Wie sicher sind deine Profile auf Insta, TikTok etc.? Wie sich jetzt wieder mal zeigt, nicht wirklich sicher: Social Data, ein Unternehmen, das Social Media-Daten von Influencern an Marketer verkauft, hat laut Comparitech-Forschern eine Datenbank mit über 200 Millionen Social-Media-Profilen frei zugänglich im Internet veröffentlicht. Darunter Daten wie Namen, Bilder, Kontaktinfos etc. Noch dazu ist Social Data nicht astrein an diese Infos gekommen: Denn dieses Scraping zwar öffentlicher Daten widerspricht den Nutzungsbedingungen der meisten Social-Media-Dienste. 
Inhaltsverzeichnis
Betroffene Server wurden abgeschaltet
Die Daten wurden von öffentlich sichtbaren Social-Media-Seiten auf Youtube, TikTok und Instagram genommen. Comparitech entdeckte 3 identische Kopien der geleakten Daten. Es scheint so, dass der Großteil der Daten ursprünglich von Deep Social stammt, einer Firma, die es mittlerweile nicht mehr gibt. Zumindest deuten die Namen der Instagram-Datensätze darauf hin. Nach dieser Entdeckung wand sich Sicherheitsspezialist Diachenko an Deep Social, wo er wiederum an Social Data weitergeleitet wurde. Die Firma reagiert immerhin recht zeitnah auf den Leak, gab diesen zu und schaltete die Server, auf denen die Daten gehostet wurden, 3 Stunden nach Info aus.
Datensammlung legal?
Nichtsdestotrotz ist der riesige Datensatz von Deep Social an sich nicht rechtens: Denn Facebook und Instagram haben Deep Social bereits 2018 aus ihren Marketing APIs verbannt und dem Unternehmen rechtliche Schritte angedroht, sollte es weiterhin Daten von Userprofilen scrapen. Deep Social kündige daraufhin an, seinen Betrieb einzustellen und hat dies offensichtlich auch getan.
Was ist Web-Scraping eigentlich?
Web-Scraping kopiert automatisch massenweise Daten und Informationen von Webseiten bzw. eben sozialen Medien wie im vorliegenden Fall. Social Data behauptet, nur öffentlich zugängliche Daten zu scrapen. Aber selbst das widerspricht den Nutzungsbedingungen von Instagram, Facebook, TikTok und Youtube. Es ist für die Social Media-Unternehmen allerdings schwierig, die Scraping-Bots von normalen Besuchern zu unterscheiden. Meist erfolgt die Reaktion erst zu spät und der Zugriff auf die Nutzerkonten ist bereits erfolgt.
Social Data bestreitet illegales Scraping
Diachenko erhielt von einem Social Data-Sprecher folgendes E-Mail-Statement: „Der negative Konnex zum Wort Leak impliziert, dass die Daten illegal erlangt wurden. Das stimmt so einfach nicht, sämtliche Daten sind für JEDEN frei im Internet zugänglich. Ich wäre Ihnen dankbar, wenn Sie das klarstellen könnten. Jeder könnte jede Person, die in ihren Social-Media-Profilen Telefon oder E-Mail angibt auf die gleiche Weise phishen oder kontaktieren, auch ohne die Existenz der Datenbank […] Soziale Netzwerke selbst geben die Daten an Außenstehende weiter – das ist ihr Geschäft. Diejenigen Nutzer, die keine Informationen zur Verfügung stellen wollen, machen ihre Konten privat.“
Auch Facebook meldete sich zu dem Zwischenfall bei Comparitech per E-Mail zu Wort: „Persönliche Daten aus Instagram abzuschöpfen, ist ein klarer Verstoß gegen unsere Richtlinien. Wir haben Deep Social im Juni 2018 den Zugang zu unserer Plattform entzogen und sie rechtlich dazu aufgefordert, jede weitere Datenerfassung zu unterlassen.“
Wie lange waren die Daten zugänglich?
Ganz klar ist das nicht. Entdeckt wurde die Datenbank von Comparitech am 1. August. Außerdem ist unklar, ob unautorisierte Dritte auf die Daten zugegriffen haben. Die Honeypot-Tests von Comparitech zeigen jedoch, dass Hacker ungesicherte Datenbanken innerhalb weniger Stunden nach dem Leak finden und attackieren können.
Welche Daten wurden geleakt?
Drei identische Kopien der Daten wurden auf drei verschiedenen IPv6-Adressen gehostet. Insgesamt wurden auf jeder dieser Adressen Daten von etwa 235 Millionen Social-Media-Profilen (Instagram, TikTok, Youtube) gespeichert – darunter u. a. folgende: Profilname, Klarname, Profilfoto, Alter u. a. sowie statistische Daten wie Anzahl der Follower, Likes, Zuwachsrate der Follower, Alter der Follower etc. In einer von fünf Datensätzen fanden die Comparitech-Spezialisten stichprobenartig auch eine Telefonnummer oder E-Mailadresse.
Risiken durch geleakte Daten
Leider bergen derartige Leaks natürlich auch Gefahren für die betroffenen User. Besonders das Risiko von Betrugs- und Phishingnachrichten ist hoch. Die Experten empfehlen Instagram- und TikTok-Nutzern, nach derartigen Nachrichten Ausschau zu halten, die entweder direkt verschickt werden oder in den Kommentaren gepostet werden. Auch wenn die Daten öffentlich zugänglich sind, machen die Größe und der Umfang der Datenbank sie anfälliger für großangelegte Attacken. Beispielsweise könnten Betrüger gefälschte Konten anlegen.
Web-Scraping greift weiterhin um sich
Facebook und andere soziale Netzwerke haben sich zwar verschiedenste rechtliche und auch technologische Schritte zur Eindämmung von Web-Scraping überlegt. Aber in der Praxis werden leider nach wie vor die öffentlichen Profile von Usern abgegrast. Prominentes Beispiel ist die Gesichtserkennung von Clearview.ai, die Profile für Fotos gescrapt hat – millionenfach.
Erstellt am: 28. August 2020
