[datensicherheit.de, 27.04.2021] „Facebook, LinkedIn und Clubhouse bestätigten im April 2021, dass Informationen ihrer Nutzer ins Internet gelangt sind“ – die Gesamtzahl der Nutzerinformationen für alle drei Web-Plattformen betrage über eine Milliarde, meldet Avast. Jedoch fühle sich keiner der drei Unternehmen in der Verantwortung, da das Abgreifen und Verwenden der Daten nicht auf eine direkte Hacker-Aktion zurückzuführen sei – und leider hätten sie damit nicht ganz unrecht.

Scraping: Sammlung bereits öffentlich im Netz verfügbarer Informationen

Die Methode, durch welche die Daten gesammelt und im Internet verbreitet wurden, nennt sich demnach „Scraping“. Dabei würden Informationen von Nutzern gesammelt, welche bereits öffentlich im Netz verfügbar sind. Dies sei auch der entscheidende Punkt auf den sich Facebook, LinkedIn und Clubhouse beriefen. Öffentliche Informationen könnten theoretisch nicht gehackt und daher von Unternehmen auch nicht geschützt werden.

Aktueller Blog-Beitrag von Christopher Budd zum Thema Scraping online

In seinem aktuellen Blog-Beitrag hierzu erklärt Christopher Budd, „Global Senior Threat Communications Manager“ bei Avast, wie Scraping funktioniert, wie es sich von Hacking unterscheidet und was Nutzer tun können, um sich davor zu schützen. Er betont, dass Nutzer selbst Maßnahmen ergreifen müssten, wenn sie ihre Informationen vor Scraping schützen möchten:

Christopher Budds zentrale Tipps zur Abwehr von Scraping

• Seien Sie sich bewusst, dass veröffentlichte Informationen im Netz nicht mehr unter Ihrer Kontrolle sind. Das heißt, sie können gesammelt, kopiert und auf unerwartet Art und Weise verteilt werden!
• Im Internet sollten grundsätzlich keine Informationen öffentlich geteilt werden, deren breite Veröffentlichung Sie nicht wünschen!
• Nur Sie selbst können Ihre Daten schützen, denn einmal abgegriffen, können sie nicht mehr zurückgeholt werden!

Weitere Informationen zum Thema:

datensicherheit.de, 04.02.2021
Smart-Home-Geräte: Avast rät zu mehr Sicherheit in 7 Schritten

avast blog, Christopher Budd, 27.04.2021
Understanding scraping in the Facebook, LinkedIn, and Clubhouse data leaks

[datensicherheit.de, 25.02.2021] „Sie haben noch keine Einladung bekommen? Der Hype um die neue Social-Media-App ,Clubhouse‘ ist ungebrochen“, meldet Trend Micro. Zwar gebe es bislang noch keine „Android“-Version, doch die Zahl der Nutzer steige beträchtlich. Der Mitgründer und „CEO“ von Trend Micro, Paul Davison, beziffert die wöchentlich aktiven Nutzer demnach auf zwei Millionen – die Zahl der registrierten Nutzer sei Schätzungen zufolge sogar dreimal so groß. „Doch wie steht es um die Sicherheit der Audio-only-App?“

Potenzieller Schaden bei Clubhouse & Co. wesentlich größer als bei Telefonkonferenzen

„Zwar überschneiden sich manche Sicherheitsrisiken audio-basierter Social-Media-Apps mit denjenigen der klassischen Telefonkonferenz, doch fällt der potenzielle Schaden bei ,Clubhouse & Co.‘ wesentlich größer aus“, so Davison.
Durch die hohe Teilnehmerzahl steige die Menge gefährdeter Daten und verbreitete Falschinformationen könnten einfach Tausende von Menschen erreichen“, warnt Udo Schneider, „IoT Security Evangelist Europe“ bei Trend Micro.

Foto: Trend Micro

Udo Schneider: Durch hohe Teilnehmerzahl steigt Menge gefährdeter Daten

Clubhouse, HearMeOut und „Audlist“ mit einigen Sicherheitsrisiken verbunden

Audio-basierte Social-Media-Apps, wie „Clubhouse“, „HearMeOut“ oder „Audlist“ erfreuten sich bei Nutzern großer Beliebtheit, seien jedoch mit einigen Sicherheitsrisiken verbunden. Cyber-Kriminelle machten sich diese zunutze, indem sie mit zumeist automatisierten Angriffen einfach und schnell auf die Schwachstellen im System zielten.
Zwar überschnitten sich manche Sicherheitsrisiken audio-basierter Social-Media-Apps mit denjenigen der klassischen Telefonie, doch falle der potenzielle Schaden bei „Clubhouse & Co.“ wesentlich größer aus – „bedenkt man, dass allein bei ,Clubhouse‘ bis zu 5.000 Personen einen Raum betreten können“, so Schneider. Durch die hohe Teilnehmerzahl steige die Menge gefährdeter Daten und verbreitete Falschinformationen könnten einfach Tausende von Menschen erreichen.

