Automatisiertes DatensammelnScraping von Clubhouse-Daten

Nachdem Millionen Datensätze von Facebook- und LinkedIn-Usern im Netz aufgetaucht waren, kursieren dort jetzt auch die Daten von 1,3 Millionen Nutzenden des sozialen Netzwerks Clubhouse. Was ist da los?

Anfang April waren die Daten von rund 533 Millionen Facebook-Nutzenden im Netz aufgetaucht. Laut Facebook war das eine alte Geschichte und kein Problem. Letzte Woche kam dann die Nachricht: Ein Datensatz von rund 500 Millionen LinkedIn-Nutzenden wird im Netz zum Verkauf angeboten. Und jetzt kursiert die Information, dass eine Datenbank von 1,3 Millionen Clubhouse-Nutzenden in einem Hacker-Forum aufgetaucht ist.

Kein Hacking, sondern Scraping

Um Hacking handelt es sich dabei aber wohl nicht, sagt Deutschlandfunk-Nova-Netzreporter Michael Gessat. Bei Clubhouse sind laut Cybernews keine super-kritischen Daten betroffen, sondern nur solche, die Freunde der Nutzenden ohnehin zu Gesicht bekommen hätten. Offenbar ist es ein Fall von Scraping: Dabei greifen Datensammler automatisiert Daten ab, die an sich nicht wirklich geheim sind – die aber trotzdem auch nicht dafür vorgesehen waren, dass jede und jeder sie automatisiert abgreifen kann.

"Beim Scraping greifen Datensammler automatisiert Daten ab, die eigentlich nur für die 'Freunde' sichtbar sind."
Michael Gessat, Deutschlandfunk-Nova-Netzreporter

Eigentlich war das mal ein Grundprinzip: Manche Infos auf einer Social-Media-Plattform sind nur für "Freunde" abrufbar. Inzwischen haben aber eigentlich alle Plattformen einen Mechanismus eingebaut, mit dem ich als neuer User sofort loslegen kann, erklärt Michael Gessat: Wer sich etwa neu bei Whatsapp anmeldet, lädt standardmäßig sein oder ihr eigenes Kontaktverzeichnis ins System hoch.

Wo bleibt der Datenschutz?

Danach kann sie oder er sich sofort mit allen Kontakten, die auch bei Whatsapp sind, verbinden. Das ist zwar toll für die Plattform und für den neuen User – datenschutzrechtlich aber völlig unrechtmäßig. Eigentlich könnten wir jede und jeden, die oder der unsere Kontaktdaten ohne unsere Einwilligung irgendwo hochlädt, verklagen.

"Ich könnte eigentlich jede und jeden, die oder der meine Kontaktdaten ohne meine Einwilligung irgendwo hochlädt, ganz übel verklagen."
Michael Gessat, Deutschlandfunk-Nova-Netzreporter

Genau dieser Mechanismus sorgt offenbar momentan für die Aneinanderreihung von Datenpannen. Das Problem: Er funktioniert anscheinend auch dann, wenn ein fiktives Adressbuch mit Millionen Kontakten hochgeladen wird. Anschließend hat man Zugriff auf die Daten dieser Millionen "Freunde". Die Computerzeitung c’t und der Onlinedienst Heise spekulieren, dass das bei den früheren und neueren Zugriffen auf die Facebook-Daten genauso gelaufen sein könnte.

Möglicherweise haben die Datensammler also zunächst ein komplettes Rufnummernverzeichnis aller Mobilfunknummern in einem Land erstellt. Anschließend haben sie einen neuen Account eingerichtet, das angebliche Kontaktverzeichnis hochgeladen und so kinderleicht Zugriff auf die Daten der Millionen angeblichen Freunde und Kontakte erhalten. Diese wurden dann automatisiert runtergeladen, fertig.

Maßnahmen gegen Scraping

Der Gedanke liegt nahe: Ein Nutzer mit Millionen Kontakten ist ziemlich unglaubwürdig. Eigentlich sollte das ein Soziales Netzwerk schnell herausfiltern können. Möglicherweise hat Facebook mittlerweile auch solche Maßnahmen gegen Scraping eingebaut, sagt Michael Gessat.

Offiziell stehen sie auf dem Standpunkt: Die kursierenden Datensätze sind entweder alt oder ja ohnehin öffentlich, deshalb müssen wir die Betroffenen nicht extra darüber informieren. Über diese Nicht-Information sind allerdings deutsche Bundestagsabgeordnete ziemlich genervt, berichtet Netzpolitik.org. Clubhouse hat gegen solche – eigentlich banalen – Scraping-Attacken bisher offenbar noch keine Abwehrmechanismen eingerichtet.

"Scraping beleuchtet wieder einmal das Grunddilemma: Kann ich den Beteuerungen der Social-Media-Anbieter über die Weitergabe meiner Daten eigentlich trauen?"
Michael Gessat, Deutschlandfunk-Nova-Netzreporter

Auch wenn Scraping kein Hacking ist: Das Grundproblem ist die Frage, ob Nutzende den Anbietern von Sozialen Netzwerken datenschutzrechtlich trauen können, findet unser Netzreporter.