überprüfen konnten. Jegliche missbräuchliche Nutzung der Daten unserer Mitglieder, wie beispielsweise Scraping, verstößt gegen die Nutzungsbedingungen von LinkedIn. Der Versuch, Mitgliederdaten für Zwecke zu verwenden, denen LinkedIn und unsere Mitglieder nicht zugestimmt haben, wird von uns verfolgt und wir arbeiten daran, die Verantwortlichen ausfindig zu machen und zur Verantwortung zu ziehen. Weitere Informationen über unsere Richtlinien und wie wir Mitgliederdaten vor Missbrauch schützen sind hier zu finden."
(fds)
Quelle: www.heise.de