Warnung vor folgenden Sicherheitslücken bei Clubhouse & Co.

Die Recherchen seien vom 8. bis 11. Februar 2021 durchgeführt worden. Zum Zeitpunkt der Veröffentlichung könnten einige der beschriebenen Probleme von den App-Anbietern behoben worden sein. Die Forschungsergebnisse von Trend Micro zeigen mach eigenen Angaben unter anderem folgende Sicherheitslücken:

• Abhören von privaten Informationen:
  Indem ein Angreifer den Netzwerkverkehr analysiert, sieht er, wer mit wem spricht. Darüber hinaus automatisieren Angreifer diesen Prozess und können sensible Informationen eines privaten Chats abhören.
• Identitätsbetrug und „Deepfake Voice“:
  Angreifer nehmen eine falsche Identität an und können die Fake-Person durch das Klonen der Stimme beliebige Aussagen treffen lassen.
• Aufnahmen für opportunistische Zwecke:
  Stimmaufnahmen können im Rahmen eines Identitätsbetrugs dazu genutzt werden, Benutzerkonten zu klonen, den Ruf des ursprünglichen Sprechers zu schädigen oder betrügerische Vertragsabschlüsse durchzuführen.
• Belästigung und Erpressung:
  Abhängig von der Struktur der App haben Angreifer die Möglichkeit etwas zu sagen oder vorab aufgezeichnetes Audio-Material zu streamen, mit dem sie das Opfer erpressen. Dies läuft mittlerweile automatisiert ab, indem Cyber-Kriminelle passende Skripte erstellen.
• Erkaufte Follower:
  Unseren Forschungen zufolge ist es angeblichen Entwicklern möglich, die API (Application Programming Interface) zurückzuentwickeln, um einen Bot im Austausch für eine Einladung zu erstellen. So können beispielsweise Follower hinzugekauft werden.
• Verdeckte Audiokanäle:
  Cyber-Kriminelle können verdeckte Kanäle für C&C-Server erstellen oder Informationen innerhalb von digitalen Objekten verstecken oder übertragen.

Apps wie Clubhouse derzeit ohne Prozess zur Konto-Verifizierung

„Um sicher in den neuen Sozialen Medien unterwegs zu sein, empfehlen wir ein paar wichtige Grundregeln. Da immer die Möglichkeit bestehe, dass jemand Sie im virtuellen Raum aufnimmt oder abhört, treffen Sie nur Aussagen, die Sie auch abseits der digitalen Welt in der Öffentlichkeit treffen würden!“
Apps wie „Clubhouse“ hätten derzeit keinen Prozess zur Konto-Verifizierung: „Überprüfen sie daher immer doppelt ob Biografie, Benutzername und verknüpfte Kontakte im Sozialen Netzwerk authentisch sind. Gewähren Sie darüber hinaus nur notwendige Berechtigungen und verweigern Sie der App zum Beispiel, dass sie auf alle Daten in ihrem Adressbuch zugreifen kann!“

Weitere Informationen zum Thema:

TREND MICRO, Federico Maggi, 24.02.2021
Cyber Threats / Security Risks for Audio-centric Social Media Apps

datensicherheit.de, 23.02.2021
Clubhouse: Data Breach bei Social-Media-Plattform / Satnam Narang kommentiert Sicherheitslücken in boomender Clubhouse-App

[datensicherheit.de, 23.02.2021] Kaum eine andere App stehe aktuell medial so sehr im Fokus wie Clubhouse. Nun berichteten Experten von eine ersten „Data Breach“ auf dieser Plattform:

Satnam Narang, Staff Research Engineer beim IT-Sicherheitsanbieter Tenable, Foto: Tenable

Satnam Narang: Nicht überraschend, dass Hacker einen Weg fanden, Clubhouse-API zu zerlegen…

Clubhouse-Audio-Feeds aus mehreren Räumen auf eigene Website gestreamt

„Clubhouse“ habe einen Datensicherheitsverstoß erlitten, „nachdem ein Entwickler in China eine Open-Source-App entwickelt hatte, mit der ,Android‘-Benutzer auf die App, die eigentlich nur für iPhone verfügbar ist, zugreifen konnten“.
Eindringlinge hätten so auch „Clubhouse“-Audio-Feeds aus mehreren Räumen auf ihre eigene Website streamen können. „Clubhouse“ habe den Benutzer inzwischen dauerhaft gesperrt und Schutzmaßnahmen angekündigt, um weitere Verstöße zu verhindern.

