Angeblich nur öffentlich einsehbare Daten abgegriffen

LinkedIn dementiert Diebstahl von privaten Profildaten

Panagiotis "Takis" Kolokythas arbeitet seit Juni 2000 für pcwelt.de. Seine Leidenschaft gilt IT-News, die er möglichst schnell und gründlich recherchiert an die Leser weitergeben möchte. Er hat den Überblick über die Entwicklungen in den wichtigsten Tech-Bereichen, entsprechend vielfältig ist das Themenspektrum seiner Artikel: Windows, Soft- und Freeware, Hardware, Smartphones, soziale Netzwerke, Web-Technologien, Smart Home, Gadgets, Drohnen… Er steht regelmäßig für PCWELT.tv vor der Kamera und hat ein eigenes wöchentliches IT-News-Videoformat: Tech-Up Weekly.
Nachdem Sicherheitsexperten melden, dass Angreifer 500 Millionen Profildaten des Business-Netzwerks zum Verkauf anbieten, hat LinkedIn den Vorfall geprüft: Es handle sich dabei um öffentlich einsehbare Daten, die mit Daten anderer Websites kombiniert wurden. Gehackt worden sei man nicht.
In einem Forum werden 500 Millionen angebliche LinkedIn-Profildaten für einen mindestens vierstelligen Dollar-Betrag zum Verkauf angeboten.
In einem Forum werden 500 Millionen angebliche LinkedIn-Profildaten für einen mindestens vierstelligen Dollar-Betrag zum Verkauf angeboten.
Foto: Natee Meepian - shutterstock.com

Nur kurze Zeit, nachdem publik geworden ist, dass über 530 Millionen Facebook-Nutzerdaten gestohlen wurden, folgt womöglich die nächste Hiobsbotschaft für Nutzer von sozialen Netzwerken. Die Sicherheitsexperten von Cybernews.com meldeten, dass offenbar auch Daten von etwa 500 Millionen Nutzern des Business-Netzwerks LinkedIn Daten entwendet wurden.

Demnach werden vier Beispieldatensätze mit insgesamt 2 Millionen Daten für zwei Dollar in einem Forum als Beweis für den Diebstahl angeboten. Mit dem Hinweis: Für einen mindestens vierstelligen Dollar-Betrag seien komplett alle 500 Millionen Profildaten erhältlich. Eine erste Analyse dieser "Proof-of-Concept"-Datensätze ergab laut Cybernews, dass es sich um echte Daten handelt. Enthalten seien private Daten der LinkedIn-Nutzer, darunter deren vollständiger Name, die LinkedIn-IDs, Mail-Adressen, Telefonnummern und Arbeitsplatzinformationen.

Update 10.4., 16 Uhr 25: Inzwischen hat LinkedIn einen der Datensätz untersucht, die angeblich aus dem Netzwerk stammen und zum Verkauf angeboten wurden. "Dabei haben wir festgestellt, dass es sich tatsächlich um kombinierte Daten einer Reihe von Websites und Unternehmen handelt. Darunter sind unter anderem öffentlich einsehbare Mitgliederprofildaten, die offenbar von LinkedIn durch Scraping abgegriffen wurden. Somit handelt es sich nicht um ein Datenleck und es waren keine privaten Daten von LinkedIn Nutzern in den Daten enthalten, die wir überprüfen konnten", teilt LinkedIn mit.

Scraping verstößt gegen die Nutzungsbedingungen von LinkedIn. Es ist aber blauäugig zu glauben, dass sich Kriminelle lediglich durch ein Verbot abschrecken lassen. Viele LinkedIn-Mitglieder erwarten daher, dass der Betreiber auch geeignete technische Maßnahmen ergreift, um ihre Daten zu schützen. Immerhin verspricht LinkedIn, dass jeder Versuch, Mitgliederdaten für Zwecke zu verwenden, denen LinkedIn und dessen Mitglieder nicht zugestimmt haben, verfolgt werde. Daher arbeite man auch im aktuellen Fall daran, die Verantwortlichen ausfindig zu machen und zur Verantwortung zu ziehen.

Update, 7.4.2021, 11 Uhr: Auf Anfrage von ChannelPartner hat LinkedIn mitgeteilt, dass es den Vorfall noch untersucht. Allerdings scheinen die veröffentlichten Datensätze "öffentlich sichtbare Informationen zu enthalten, die von LinkedIn abgezogen und mit Daten von anderen Websites oder Firmen aggregiert wurden", teilt das Unternehmen mit.

Was mit den LinkedIn-Daten getan werden kann

Bei LinkedIn fielen den Tätern offenbar keine vertrauliche Daten, also keine Kreditkarten-Zahlungsdaten, Passwörter oder Ähnliches, in die Hände. Allerdings könnten potenzielle Angreifer die Informationen für gezielte Phishing-Attacken nutzen, weil sie bereits viele Informationen über die Nutzer kennen und so Mails entsprechend gestalten können. Außerdem sind Spam-Attacken möglich.

Mit Brute-Force-Attacken könnten Online-Kriminelle auch versuchen, die Passwörter der Nutzer zu knacken. Denkbar sei auch, dass die bei LinkedIn gestohlenen Daten mit anderen bereits gestohlenen Datensätzen abgeglichen werden, um so detailliertere Nutzerprofile zu erstellen, die wiederum für Attacken bis hin zu Identitätsdiebstählen verwendet werden könnten.

Sicherheitsexperten empfehlen LinkedIn-Nutzern bei verdächtigen LinkedIn-Nachrichten von bisher unbekannten Personen besonders achtsam zu sein. Entsprechend sollte auch auf verdächtige E-Mails geachtet werden. Auf keinen Fall sollten Nutzer auf solche Phishing-Mails antworten oder einen darin enthaltenen Link anklicken.

Mehr zum Thema: Wenn der Hacker über LinkedIn kommt

Zur Startseite