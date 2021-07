In einem Forum im Darknet kündigt ein anonymer Benutzer an, einen kompletten Satz aller Telefonnummern aus den Adressbüchern von Clubhouse-Nutzern zu besitzen und diesen an einen Höchstbietenden zu verkaufen. Clubhouse ist ein spezieller Social-Media-Dienst für Audio-Chaträume. Angeblich soll es sich um 3,8 Milliarden Telefonnummern handeln: diejenigen der Nutzer der Clubhouse-App sowie aller ihrer Adressbuch-Kontakte, die die App womöglich gar nicht installiert haben. Doch die Sache ist zweifelhaft und das Unternehmen Clubhouse hat bereits einen Leak dementiert. Der Schweizer Security-Spezialist Marc Ruef berichtete zuerst darüber auf Twitter.

Leaker kritisiert Datensammelei und hofft auf DSGVO

Ruef zeigt dort einen Screenshot eines Darknet-Forenposts, in dem ein Nutzer mit dem unbescheidenen Namen "God" (Gott) seinen Leak anpreist. Die angeblich erbeuteten 3,8 Milliarden Telefonnummern sollen Mobil- und Festnetznummern von Privatpersonen und "professionals" darstellen. Die Quelle sei eine "geheime Datenbank", die Clubhouse "in Echtzeit" aktualisiere, sobald im Adressbuch eines Clubhouse-Nutzers ein neuer Kontakt auftauche. Die Telefonnummern seien mit einer Punktzahl versehen: Je öfter eine Telefonnummer in der Datenbank auftauche, desto höher sei der Wert.

Der Forennutzer "God" kündigt in seinem Posting an, den Datensatz bei einer Privatauktion am 4. September versteigern zu wollen. Er werde nur exklusiv an eine einzige Person verkaufen und diese müsse "ernsthaft" interessiert sein. Tatsächlich greift die Clubhouse-App über Adressbücher der App-Nutzer auch auf die Telefonnummern von Personen zu, die den Dienst nicht nutzen (wie es auch manche Messenger-Dienste tun). An diesem Vorgehen hat "God" eine deutliche Kritik: Clubhouse sowie die großen Digitalkonzerne Google, Apple, Facebook und Amazon sammelten und verwerteten Daten unbeteiligter Nutzer, was das Menschenrecht auf Schutz der Privatsphäre verletze. Eigentlich müsse die EU-Datenschutzgrundverordnung (englisch GDPR) Unternehmen für diese Praktiken bestrafen – nun sei es an der Zeit zu beobachten, ob die Verordnung Clubhouse tatsächlich treffe.

Der Darknet-Nutzer veröffentlicht außerdem ein Beispiel seiner Sammlung mit gut 83 Millionen Telefonnummern aus Japan. Diesen Beispieldatensatz haben sich mehrere Spezialisten für IT-Security genauer angesehen und kommen zu einem vernichtenden Urteil: Weil der Satz nichts als unverbundene Telefonnummern ohne jede weitere Angabe zur Nutzeridentität enthalte, sei er nichts wert – und die ganze Sache sei womöglich nur ein Schwindel. Eine solche Sammlung von Zahlen könne man genauso gut per Skript mit Zufallswerten anlegen oder aus öffentlich zugänglichen Telefonnummern-Verzeichnissen willkürlich zusammenstellen. Selbst wenn es 3,8 Milliarden geleakte Telefonnummern gebe, lasse sich aus dieser Datensammlung so gut wie nichts herauslesen. Die Moderation im Darknet-Forum hat das Posting bereits mit dem Hinweis "Bad sample" versehen – die Beispieldaten taugen nichts.

Das Unternehmen hinter Clubhouse äußerte sich bereits zu dem angeblichen Leak und dementierte einen Angriff auf seine Systeme. "Es gab keinen Datenleak bei Clubhouse", heißt es in einer Stellungnahme des Unternehmens, die heise online vorliegt. "Es gibt eine Reihe von Bots, die Milliarden von zufälligen Telefonnummern generieren. Für den Fall, dass eine dieser zufälligen Nummern aufgrund eines mathematischen Zufalls auf unserer Plattform existiert, gibt die API von Clubhouse keine benutzeridentifizierbaren Informationen zurück. Datenschutz und Sicherheit sind für Clubhouse von größter Bedeutung und wir investieren weiterhin in branchenführende Sicherheitspraktiken. Clubhouse verwendet keine Cookies und verkauft keine persönlichen Daten an Dritte."

Clubhouse: kurzer Hype, mangelnder Datenschutz und ein ernster Leak

Die noch relativ neue App Clubhouse hatte zu Beginn der Coronavirus-Pandemie große Aufmerksamkeit erhalten. Sie bietet Live-Podcasts, ursprünglich nur mit geladenen Teilnehmern. Derzeit sind ungefähr zehn Millionen Nutzer registriert. Zunächst gab es die Clubhouse-App nur für iOS, inzwischen hat auch die Android-App die Testphase verlassen. Außerdem muss man nun nicht mehr auf eine Einladung zu einem Audio-Chat durch einen registrierten Nutzer hoffen, mit dem Ende des Beta-Tests öffnet sich Clubhouse für alle Nutzer.

Der Dienst hatte von Beginn an Kritik auf sich gezogen: etwa wegen mangelnden Datenschutzes, fehlender Moderation sowie wegen eines fehlenden Impressums auf der Website. Sehr viel ernster als der jetzige Vorfall war zudem ein echter Leak von Nutzerdaten vom April dieses Jahres: Dabei tauchten 1,3 Millionen Nutzerdaten von Clubhouse in einem Forum auf, inklusive Real- und Profilnamen und Verbindungen zu Instagram- und Twitterkonten.

[Update 25.7.2021 16:08 Uhr:] Stellungnahme in Absatz 5 ergänzt.

(tiw)