Clubhouse – Popularität der exklusiven App im letzten Jahr extrem stark zugenommen

„Trotz der Exklusivität von ,Clubhouse‘ – die App ist nur auf Einladung verfügbar und auf iOS-Geräte beschränkt – hat dessen Popularität im letzten Jahr extrem stark zugenommen“, erläutert Satnam Narang, „Staff Research Engineer“ beim IT-Sicherheitsanbieter Tenable.
Daher sei es nicht überraschend, dass Hacker einen Weg gefunden hätten, die „Clubhouse“-API (Application Programming Interface) zu zerlegen und zu analysieren. Narang berichtet: „Nun veröffentlichten sie Open-Source-Tools, mit denen sie Inhalte aus Räumen extrahieren und schließlich einen Klon der App für ,Android‘-Geräte entwickeln konnten.“

Clubhouse sollt offiziellen Offenlegungsprozess für Schwachstelle einführen

In diesem Fall seien die Absichten des Benutzers klar: „Sie wollten die Anwendung ohne iOS-Gerät verwenden.“ Es könnte aber auch andere, kriminelle Personen geben, die Gespräche führten und / oder als sogenannte Geister-Benutzer (nicht in einem Raum sichtbar, aber in der Lage zu chatten) in öffentlichen und privaten Räumen sprächen und gegen die Auflagen der App in Sachen Datenschutz und Diskretion verstießen.
Es bestehe auch die Wahrscheinlichkeit, dass Schwachstellen auf der gesamten Plattform verblieben, die noch entdeckt und offengelegt werden müssten. Narang kommentiert: „Wir hoffen, dass ,Clubhouse‘ einen offiziellen Offenlegungsprozess für Schwachstelle einführt, damit Sicherheitsprofis ,Clubhouse‘ dabei helfen können, seine wachsende Plattform und letztendlich seine Benutzer besser zu schützen.“

Weitere Informationen zum Thema:

datensicherheit.de, 14.02.2021
Zerologon: Microsoft schloss kritische Schwachstelle

datensicherheit.de, 02.02.2021
Clubhouse: Prof. Dr. Johannes Caspar adressiert App-Betreiber / Auskunft über den Schutz der Privatsphäre im App-Umfeld gefordert

datensicherheit.de, 21.01.2021
Clubhouse: Audio-Chat-App mit Datenschutzmängeln / Neue App hat auch in Deutschland einen Hype ausgelöst

[datensicherheit.de, 02.02.2021] Die App Clubhouse sei derzeit in aller Munde und habe einen erheblichen Nutzeransturm zu verzeichnen. Das sei durchaus verständlich, so der der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI): Viele Menschen hätten gerade gegenwärtig „ein überwältigendes Interesse an einer neuen diskursiven Plattform, die spannende Kommunikation und den ungezwungenen Austausch mit anderen verspricht“. Diese App werfe jedoch viele Fragen zur Wahrung der Privatsphäre der Nutzer und dritter Personen auf.

HmbBfDI

HmbBfDI Prof. Dr. Johannes Caspar: App darf weder eigene noch fremde Rechte verletzen!

Zweifel am Datenschutz der App

So würden die Adressbücher in den Mobilfunkgeräten von jenen Nutzern, welche andere Personen einladen, automatisch ausgelesen und durch die Betreiber in den USA gespeichert. Dadurch gerieten Kontaktdaten von zahlreichen Menschen, ohne dass diese überhaupt mit der App in Kontakt kämen, in fremde Hände, wo sie dann zu Zwecken der Werbung oder Kontaktanfragen verwendet werden könnten.
Die Betreiber speicherten nach eigenen Angaben zudem die Mitschnitte aller in den verschiedenen Räumen geführten Gespräche, um Missbräuche zu verfolgen, ohne dass die näheren Umstände transparent würden. Anbieter indes, welche sich an europäische Nutzer richten, müssten deren Rechte auf Information, Auskunft, Widerspruch und Löschung achten.

Auch diese App muss Regeln auf dem Spielfeld Europa beachten

Gleichzeitig bestehe die Pflicht, die technisch-organisatorischen Maßnahmen zum Schutz der Daten zu gewährleisten. An all dem bestünden derzeit bei der „Clubhouse“-App einige Zweifel. Der HmbBfDI hat sich daher nach eigenen Angaben mit den anderen deutschen Aufsichtsbehörden abgestimmt und hierzu einen Katalog von Fragen an die Betreiber in Kalifornien übersandt, um die Einhaltung des europäischen Datenschutzrechts zu überprüfen.
„Es kommt leider immer wieder vor, dass Anbieter aus den USA auf den europäischen Markt drängen oder einfach nur mit ihren Produkten und Dienstleistungen bei uns erfolgreich sind, ohne die grundlegendsten datenschutzrechtlichen Vorgaben des europäischen Digitalmarktes einzuhalten“, so Prof. Dr. Johannes Caspar, der HmbBfDI. Hierbei gelte es, zügig darauf hinzuweisen, „welche Regeln auf dem Spielfeld Europa gelten und diese auch durchzusetzen“. Es sei im Interesse aller europäischen Nutzer, Dienste in Anspruch nehmen zu können, „die weder eigene noch fremde Rechte verletzen und die nicht erst nach Jahren erfolgreicher Nutzerbindung in Europa sich den Prinzipien des Schutzes der Privatheit öffnen“, betont Caspar.

