Daten von 500 Millionen Linkedin-Nutzern sind im Netz verfügbar – und doch handelt es sich dabei offenbar um keinen Hack.

Foto: MARTIN BUREAU / REUTERS

Folgt nach dem riesigen Datenleck bei Facebook gleich das nächste? "Nein", meint Linkedin-Besitzer Microsoft. Und doch lässt man unbestritten, dass derzeit eine Sammlung mit Daten von rund 500 Millionen Nutzern des Karriere-Netzwerks kursiert. Die Erklärung für diesen vermeintlichen Widerspruch ist ebenso profan wie eine Erinnerung daran, dass man immer genau überlegen sollte, was man so alles auf diversen Plattformen postet.

Scraping

Die in einem Hackerforum verkauften Daten dürften einfach aus öffentlich von LinkedIn-Nutzern selbst geposteten Informationen basieren, berichtet "Cybernews". Sie entstammen also keinem Hack und auch keiner Sicherheitslücke, sie wurden "gescrapt", wie der Fachterminus dafür heißt – also nach und nach abgegriffen und dann in einem Datensatz kombiniert. Dazu passt auch, dass die Daten zu einem recht niedrigen vierstelligen Dollarpreis angeboten wurden.

In einer öffentlichen Stellungnahme betont Linkedin denn auch, dass es nach dem aktuellen Wissensstand kein Datenleck gab. Die Untersuchung laufe derzeit zwar noch, es sehe aber so aus, als seien alle zusätzliche Informationen in der Sammlung aus anderen Quellen hinzugefügt worden – also von externen Webseiten oder anderen Quellen.

Regelwerk

Zudem betont Linkedin, dass Scraping gegen die eigenen Nutzungsbedingungen verstößt. Immerhin haben die eigenen User nur der Veröffentlichung auf Linkedin zugestimmt – nicht an anderer Stelle. Ein Passus, mit dem man sich eigentlich vor allem von Konkurrenten abzugrenzen versucht, der aber natürlich in diesem Fall ebenfalls seine Gültigkeit hat. Den betroffenen Usern bringt dieser Hinweis allerdings recht wenig, dass die Täter geschnappt werden, scheint unwahrscheinlich. Immerhin war LinkedIn die massenhafte Datensammlung zuvor noch nicht aufgefallen.

Auswirkungen

Auch wenn die Daten also genau genommen von den Nutzern selbst zur Verfügung gestellt wurden, bietet ihre Sammlung in so einem Datensatz trotzdem neue Angriffspunkte für Kriminelle. Immerhin sind darin jede Menge persönliche Daten zentral versammelt, von Name über Telefonnummer und Details zum Beruf bis zu Informationen über Konten in anderen sozialen Netzwerken. Für Angreifer ist dies ein gefundenes Fressen, bietet dies doch einen Ansatzpunkt für allerlei Attacken – von Phishing-Angriffen bis zu Tipps zum Erraten von Passwörtern oder um betrügerische Anrufe glaubhafter zu machen.

Die Größe des Datensatzes legt jedenfalls nahe, dass darin fast alle Linkedin-User enthalten sind. Derzeit hat da Karrierenetzwerk nach eigenen Angaben 740 Millionen User in mehr als 200 Ländern. Unklar ist derzeit noch, wie aktuell der Datensatz ist, also wann das Scraping unternommen wurde.

Vorgeschichte

Es ist übrigens nicht das erste Mal, dass ein großer Linkedin-Datensatz im Netz kursiert. Bereits im Jahr 2016 wurden Mail-Adressen und teilweise auch gehashte Passwörter von 164 Millionen Linkedin-Usern öffentlich. Damals stand dahinter aber tatsächlich ein Hack, der bereits 2012 vorgenommen wurde, aber erst Jahre später bekannt wurde. (Andreas Proschofsky, 9.4.2021)