LinkedIn: Erneut hunderte Millionen Nutzerdatensätze zum Verkauf angeboten

In einem Untergrundforum werden Daten von rund 700 Millionen LinkedIn-Nutzern feilgeboten – 200 Millionen mehr als bei einem ähnlichen Vorfall von April 2021.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 75 Beiträge

(Bild: welcomia/Shutterstock.com)

Update
Von
  • Olivia von Westernhagen

Das Team der Plattform RestorePrivacy hat in einem bekannten Hackerforum einen Beitrag entdeckt, in dem seit Anfang vergangener Woche personenbezogene Daten von rund 700 Millionen – und damit von fast allen – Nutzern des LinkedIn-Netzwerks zum Kauf angeboten werden.

Eine von dem Team analysierte "Kostprobe" mit einer Million Datensätzen habe sich als authentisch erwiesen, heißt es im RestorePrivacy-Blog. Das heise-Security-Team hat sich die Daten ebenfalls angeschaut und teilt diese Einschätzung – unter anderem konnten wir auch aktuelle Daten deutscher Nutzer verifizieren. Wie die Daten in die Hände des unter dem Pseudonym "TomLiner" auftretenden Verkäufers gelangten, ist unklar. LinkedIn hat sich bislang nicht zu dem Vorfall geäußert.

Eine Stichprobe der geleakten Daten durch heise Security erwies sich als echt.

(Bild: heise Security)

Der Stichprobe durch heise Security sowie einem Blogeintrag von RestorePrivacy zufolge enthält das Leak LinkedIn-Nutzerdatensätze mit vollständigen Namen, E-Mail- und Postadressen, Standortdaten, Telefonnummnern, LinkedIn-Nutzernamen und Profil-URLs sowie Angaben zu Geschlecht, persönlichem und beruflichem Werdegang und weiteren Social-Media-Accounts der jeweiligen Nutzer.

Sofern der Verkäufer tatsächlich im Besitz von insgesamt 700 Millionen Datensätzen wäre, entspräche dies fast 93 Prozent aller LinkedIn-Nutzer. LinkedIns eigenen Statistiken zufolge nutzen derzeit weltweit rund 756 Millionen Menschen das soziale Netzwerk für den Business-Bereich. Festzuhalten bleibt allerdings, dass lediglich ein Bruchteil der Daten öffentlich – genauer: gegen acht "Credits" der internen Forumswährung – einsehbar ist und stichprobenartig auf Echtheit geprüft wurde. Somit lässt sich keinerlei Einschätzung zu Echtheit oder "Qualität" der übrigen Daten treffen.

Ein Auszug aus dem angebotenen Datensatz ist für acht "Credits" abrufbar.

(Bild: Screenshot (heise online))

Das aktuelle Verkaufsangebot steht im selben Forum wie eine ähnliche LinkedIn-Datensammlung, die bereits Anfang April dieses Jahres zum Kauf angeboten wurde. Das damalige Leak enthielt laut Angaben des Verkäufers – der übrigens ein anderes Profil nutzte als jenes beim aktuellen Angebot – Daten von rund 500 Millionen LinkedIn-Nutzern. Der damalige Verkäufer hatte für die 500 Millionen Datensätze einen zu verhandelnden Betrag "mindestens im vierstelligen Bereich" verlangt; im Falle des aktuellen Leaks und Postings fehlt eine solche Angabe, der Preis ist offenbar Verhandlungssache.

Gegenüber RestorePrivacy gab der aktuelle Verkäufer TomLine an, das LinkedIn-API missbräuchlich angezapft zu haben, um nach Daten zu crawlen, die Nutzer des Netzwerks hochgeladen hätten. Von einem Datenleck im herkömmlichen Sinne ist also wohl nicht auszugehen. LinkedIn selbst hat sich zum aktuellen Vorfall noch nicht geäußert.

Nach dem Vorfall vom April hatte das Unternehmen mitgeteilt, dass "öffentlich einsehbare Informationen (...) von LinkedIn abgegriffen und mit Daten von anderen Websites oder Unternehmen kombiniert" worden seien. Demnach hätte es sich zumindest damals also um bloßes "Scraping" öffentlich verfügbarer Daten gehandelt, die anschließend mit nicht-öffentlichen Daten (damals unter anderem Telefonnummern und E-Mail-Adressen) kombiniert wurden.

Die Angaben des aktuellen Verkäufers könnte allerdings Anlass zu Spekulationen über Angriffsmöglichkeiten auf das LinkedIn-API geben. Denn natürlich sollte es grundsätzlich weder möglich sein, über ein API unberechtigt Nutzerdaten abzugreifen, noch ohne besondere Zugriffsrechte nicht-öffentliche Daten wie E-Mail-Adressen oder Telefonnummern einzusehen. heise Security hat bezüglich möglicher API-Schwachstellen bei LinkedIn nachgehakt, bislang jedoch noch keine Antwort erhalten.

Updates 29.06.21, 14:20 + 30.06.21, 16:20:

LinkedIn hat uns unmittelbar nach dem Erscheinen dieses Artikels das folgende Statement geschickt, dessen Wortlaut exakt derselbe wie beim Vorfall von April ist:

"Aktuell ist die Untersuchung des Vorfalls noch nicht abgeschlossen. Jedoch scheint der veröffentlichte Datensatz ausschließlich öffentlich einsehbare Informationen zu enthalten, die von LinkedIn abgegriffen und mit Daten anderer Quellen kombiniert wurden. Es handelt sich nicht um ein LinkedIn Datenleck und unsere Untersuchung hat ergeben, dass keine privaten Mitgliederdaten von LinkedIn veröffentlicht wurden. Dieses sogenannte Scraping von Mitgliederdaten verstößt gegen unsere Nutzungsbedingungen und wir arbeiten ständig daran, unsere Mitglieder und ihre Daten zu schützen."

Weitere Informationen und insbesondere auch LinkedIns Reaktion auf die Nachfrage bezüglich API-Angriffsmöglichkeiten haben wir in einer neuen Meldung zusammengefasst:

Lesen Sie auch

(ovw)