Weitere Informationen zum Thema:

datensicherheit.de, 26.01.2021
TikTok: Erneut Schwachstelle entdeckt

datensicherheit.de, 28.11.2020
Supergrundrecht Datenschutz: Ein kritischer HmbBfDI-Faktencheck

[datensicherheit.de, 21.01.2021] In einer aktuellen Stellungnahme der Verbraucherzentrale NRW (vz NRW) wird auf eine neue App aus den USA eingegangen, welche auch in Deutschland einen Hype ausgelöst habe: „Clubhouse“ sei in etwa vergleichbar mit einer Anwendung für Telefonkonferenzen. „Der Datenschutz ist allerdings kritisch“, so die Warnung.

Abbildung: Verbraucherzentrale NRW

vz NRW warnt vor Datenschutz der App „Clubhouse“ – dieser sei derzeit „kritisch“

App-Nutzung bisher nur auf Einladung

Der Name klinge so exklusiv wie das Produkt derzeit noch sei: Als „drop-in audio chat“ sei „Clubhouse“ im App-Store von Apple zu finden – und nur dort.
Es gebe keine Version für das weitaus mehr verbreitete Betriebssystem „Android“.
Wer „Clubhouse“ nutzen möchte, könne es zwar kostenlos installieren und sich unter Angabe seiner Mobilfunknummer einen Benutzernamen reservieren – allerdings nicht unbedingt verwenden. „Denn das geht nur auf Einladung von jemandem, der bereits im ,Club‘ ist“, berichtet die vz NRW.

Erhebliche Datenschutzbedenken der App trübten den Spaß

Die Anwendung stammt demnach von Alpha Exploration Co. in Salt Lake City (USA). Hauptzweck dieser App seien Live-Podcasts – in etwa vergleichbar mit öffentlichen Telefonkonferenzen, an denen jedes „Clubhouse“-Mitglied teilnehmen könne.
Vergangene Woche sei in Deutschland ein Hype um diese App ausgebrochen. Einladungen würden sogar gegen Geld auf Online-Auktionsplattformen angeboten.
Doch erhebliche Datenschutzbedenken trübten den Spaß. Deutsche Nutzer ohne Englischkenntnisse fänden keine Datenschutzerklärung in ihrer Sprache – auch eine Adresse für Datenschutzauskünfte in der EU gebe es nicht. Weil der Dienst in Europa angeboten werde, sehe die Datenschutzgrundverordnung (DSGVO) dies aber vor.

App verlangt Zugriff auf alle gespeicherten Kontakte im Telefonbuch

„Noch kritischer sehen wir aber zwei weitere Punkte“, so Ayten Öksüz, Datenschutzexpertin der vz NRW, und führt aus: „Erstens: Die App verlangt den Zugriff auf alle gespeicherten Kontakte im Telefonbuch – sonst lassen sich keine Einladungen verschicken.“ Wer das erlaube, sollte wissen, dass dadurch Daten anderer an ein US-Unternehmen mit Servern in den USA gesendet würden. Dies sei in der Regel kritisch, „sofern Betroffene dem nicht zugestimmt haben“.
Zweitens würden Gespräche auf den Servern in den USA aufgezeichnet und könnten unter Umständen ausgewertet werden, berichtet Öksüz. Laut Datenschutzerklärung der Betreiber geschehe das, um Beschwerden oder während der „Clubhouse“-Gespräche begangenen Rechtsverstößen nachgehen zu können – als Beispiel werde „Hate Speach“ genannt. Falls kein Teilnehmer etwas Derartiges an die Betreiber meldet, würden Aufnahmen – laut Anbieter – nach dem Schließen des Chatraums gelöscht. „Dennoch sollten sich Teilnehmer überlegen, ob sie das Gesagte auch im Radio sagen würden“, empfiehlt Öksüz.
Noch sei „Clubhouse“ laut eigener Aussage auf seiner Website im „privaten Beta-Status“. So bleibe abzuwarten, ob die kritisierten Punkte bis zum Start für alle (auch ohne Einladung) noch angegangen werden.

Weitere Informationen zum Thema:

datensicherheit.de, 26.01.2021
TikTok: Erneut Schwachstelle entdeckt