Clubhouse-Leak - Experte «Wenn jemand deine Nummer gespeichert hat, ist es zu spät»
Publiziert

Experte zu Clubhouse-Leak«Wenn jemand deine Nummer gespeichert hat, ist es zu spät»

Hacker verkaufen im Darknet 3,8 Milliarden Handynummern. Diese sollen von der Audio-App Clubhouse stammen. Die Zahl der Cyberangriffe wird deswegen zunehmen, sagt ein Experte.

von
Tobias Bolzern
1 / 9
Clubhouse war Anfang 2021 der Hype der Stunde. 

Clubhouse war Anfang 2021 der Hype der Stunde.

Reuters
Nun bieten Hacker im Darknet einen Datensatz mit 3,8 Milliarden Handynummern an. 

Nun bieten Hacker im Darknet einen Datensatz mit 3,8 Milliarden Handynummern an.

Twitter/Marc Ruef
Diese sollen von Clubhouse-Nutzerinnen und Nutzern und deren Umfeld stammen. 

Diese sollen von Clubhouse-Nutzerinnen und Nutzern und deren Umfeld stammen.

20min/Taddeo Cerletti

Darum gehts

  • Im Darknet werden Milliarden Handynummern von Clubhouse angeboten.

  • Darunter sind auch Angaben von Personen, die die App nie genutzt haben.

  • Der Sicherheitsexperte Marc Ruef warnt nun vor zunehmenden Angriffen.

Herr Ruef*, Hacker wollen im Besitz von 3,8 Milliarden Handynummern von der App Clubhouse sein. Sie haben die Meldung auf Twitter publik gemacht. Woher stammt diese ursprünglich?

Wir führen für unsere Kunden sogenanntes Darknet-Monitoring durch, bei dem wir dort nach auffälligen Angeboten und Kommunikationen suchen. Dabei ist uns das Angebot für die Clubhouse-Daten aufgefallen.

Wie zuverlässig ist diese Quelle im Darknet?

Der Benutzer mit dem entsprechenden Angebot ist «berühmt-berüchtigt». Er ist zwar schon länger dabei, aber ist auch schon mit dubiosen Angeboten aufgefallen. Bei dem Clubhouse-Angebot hat der Anbieter ein Sample mit 83 Millionen Nummern aus Japan zur Verfügung gestellt. Manche Analysten behaupten, dass diese nur zufällig generiert seien. Stichproben zeigen aber, dass es sich ziemlich sicher um echte Daten handelt.

Wie können denn Milliarden Nummern abhanden kommen?

Man könnte meinen, dass es sich um einen Leak handelt, bei dem jemand die internen Daten gestohlen hat. Da es sich jedoch nur um einen Teil der von Clubhouse erfassten Daten handelt, gehen wir davon aus, dass diese über eine sogenannte API zusammengetragen wurde. Eine API stellt eine Schnittstelle zur Verfügung, mit der man automatisiert mit einem Dienst kommunizieren kann. Diese API scheint hier keine Einschränkungen oder Alarmierungen gehabt zu haben, weshalb die enorme Datensammlung uneingeschränkt erfolgen konnte. Mit dem Problem war auch Facebook Anfang 2021 konfrontiert, als von der Plattform Daten von 533 Millionen Nutzerinnen und Nutzern zusammengetragen und herumgereicht wurden.

Wie schlimm ist der Vorfall denn für Userinnen und User weltweit?

Im Sample sind lediglich die Telefonnummer und ein Score zu finden – andere identifizierende Daten wie Name, Anschrift oder gar Passwörter sind nicht enthalten. Der sogenannte Score gibt an, wie oft eine Telefonnummer bei der Synchronisierung der Kontaktdaten der Benutzer hochgeladen wurde. Dadurch lassen sich Echtheit und Popularität einer Nummer identifizieren.

Sie sprechen damit einen Punkt an, der oft kritisiert wurde: Nutzerinnen und Nutzer der App gaben den Entwicklern Zugriff auf das Adressbuch. Kann ich mich davor überhaupt schützen?

Viele Dienste erlauben das Synchronisieren der Kontaktdaten des Smartphones. Wenn jemand meine Nummer gespeichert hat und diese hochlädt, ist es zu spät. Man müsste sehr restriktiv mit der Herausgabe seiner Nummer sein und diese oft wechseln. Doch das ist nicht praktikabel.

Einige zweifeln an der Echtheit der Daten, Clubhouse dementiert ein Leck. Was kann man dazu sagen?

Ohne die Interna zu kennen, ist es schwierig zu einem Schluss zu kommen. Doch egal, ob die Daten echt sind oder nicht, es sollte uns bewusst machen, dass das Synchronisieren von Kontaktdaten ein bisher gern vernachlässigtes Risiko darstellt. Und zwar auch für Leute, die sich bei einem Dienst nicht angemeldet haben.

*Marc Ruef ist IT-Sicherheitsexperte der Zürcher Firma Scip AG.

Vorsicht vor Spam

Beim National Cyber Security Centre, NCSC sind bisher keine Meldungen zum Vorfall eingegangen, wie es auf Anfrage heisst. Um auf den Wert von 3,8 Milliarden Nummern zu kommen, müsste aber jeder der rund 600‘000 Nutzerinnen und Nutzer (Stand Dezember 2020) mehr als 6000 Handynummern synchronisiert haben. Das erscheint dem NCSC sehr unwahrscheinlich. Man könne nicht beurteilen, ob die Angreifer im Besitz der Nummern sind. Ein Datenabfluss aus der App sei aber unwahrscheinlich. Denkbar wäre, dass die Angreifer im Darknet mehrere Datensätze gekauft und diese dann zu einem grossen zusammengefügt haben. Allein mit Telefonnummern lasse sich auf Angreiferseite jedoch nicht viel anfangen. Die Nummern könnten aber für Spam oder unerwünschte Werbeanrufe missbraucht werden. Auch wäre es möglich, dass erpresserische Mails zum Beispiel Fake-Sextortion mit den Telefonnummern ergänzt werden, um bei den Opfern mehr Druck auszuüben. Das funktioniere jedoch nur, wenn die Nummern einer Person zugeordnet werden können, schreibt das NCSC.

My 20 Minuten

Als Mitglied wirst du Teil der 20-Minuten-Community und profitierst täglich von tollen Benefits und exklusiven Wettbewerben!

Deine Meinung

17 Kommentare