Linkedin-Datenleck und Voila-App

Bereits im April dieses Jahres wurde über ein Datenleck bei Linkedin berichtet, wobei die Informationen von 500 Millionen Mitgliedern zum Verkauf angeboten worden waren. Nun muß diese Zahl korrigiert werden: Nach Medienberichten sind in einem Hacker-Forum die Datensätze von 700 Millionen der Linkedin-Nutzer aufgetaucht – die Plattform zählt derzeit rund 756 Millionen Teilnehmer. Unter den gestohlenen Einzelheiten über die Menschen befinden sich deren Namen, E-Mail-Adressen, Telefonnummern und Anschriften. Kreditkarten-Daten sollen jedoch nicht dabei sein. Ob die Daten aus dem 2016 entstandenen Datenleck stammen oder aus einem erneuten Angriff, ist unbekannt.

Wir können jedoch sagen: Dieser Fall ähnelt unserer Nachforschung zur beliebten Handy-App TikTok. Dort waren wir in der Lage gewesen, die TikTok-API, also Schnittstelle, auszulesen und eine Datenbank mit Informationen über die Benutzer aufzubauen. Bezüglich Linkedin sieht es so aus, dass die Hacker jene Daten ebenfalls über die Linkedin-API erhalten haben, die sie also möglicherweise knackten. Beide Zwischenfälle untermauern, dass API-Sicherheit sehr wichtig ist und ernst genommen werden sollte, während Unternehmer ihre Anwendung und IT-Infrastruktur einrichten. Über Clouds laufende Anwendungen werden hauptsächlich mit einer sogenannten Kernanwendungslogik aufgebaut. Dies heißt, dass sie mit vielen APIs verbunden ist, welche die Daten der Anwendung liefern. Wenn nun die APIs ungesichert bleiben, sind sie dem Risiko einer Attacke ausgesetzt, insbesondere dann, wenn es sich um API-Code-Schwachstellen handelt oder unbegrenzte API-Aufrufe durchgeführt werden. So etwas kann zu einem großen Datenleck führen, wie wir es bezüglich TikTok berichtet haben und in diesem Linkedin-Fall erneut sehen.

Die Anwendung Voila (Voila für iPhone und Android) ist in der Lage, aus dem Foto eines Nutzers einen Zeichentrick-Avatar zu erstellen. Dieser Cartoon mag oft lustig oder süß aussehen und der Vorgang vielen Menschen Spaß machen, doch aus er Freude kann schnell Leid werden, falls die App inkorrekt mit den Nutzerdaten und deren Absicherung umgeht. Es gibt bereits Diskussionen über den Datenschutz bezüglich dieses Programms.

Wir haben uns die Anwendung kurz angeschaut und folgende Bedenken sind zu äußern: Voila sendet die Porträts der Nutzer an seinen Server für die Verarbeitung; diese werden nicht lokal auf dem Telefon bearbeitet, wie wahrscheinlich viele Menschen denken. Im Zuge dessen vermerkt die App allerdings die besondere und zuordbare Installation-Identifikation (vdid, ID), welche unter Android-Systemen von Google Play erstellt und mit dem Smartphone des Nutzers verbunden wird. Somit sind die Fotos an diese ID gebunden und die Gesichtsbilder der Nutzer damit identifizierbar, werden also nicht anonymisiert übertragen und bearbeitet – dies steht allerdings ehrlich in den Datenschutzbestimmungen des Unternehmens. Geschieht nun aber eine virtuelle Attacke durch irgendeine Art von Hacker-Gruppierung, liegt die Gefahr auf der Hand, denn ID und zugehöriges Foto des Gesichts können gestohlen und zu verschiedenen Zwecken mißbraucht werden. Sie lockt eine große Datenbank von oft hochaufgelösten Porträts mit eindeutiger Identifikation des jeweiligen Menschen. Darüber hinaus könnte auch das Unternehmen selbst, oder eine angehängte Firma, diese Informationen für weitere Zwecke ausschlachten, die den Nutzern kaum recht sein dürften. Diesem Risiko sollten sich alle Nutzer oder Neulinge der Anwendung bewusst sein.

Gut an der Anwendung sind diese Merkmale: Sie wurde von einer registrierten und somit gesetzlich genehmigten LLP-Firma in Großbritannien geschrieben und verlangt nur das Minimum an Zugriffsrechten und Berechtigungen auf dem Smartphone, welche für die Funktionen notwendig sind. Die App stellt sicher, daß auf dem Bild nur ein Gesicht zu sehen ist, sonst nicht, und schickt erst nach dieser Bestätigung die Bilder an den Server. Die Kommunikation mit dem Server wird durch HTTPS verschlüsselt und ist somit ab Werk geschützt. Voila nutzt außerdem bekannte Open-Source-Bibliotheken für die Programmzeilen, soweit dies möglich ist.

Somit lässt sich nach unserer kleinen Untersuchung zusammenfassen, dass die Entwickler der Anwendung vieles richtig gemacht haben, um die Privatsphäre und Daten der Nutzer zu schützen. Allerdings bleibt ein großer Wermutstropfen bezüglich der Verknüpfung von Fotos mit der ID, wodurch Nutzer enttarnt werden können.