Editorial: Hack oder kein Hack?

Clubhouse dementiert ein großes Datenleck, bestätigt aber: Hacker können auslesen, wer Freunde bei Clubhouse hat

Die Skandalküche kocht mal wieder heiß: 3,8 Milliarden Telefonnummern wurden von der noch recht neuen Social-Media-App Clubhouse entwendet. Dabei sind nicht nur User der App betroffen, sondern auch deren Freunde. Die App scannt nämlich das Telefonbuch aller Nutzer, und so wird auch die eigene Nummer auf die Server von Clubhouse transferiert, wenn man nur einen Freund oder Freundin hat, der oder die die eigene Nummer im Telefonbuch hinterlegt hat und Clubhouse nutzt.

Nun muss man aber gleich einschränken: Telefonnummern sind für sich genommen noch nicht viel wert. 0049-171-NNNNNNN ist beispielsweise für die Mehrzahl der siebenstelligen Kombinationen NNNNNNN eine gültige Telefonnummer. Schließlich ist das der erste und immer noch der beliebteste Nummernkreis, aus dem T-Mobile seine Nummern vergibt. Wenn der Leak nun auflistet, welche der 100 Millionen möglichen Werte von NNNNNN (von 0000000 bis 9999999) tatsächlich in irgendwelchen persönlichen Telefonbüchern vorkommen, ist für einen Spammer, der die Datenbank kauft, kaum von Nutzen. Denn weder ist das Vorkommen der Nummer im Leak eine Garantie dafür, dass es die Nummer auch gibt (sie kann ja auch aus einem veralteten Eintrag stammen), noch ist das Nicht-Vorkommen der Nummer ein Hinweis darauf, dass es sie nicht gibt (es kann sich auch einfach um eine Nummer von jemanden handeln, der nicht viele Freunde hat, zumindest aber keine Freunde hat, die Clubhouse nutzen). Namen sind mit den Telefonnummern zum Glück nicht verbunden.

Der Leak enthält allerdings zusätzlich einen Zähler, wie oft die jeweilige Telefonnummer in den Telefonbüchern aller Clubhouse-User gefunden worden sein soll. Ist der Zähler hoch, hat man also viele Clubhouse-Freunde, ist er niedrig, nur wenige, und fehlt die Nummer, hat man keine. Diese Information dürfte ohne weitere Daten, insbesondere den Namen hinter der Nummer, weiterhin nicht viel wert sein. Wer aber eh schon eine User-Datenbank mit allen möglichen legalen und illegalen Daten hat, der kann diese durch die Kombination mit dem Clubhouse-Leak definitiv aufwerten und künftig noch spezifischer filtern. Oder, besser gesagt, "könnte". Denn aller Wahrscheinlichkeit nach sind die Daten nicht echt.

Merkwürdiges Hacker-Posting

Die Probleme beginnen damit, dass das Posting des Leakers, mit dem dieser die Telefonnummern "exklusiv" an den Höchstbietenden zum Kauf anbietet, sich eher wie eine politische Agenda anhört denn ein echtes Verkaufsangebot. So schimpft er darüber, dass GAFA (steht wohl für "Google, Apple, Facebook und Amazon") und Co. aus dem Silicon Valley alle den Prozess des Telefonbuch-Imports benutzen. Sie alle würden Daten von Leuten sammeln, die gar nicht Nutzer ihrer Dienste seien. Das sei eine gefährliche Verletzung der Rechte der Menschen auf Privatsphäre. Nur: Wenn dem Clubhouse-Hacker so sehr an der Privatsphäre gelegen ist, warum macht er die Daten dann öffentlich? Ginge es ihm wirklich um die Privatsphäre, könnte er ja Clubhouse zwingen: "Schaltet den Telefonbuch-Import ab und löscht die alten Daten ODER ich veröffentliche alles!" So scheint dem Hacker hingegen der persönliche Verdienst und/oder die Beschädigung des Images von Clubhouse wichtiger zu sein als der Datenschutz.

Von Clubhouse gibt es inzwischen ein halbherziges Dementi, dass es ein Datenleck gegeben habe. "Halbherzig" deswegen, weil das Pressestatement zugibt, dass es weltweit eine große Anzahl an Bots gäbe, die die Clubhouse-API mit wahllosen Telefonnummern bombardieren würden. Wenn diese dabei einen Zufallstreffer landen, dann würden die Clubhouse-Server "keine nutzeridentifizierbaren Informationen" zurückgeben. Abgesehen von der Frage, was "nutzeridentifizierbare Informationen" (englisch: "user identifiable information") sind, sollte aber eigentlich klar sein, dass die Information, ob jemand Clubhouse-Freunde hat oder nicht, sehr wohl ein personenbezogenes Datum darstellt. Es ist zwar tatsächlich nicht möglich, mit diesem einen Bit einen Nutzer zu identifizieren. Wie bereits geschrieben, ist dieses eine Bit aber durchaus interessant für die, die eh schon alle möglichen Daten über uns sammeln.

