Aktuelles, Branche - geschrieben von dp am Donnerstag, Juli 1, 2021 18:03 - noch keine Kommentare
Linkedin-Datenleck: API als Schwachstelle
Bereits im April 2021 wurde über ein Datenleck bei Linkedin berichtet
[datensicherheit.de, 01.07.2021] Offenbar hat ein Datenleck der Social-Media-Webplattform „Linkedin“ größere Ausmaße angenommen, als bislang vermutet. Check Point hat sich nach eigenen Angaben diesen Vorfall kurz angesehen und vermutet demnach stark – basierend auf der Erfahrung aus der Nachforschung zur App „TikTok“ – eine oft übersehene Tatsache dahinter: „Mangelhafte API-Sicherheit.“
Oded Vanunu: Sieht so aus, als ob Hacker Daten über Linkedin-API erhielten
Bisher noch unbekannt, ob Linkedin-Daten von dem 2016 entstandenen Datenleck oder einem aktuellen Angriff stammen
Bereits im April 2021 sei über ein Datenleck bei „Linkedin“ berichtet worden, wobei die Informationen von 500 Millionen Mitgliedern zum Verkauf angeboten worden sein sollen. „Nun muss diese Zahl korrigiert werden: Nach Medienberichten sind in einem Hacker-Forum die Datensätze von 700 Millionen der ,Linkedin‘-Nutzer aufgetaucht – die Plattform zählt derzeit rund 756 Millionen Teilnehmer“, erläutert Oded Vanunu, „Head of Products Vulnerability“ bei der Check Point Software Technologies GmbH.
Unter den gestohlenen Einzelheiten über die Menschen befänden sich deren Namen, E-Mail-Adressen, Telefonnummern und Anschriften. „Kreditkarten-Daten sollen jedoch nicht dabei sein.“ Ob die Daten aus dem 2016 entstandenen Datenleck stammen oder aus einem erneuten Angriff, sei indes derzeit unbekannt.
Linkedin-Fall erinnert an TikTok
Vanunu führt aus: „Wir können jedoch sagen: Dieser Fall ähnelt unserer Nachforschung zur beliebten Handy-App ,TikTok‘. Dort waren wir in der Lage gewesen, die ,TikTok‘-API, also Schnittstelle, auszulesen und eine Datenbank mit Informationen über die Benutzer aufzubauen.“ Bezüglich „Linkedin“ sehe es so aus, „dass die Hacker jene Daten ebenfalls über die ,Linkedin‘-API erhalten haben, die sie also möglicherweise knackten“.
Beide Zwischenfälle untermauerten, dass API-Sicherheit sehr wichtig sei und ernstgenommen werden sollte, „während Unternehmer ihre Anwendung und IT-Infrastruktur einrichten“. Über Clouds laufende Anwendungen würden hauptsächlich mit einer sogenannten Kernanwendungslogik aufgebaut. „Dies heißt, dass sie mit vielen APIs verbunden ist, welche die Daten der Anwendung liefern. Wenn nun die APIs ungesichert bleiben, sind sie dem Risiko einer Attacke ausgesetzt, insbesondere dann, wenn es sich um API-Code-Schwachstellen handelt oder unbegrenzte API-Aufrufe durchgeführt werden“, so Vanunu. So etwas könne zu einem großen Datenleck führen, wie Check Point es bezüglich „TikTok“ berichtet habe und in diesem „Linkedin“-Fall erneut sehe.
Weitere Informationen zum Thema:
FAZ.NET, 30.06.2021
Leck bei sozialem Netzwerk? : Hacker bieten Daten zu 700 Millionen Linkedin-Nutzern an
RESTORE PRIVACY, Sven Taylor, 27.06.2021
New LinkedIn Data Leak Leaves 700 Million Users Exposed
datensicherheit.de, 28.04.2021
LinkedIn: Malware-Verbreitung über falsche Jobangebote / Cyber-Krimielle nutzen LinkedIn derzeit vermehrt für Phishing-Kampagnen
Aktuelles, Experten - Apr 26, 2024 20:46 - noch keine Kommentare
eco-Stellungnahme zum Verschlüsselungsverbot – praktisch nicht umsetzbar und Verstoß gegen Grundrechte
weitere Beiträge in Experten
- Schleswig-Holstein: Datenschutzbericht 2023 vorgestellt
- Bundesdatenschutzgesetz: DSK-Stellungnahme zum Gesetzentwurf zur Änderung veröffentlicht
- Digitalministerkonferenz: Digitalverband Bitkom benennt Herausforderungen an die neue Institution
- Digitalministerkonferenz sollte Schnellboot der Digitalisierung in Deutschland sein
- World Cybercrime Index: Identifizierung globaler Brennpunkte der Cyber-Kriminalität
Aktuelles, Branche - Apr 26, 2024 20:54 - noch keine Kommentare
Soziale Medien: Booster oder Cyber-Achillesferse für Politiker
weitere Beiträge in Branche
- DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher
- Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024
- DDoS-Attacken: Check Point warnt vor neue Wellen
- Finanzkriminalität: BioCatch publiziert ersten Bericht über digitalen Betrug mittels KI
- Zscaler-Report 2024: 60 Prozent Anstieg bei KI-gesteuerten Phishing-Angriffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren