Datenschutz

Editorial: Hack oder kein Hack?

Club­house demen­tiert ein großes Daten­leck, bestä­tigt aber: Hacker können auslesen, wer Freunde bei Club­house hat

Die Skan­dal­küche kocht mal wieder heiß: 3,8 Milli­arden Tele­fon­num­mern wurden von der noch recht neuen Social-Media-App Club­house entwendet. Dabei sind nicht nur User der App betroffen, sondern auch deren Freunde. Die App scannt nämlich das Tele­fon­buch aller Nutzer, und so wird auch die eigene Nummer auf die Server von Club­house trans­feriert, wenn man nur einen Freund oder Freundin hat, der oder die die eigene Nummer im Tele­fon­buch hinter­legt hat und Club­house nutzt.

Nun muss man aber gleich einschränken: Tele­fon­num­mern sind für sich genommen noch nicht viel wert. 0049-171-NNNNNNN ist beispiels­weise für die Mehr­zahl der sieben­stel­ligen Kombi­nationen NNNNNNN eine gültige Tele­fon­nummer. Schließ­lich ist das der erste und immer noch der belieb­teste Nummern­kreis, aus dem T-Mobile seine Nummern vergibt. Wenn der Leak nun auflistet, welche der 100 Millionen mögli­chen Werte von NNNNNN (von 0000000 bis 9999999) tatsäch­lich in irgend­wel­chen persön­lichen Tele­fon­büchern vorkommen, ist für einen Spammer, der die Daten­bank kauft, kaum von Nutzen. Denn weder ist das Vorkommen der Nummer im Leak eine Garantie dafür, dass es die Nummer auch gibt (sie kann ja auch aus einem veral­teten Eintrag stammen), noch ist das Nicht-Vorkommen der Nummer ein Hinweis darauf, dass es sie nicht gibt (es kann sich auch einfach um eine Nummer von jemanden handeln, der nicht viele Freunde hat, zumin­dest aber keine Freunde hat, die Club­house nutzen). Namen sind mit den Tele­fon­num­mern zum Glück nicht verbunden.

Der Leak enthält aller­dings zusätz­lich einen Zähler, wie oft die jewei­lige Tele­fon­nummer in den Tele­fon­büchern aller Club­house-User gefunden worden sein soll. Ist der Zähler hoch, hat man also viele Club­house-Freunde, ist er niedrig, nur wenige, und fehlt die Nummer, hat man keine. Diese Infor­mation dürfte ohne weitere Daten, insbe­son­dere den Namen hinter der Nummer, weiterhin nicht viel wert sein. Wer aber eh schon eine User-Daten­bank mit allen mögli­chen legalen und ille­galen Daten hat, der kann diese durch die Kombi­nation mit dem Club­house-Leak defi­nitiv aufwerten und künftig noch spezi­fischer filtern. Oder, besser gesagt, "könnte". Denn aller Wahr­schein­lich­keit nach sind die Daten nicht echt.

Merk­wür­diges Hacker-Posting

Die Probleme beginnen damit, dass das Posting des Leakers, mit dem dieser die Tele­fon­num­mern "exklusiv" an den Höchst­bie­tenden zum Kauf anbietet, sich eher wie eine poli­tische Agenda anhört denn ein echtes Verkaufs­angebot. So schimpft er darüber, dass GAFA (steht wohl für "Google, Apple, Face­book und Amazon") und Co. aus dem Silicon Valley alle den Prozess des Tele­fon­buch-Imports benutzen. Sie alle würden Daten von Leuten sammeln, die gar nicht Nutzer ihrer Dienste seien. Das sei eine gefähr­liche Verlet­zung der Rechte der Menschen auf Privat­sphäre. Nur: Wenn dem Club­house-Hacker so sehr an der Privat­sphäre gelegen ist, warum macht er die Daten dann öffent­lich? Ginge es ihm wirk­lich um die Privat­sphäre, könnte er ja Club­house zwingen: "Schaltet den Tele­fon­buch-Import ab und löscht die alten Daten ODER ich veröf­fent­liche alles!" So scheint dem Hacker hingegen der persön­liche Verdienst und/oder die Beschä­digung des Images von Club­house wich­tiger zu sein als der Daten­schutz.

Von Club­house gibt es inzwi­schen ein halb­her­ziges Dementi, dass es ein Daten­leck gegeben habe. "Halb­herzig" deswegen, weil das Pres­sestate­ment zugibt, dass es welt­weit eine große Anzahl an Bots gäbe, die die Club­house-API mit wahl­losen Tele­fon­num­mern bombar­dieren würden. Wenn diese dabei einen Zufalls­treffer landen, dann würden die Club­house-Server "keine nutzer­iden­tifi­zier­baren Infor­mationen" zurück­geben. Abge­sehen von der Frage, was "nutzer­iden­tifi­zier­bare Infor­mationen" (englisch: "user iden­tifiable infor­mation") sind, sollte aber eigent­lich klar sein, dass die Infor­mation, ob jemand Club­house-Freunde hat oder nicht, sehr wohl ein perso­nen­bezo­genes Datum darstellt. Es ist zwar tatsäch­lich nicht möglich, mit diesem einen Bit einen Nutzer zu iden­tifi­zieren. Wie bereits geschrieben, ist dieses eine Bit aber durchaus inter­essant für die, die eh schon alle mögli­chen Daten über uns sammeln.

Fazit: Die Wahr­heit liegt irgendwo zwischen den beiden hier darge­stellten Twitter-Postings. Weder war es der große Hack, bei dem das "Tele­fon­buch der Welt" online gestellt wurde, noch war es nur eine nutz­lose Samm­lung eh bereits bekannter Tele­fon­num­mern. Denn Club­house hat indi­rekt zuge­geben, dass es ihre API Angrei­fern sehr wohl ermög­licht, zumin­dest in kleinen Happen Daten über Unbe­tei­ligte zu sammeln. Dieser Leak - er ist immer noch online und benö­tigt es nicht, die eingangs erwähnten zwei­fel­haften Daten eines zwei­fel­haften Hackers zu erwerben - steht in keinem Vergleich zu dem Problemen Face­books, die es lange Zeit über die Graph API ermög­lichten, nach einer einfa­chen Zustim­mung nicht nur das Face­book-Account eines Users auszu­lesen, sondern auch die Accounts aller Freunde dieses Users. Dieses führte schließ­lich zu dem Daten­skandal rund um Cambridge Analy­tica. Nur macht bekann­ter­maßen auch Klein­vieh Mist, und alle legalen und erst recht alle ille­galen Daten­sammler sind bereits damit beschäf­tigt, von der Club­house-API sich zu holen, was sich holen lässt.

Weitere Edito­rials