Kurz nachdem ein massives Datenleck bei Facebook bekannt wurde ("Swiss IT Magazine"
berichtete), kommt bezüglich
Linkedin Vergleichbares ans Tageslicht. In einem populären Hacker-Forum sei ein Archiv mit 500 Millionen Datensätzen von Linkedin-Nutzern zum Kauf angeboten worden,
meldet "Cybernews" – als Preis wird ein mindestens vierstelliger Dollarbetrag genannt.
Zum Beweis hat der Verfasser des Posts demnach zwei Millionen Records offen beziehungsweise gegen rund zwei Dollar an Forum Credits ins Netz gestellt, unterteilt in vier Dateien. Die geleakten Daten enthalten die vollen Namen und das Geschlecht der betroffenen User, sowie Telefonnummern, Job-bezogene Informationen und Links zu anderen Social-Media-Profilen, nicht aber Passwörter. Die Spezialisten von "Cybernews" haben die Daten untersucht und bestätigen dies. Es sei allerdings nicht klar, ob es sich um aktuelle Linkedin-Profile handle oder ob es Daten seien, die aus früheren Data Breaches stammen.
Die geleakten Daten können etwa für gezieltes Phishing, Spammen von E-Mail-Postfächern und Telefonnummern sowie für Brute-Force-Attacken auf die betroffenen Linkedin-Profile und E-Mail-Konten missbraucht werden. Es wird empfohlen, jetzt besonders sorgsam auf verdächtige Linkedin-Mitteilungen, Kontaktanfragen, E-Mails und SMS zu achten, die Passwörter zum Linkedin-Profil und zu den eigenen E-Mail-Konten zu ändern – möglichst mit einem Passwortmanager, der starke Passwörter generiert – sowie auf allen Online-Konten, wo es möglich ist, Zwei-Faktor-Authentifizierung zu aktivieren.
Linkedin untersucht den Datenklau, geht aber nicht von einem Hacking-Vorfall aus. Es handle sich um lauter öffentlich auf den Profilen zugängliche Daten. Das massenweise Abziehen solcher Informationen, auch Scraping genannt, widerspreche jedoch den Nutzungsbedingungen.
Update – Linkedin hat nach Veröffentlichung des Artikels Stellung genommen:
"Wir ergreifen umfassende Massnahmen, um die Daten zu schützen, die uns Linkedin Mitglieder anvertrauen. Wir haben einen Datensatz untersucht, der angeblich von Linkedin stammt und zum Verkauf angeboten wurde. Dabei haben wir festgestellt, dass es sich tatsächlich um kombinierte Daten einer Reihe von Websites und Unternehmen handelt. Darunter sind unter anderem öffentlich einsehbare Mitgliederprofildaten, die offenbar von Linkedin durch Scraping abgegriffen wurden. Somit handelt es sich nicht um ein Datenleck und es waren keine privaten Daten von Linkedin Nutzern in den Daten enthalten, die wir überprüfen konnten.
Jegliche missbräuchliche Nutzung der Daten unserer Mitglieder, wie beispielsweise Scraping, verstösst gegen die Nutzungsbedingungen von
Linkedin. Der Versuch, Mitgliederdaten für Zwecke zu verwenden, denen Linkedin und unsere Mitglieder nicht zugestimmt haben, wird von uns verfolgt und wir arbeiten daran, die Verantwortlichen ausfindig zu machen und zur Verantwortung zu ziehen.
Weitere Informationen über unsere Richtlinien und wie wir Mitgliederdaten vor Missbrauch schützen
sind hier zu finden."
(ubi)