Fazit: Die Wahrheit liegt irgendwo zwischen den beiden hier dargestellten Twitter-Postings. Weder war es der große Hack, bei dem das "Telefonbuch der Welt" online gestellt wurde, noch war es nur eine nutzlose Sammlung eh bereits bekannter Telefonnummern. Denn Clubhouse hat indirekt zugegeben, dass es ihre API Angreifern sehr wohl ermöglicht, zumindest in kleinen Happen Daten über Unbeteiligte zu sammeln. Dieser Leak - er ist immer noch online und benötigt es nicht, die eingangs erwähnten zweifelhaften Daten eines zweifelhaften Hackers zu erwerben - steht in keinem Vergleich zu dem Problemen Facebooks, die es lange Zeit über die Graph API ermöglichten, nach einer einfachen Zustimmung nicht nur das Facebook-Account eines Users auszulesen, sondern auch die Accounts aller Freunde dieses Users. Dieses führte schließlich zu dem Datenskandal rund um Cambridge Analytica. Nur macht bekanntermaßen auch Kleinvieh Mist, und alle legalen und erst recht alle illegalen Datensammler sind bereits damit beschäftigt, von der Clubhouse-API sich zu holen, was sich holen lässt.

Weitere Editorials

31.03.24 - Editorial: Die klare Strategie fehlt bei Sky
03.12.23 - Abschaltdatum für DSL 2032: Chancen und Risiken
22.10.23 - Editorial: Diskussion um UKW-Abschaltung völlig unnötig
15.10.23 - Editorial: Darum muss das Handy zwingend geschützt sein
25.06.23 - Editorial: Das muss bei der eSIM künftig besser laufen
29.05.23 - Glasfaser: Angst vor strategischem Überbau
16.04.23 - Warum ein Ende von DVB-T2 HD fahrlässig wäre
19.03.23 - Editorial: Warum Amazon gegen Roku und Google gewinnt
05.03.23 - Editorial: freenet wirft Kunden Tarifwechsel-Faulheit vor?
12.02.23 - Editorial: Kurswechsel bei RTL unausweichlich
15.01.23 - Mobilfunk: Mehr Wettbewerb ist nötig
01.01.23 - Editorial: Trotziger 1&1-Netzstart - Enttäuschung zu erwarten
18.12.22 - Editorial: Bringt Werbung für Disney+ die Wende?
06.11.22 - Editorial: Prime Music kaputt - Amazon als Kulturbanause?
23.10.22 - Editorial: Huawei - Technik vs. Politik
25.09.22 - Editorial: Wende im Mobilfunkmarkt?
18.09.22 - Editorial: Alles muss vernetzt sein?
31.07.22 - Editorial: Wer braucht noch Fernsehen?
24.07.22 - Editorial: Viel Wind um "Nichts"
18.07.22 - "Gemeine Schnittstellen": Zusätzliche Abwehrstrategien geboten
19.06.22 - Editorial: Warum findet die BNetzA teure Drossel-Tarife toll?
12.06.22 - Editorial: StreamOn- & Vodafone-Pass-Ersatz? Das war nix!
05.06.22 - Editorial: Gebrauchtes Handy? Ja, aber bitte neue Software!
22.05.22 - Editorial: EDGE statt 5G SA - Realität vs. Vodafone-Werbung
15.05.22 - Editorial: Streit um UHF-Frequenzen - Kompromisse möglich
01.05.22 - Nach StreamOn-Aus: Die harte Daten-Drossel muss weg
19.04.22 - Neuer Vodafone-Chef: Zeit für echten Wandel?
27.03.22 - Editorial: Es gibt keine Höhepunkte mehr
20.03.22 - Vier Netze in Deutschland: Wie lange wird das so bleiben?
06.03.22 - Editorial: Wir brauchen eine neue Bundesnetzagentur
27.02.22 - Editorial: Wann kommt das nächste große Ding?
20.02.22 - Editorial: Wer zahlt?
13.02.22 - Editorial: Drohen ja, abschalten nein
06.02.22 - Editorial: Integrieren statt Abschalten
30.01.22 - Editorial: Längere Smartphone-Lebensdauer!?
23.01.22 - Editorial: 5G verhindert Chemtrails
16.01.22 - Editorial: App statt Bank!?
09.01.22 - Editorial: 600 Millionen Euro Verlust!?
02.01.22 - Editorial: Weg von Weihnachten!
26.12.21 - Editorial: Zahlen wird teurer

Merk­wür­diges Hacker-Posting

Weitere Edito­rials

Merkwürdiges Hacker-Posting

Weitere Editorials