Editorial: Hack oder kein Hack?
Die Skandalküche kocht mal wieder heiß: 3,8 Milliarden Telefonnummern wurden von der noch recht neuen Social-Media-App Clubhouse entwendet. Dabei sind nicht nur User der App betroffen, sondern auch deren Freunde. Die App scannt nämlich das Telefonbuch aller Nutzer, und so wird auch die eigene Nummer auf die Server von Clubhouse transferiert, wenn man nur einen Freund oder Freundin hat, der oder die die eigene Nummer im Telefonbuch hinterlegt hat und Clubhouse nutzt.
Nun muss man aber gleich einschränken: Telefonnummern sind für sich genommen noch nicht viel wert. 0049-171-NNNNNNN ist beispielsweise für die Mehrzahl der siebenstelligen Kombinationen NNNNNNN eine gültige Telefonnummer. Schließlich ist das der erste und immer noch der beliebteste Nummernkreis, aus dem T-Mobile seine Nummern vergibt. Wenn der Leak nun auflistet, welche der 100 Millionen möglichen Werte von NNNNNN (von 0000000 bis 9999999) tatsächlich in irgendwelchen persönlichen Telefonbüchern vorkommen, ist für einen Spammer, der die Datenbank kauft, kaum von Nutzen. Denn weder ist das Vorkommen der Nummer im Leak eine Garantie dafür, dass es die Nummer auch gibt (sie kann ja auch aus einem veralteten Eintrag stammen), noch ist das Nicht-Vorkommen der Nummer ein Hinweis darauf, dass es sie nicht gibt (es kann sich auch einfach um eine Nummer von jemanden handeln, der nicht viele Freunde hat, zumindest aber keine Freunde hat, die Clubhouse nutzen). Namen sind mit den Telefonnummern zum Glück nicht verbunden.Der Leak enthält allerdings zusätzlich einen Zähler, wie oft die jeweilige Telefonnummer in den Telefonbüchern aller Clubhouse-User gefunden worden sein soll. Ist der Zähler hoch, hat man also viele Clubhouse-Freunde, ist er niedrig, nur wenige, und fehlt die Nummer, hat man keine. Diese Information dürfte ohne weitere Daten, insbesondere den Namen hinter der Nummer, weiterhin nicht viel wert sein. Wer aber eh schon eine User-Datenbank mit allen möglichen legalen und illegalen Daten hat, der kann diese durch die Kombination mit dem Clubhouse-Leak definitiv aufwerten und künftig noch spezifischer filtern. Oder, besser gesagt, "könnte". Denn aller Wahrscheinlichkeit nach sind die Daten nicht echt.
Merkwürdiges Hacker-Posting
Die Probleme beginnen damit, dass das Posting des Leakers, mit dem dieser die Telefonnummern "exklusiv" an den Höchstbietenden zum Kauf anbietet, sich eher wie eine politische Agenda anhört denn ein echtes Verkaufsangebot. So schimpft er darüber, dass GAFA (steht wohl für "Google, Apple, Facebook und Amazon") und Co. aus dem Silicon Valley alle den Prozess des Telefonbuch-Imports benutzen. Sie alle würden Daten von Leuten sammeln, die gar nicht Nutzer ihrer Dienste seien. Das sei eine gefährliche Verletzung der Rechte der Menschen auf Privatsphäre. Nur: Wenn dem Clubhouse-Hacker so sehr an der Privatsphäre gelegen ist, warum macht er die Daten dann öffentlich? Ginge es ihm wirklich um die Privatsphäre, könnte er ja Clubhouse zwingen: "Schaltet den Telefonbuch-Import ab und löscht die alten Daten ODER ich veröffentliche alles!" So scheint dem Hacker hingegen der persönliche Verdienst und/oder die Beschädigung des Images von Clubhouse wichtiger zu sein als der Datenschutz.
Von Clubhouse gibt es inzwischen ein halbherziges Dementi, dass es ein Datenleck gegeben habe. "Halbherzig" deswegen, weil das Pressestatement zugibt, dass es weltweit eine große Anzahl an Bots gäbe, die die Clubhouse-API mit wahllosen Telefonnummern bombardieren würden. Wenn diese dabei einen Zufallstreffer landen, dann würden die Clubhouse-Server "keine nutzeridentifizierbaren Informationen" zurückgeben. Abgesehen von der Frage, was "nutzeridentifizierbare Informationen" (englisch: "user identifiable information") sind, sollte aber eigentlich klar sein, dass die Information, ob jemand Clubhouse-Freunde hat oder nicht, sehr wohl ein personenbezogenes Datum darstellt. Es ist zwar tatsächlich nicht möglich, mit diesem einen Bit einen Nutzer zu identifizieren. Wie bereits geschrieben, ist dieses eine Bit aber durchaus interessant für die, die eh schon alle möglichen Daten über uns sammeln.
Fazit: Die Wahrheit liegt irgendwo zwischen den beiden hier dargestellten Twitter-Postings. Weder war es der große Hack, bei dem das "Telefonbuch der Welt" online gestellt wurde, noch war es nur eine nutzlose Sammlung eh bereits bekannter Telefonnummern. Denn Clubhouse hat indirekt zugegeben, dass es ihre API Angreifern sehr wohl ermöglicht, zumindest in kleinen Happen Daten über Unbeteiligte zu sammeln. Dieser Leak - er ist immer noch online und benötigt es nicht, die eingangs erwähnten zweifelhaften Daten eines zweifelhaften Hackers zu erwerben - steht in keinem Vergleich zu dem Problemen Facebooks, die es lange Zeit über die Graph API ermöglichten, nach einer einfachen Zustimmung nicht nur das Facebook-Account eines Users auszulesen, sondern auch die Accounts aller Freunde dieses Users. Dieses führte schließlich zu dem Datenskandal rund um Cambridge Analytica. Nur macht bekanntermaßen auch Kleinvieh Mist, und alle legalen und erst recht alle illegalen Datensammler sind bereits damit beschäftigt, von der Clubhouse-API sich zu holen, was sich holen lässt.