Erst Facebook dann LinkedIn: Sicherheitsexperten melden, dass Angreifer 500 Millionen Profil-Daten zum Verkauf anbieten.
Update, 12.4.2021: Dem Artikel wurden weitere Infos von LinkedIn hinzugefügt.
Update, 7.4.2021, 12:09 Uhr: Wir haben die Stellungnahme von LinkedIn zu dem Leak hinzugefügt. Update Ende
Ursprüngliche Meldung vom 6.4.2021: Nur kurze Zeit, nachdem publik geworden ist, dass über 530 Millionen Facebook-Nutzerdaten geleakt wurden, folgt die nächste Hiobsbotschaft für Nutzer von sozialen Netzwerken. Wie die Sicherheitsexperten von Cybernews.com am Montag meldeten , wurden offenbar auch die Daten von etwa 500 Millionen Nutzern des Business-Netzwerks LinkedIn entwendet.
Ein Hacker bietet vier Beispieldatensätze mit insgesamt 2 Millionen Daten für zwei US-Dollar in einem Forum als Beweis für den Diebstahl an. Mit dem Hinweis: Für einen mindestens vierstelligen US-Dollar-Betrag sei er bereit, komplett alle 500 Millionen Profildaten zu verkaufen. Eine erste Analyse dieser "Proof-of-Concept"-Datensätze ergab laut Cybernews, dass es sich um echte Daten handle. Enthalten seien private Daten der LinkedIn-Nutzer, darunter deren vollständige Namen, die LinkedIn-IDs, Mail-Adressen, Telefonnummern und Arbeitsplatzinformationen.
Besonders sensible Daten sind in den Datensätzen nicht enthalten, also weder Kreditkarten-Zahlungsdaten, Passwörter oder Ähnliches. Allerdings könnten potenzielle Angreifer die Informationen für gezielte Phishing-Attacken nutzen, weil sie bereits viele Informationen über die Nutzer kennen und so entsprechend die Mails gestalten können. Außerdem seien Spam-Attacken möglich. Mit Brute-Force-Attacken könnten Online-Kriminelle auch versuchen, die Passwörter der Nutzer zu knacken. Denkbar sei auch, dass die bei LinkedIn entwendeten Daten mit anderen bereits entwendeten Datensätzen abgeglichen werden könnten, umso detailliertere Nutzerprofile zu erstellen, die wiederum für Attacken bis hin zu Identitätsdiebstählen verwendet werden könnten.
Die Sicherheitsexperten empfehlen den LinkedIn-Nutzern besonders achtsam bei verdächtigen LinkedIn-Nachrichten zu sein, die von bisher unbekannten Personen stammen. Entsprechend sollte auch verdächtige Mails geachtet werden. Auf keinen Fall sollten die Nutzer auf solche Phishing-Mails antworten oder einen Link anklicken.
Ein LinkedIn-Sprecher äußert sich folgendermaßen über die Berichte zum Leak:
"Während wir dieses Problem noch untersuchen, scheint der veröffentlichte Datensatz öffentlich einsehbare Informationen zu enthalten, die von LinkedIn in Kombination mit Daten, die von anderen Websites oder Unternehmen gesammelt wurden, abgegriffen wurden. Das Abgreifen der Daten unserer Mitglieder von LinkedIn verstößt gegen unsere Nutzungsbedingungen und wir arbeiten ständig daran, unsere Mitglieder und ihre Daten zu schützen"
Update 12.4.2021: LinkedIn liefert weitere Informationen
Inzwischen hat LinkedIn einen der Datensätze untersucht, die angeblich aus dem Netzwerk stammen und zum Verkauf angeboten wurden. "Dabei haben wir festgestellt, dass es sich tatsächlich um kombinierte Daten einer Reihe von Websites und Unternehmen handelt. Darunter sind unter anderem öffentlich einsehbare Mitgliederprofildaten, die offenbar von LinkedIn durch Scraping abgegriffen wurden. Somit handelt es sich nicht um ein Datenleck und es waren keine privaten Daten von LinkedIn-Nutzern in den Daten enthalten, die wir überprüfen konnten", teilt LinkedIn mit.
Scraping verstößt gegen die Nutzungsbedingungen von LinkedIn. Es ist aber blauäugig zu glauben, dass sich Kriminelle lediglich durch ein Verbot abschrecken lassen. Viele LinkedIn-Mitglieder erwarten daher, dass der Betreiber auch geeignete technische Maßnahmen ergreift, um ihre Daten zu schützen. Immerhin verspricht LinkedIn, dass jeder Versuch, Mitgliederdaten für Zwecke zu verwenden, denen LinkedIn und dessen Mitglieder nicht zugestimmt haben, verfolgt werde. Daher arbeite man auch im aktuellen Fall daran, die Verantwortlichen ausfindig zu machen und zur Verantwortung zu ziehen.
Facebook-Daten gestohlen: Hier sehen Sie, ob Sie betroffen sind