LinkedIn-Datendiebstahl: 700 Millionen Nutzerprofile angeblich "nur zum Spaß" erbeutet
Vor nicht einmal einem Monat tauchte eine Datenbank auf, in welcher detaillierte aktuelle Informationen von mehr als 90 Prozent aller Nutzer von LinkedIn enthalten waren. Ein Unbekannter hatte sich der 700 Millionen Datensätze bemächtigt und wollte diese zu Geld machen. Ein Leck in den Systemen des Business-Netzwerks lag dem Angriff zwar angeblich nicht zugrunde, dennoch beunruhigte der Vorgang viele von dessen Nutzern. Wie viele Hacker oder Phisher die Informationen zum geforderten Preis von 5.000 US-Dollar kauften, ist nicht bekannt.
LinkedIn-Datenklau angeblich "nur zum Spaß"Angeblich war die Aktion allerdings nicht ernst gemeint. Der
BBC sagte der Hacker, der sich im Gespräch mit dem Fernsehsender als "Tom Liner" bezeichnete, er habe die Daten nur "zum Spaß" erbeutet. Es habe ihn mehrere Monate gekostet, die Nutzerprofile von LinkedIn zu extrahieren. "Es war ziemlich kompliziert", so der Angreifer. Setze man nämlich zu viele Anfragen in kürzester Zeit ab, werde man vom System permanent ausgesperrt. Er musste daher laut seiner Aussage die API des Netzwerks hacken, um ans Ziel zu gelangen. Es sei ihm gelungen, die Software von LinkedIn zu täuschen und zur Herausgabe großer Datenmengen zu veranlassen, ohne dass ein Alarm ausgelöst wurde.
Business-Netzwerk streitet API-Schwachstelle abDiese Aussage steht in gewissem Widerspruch zur offiziellen Stellungnahme von LinkedIn: Das Unternehmen hatte kurz nach der Veröffentlichung der Datenbank abgestritten, dass die Nutzerprofile mithilfe der hauseigenen API erbeutet wurden. Vielmehr sei der Angriff mittels Scraping der Webseite durchgeführt worden. Zudem seien Informationen aus anderen Quellen beschafft worden. Einige Sicherheitsexperten wie etwa Amir Hadžipašić von SIS Intelligence bezweifeln das jedoch und fordern eine bessere Absicherung von APIs und der von diesen zur Verfügung gestellten Daten. Ähnlicher Auffassung ist der BBC zufolge auch Troy Hunt von "have i been pwned". Er fordert, Unternehmen wie Facebook und LinkedIn dürften ihre Verantwortung für die Nutzerdaten nicht länger herunterspielen.
Facebook-Datenbank ebenfalls erbeutetDer Hacker "Tom Liner" sagte der BBC darüber hinaus, er habe auch den früheren Angriff auf Facebook durchgeführt und dabei eine ähnliche Technik eingesetzt wie beim LinkedIn-Hack. Der Einbruch beim weltweit größten Sozialen Netzwerk geschah bereits im April dieses Jahres, dabei erbeutete der Angreifer rund 500 Millionen Datensätze, welche anschließend in Hacker-Foren kursierten. Die Folge war eine massive Zunahme von SMS-Spam. Wer befürchtet, von den beiden Hacks betroffen zu sein, kann seine E-Mail-Adresse auf haveibeenpwned.com überprüfen lassen.