Ungesicherte Datenbank: Fast 235 Millionen YouTube-, TikTok- und Instagram-Profile für jedermann zugänglich

Ein Sicherheitsforscher hat eine Datenbank mit fast 235 Millionen aus dem Internet zusammengetragenen Social-Media-Profilen gefunden, die höchstwahrscheinlich Social Data zuzuordnen ist.

öffentliche Nutzerdaten sind außerordentlich wertvoll und ein begehrtes Gut für viele Unternehmen. Soziale Medien sind eine ideale Quelle für eben diese Daten. Viele Nutzer haben öffentlich zugängliche Profile, so dass Unternehmen wie Deep Social diese Daten sammeln und zusammenführen können.

Bob Diachenko von Comparitech fand im Netz drei identische Kopien einer Datenbank mit Profilen von YouTube, TikTok und Instagram. Die gefundene Datenbank gehört Social Data. Es deutet aber vieles darauf hin, dass die Daten ursprünglich von Deep Social stammen, einem Unternehmen, das in der Vergangenheit Daten aus dem Internet abschöpfte und mittlerweile den Geschäftsbetrieb eingestellt hat.

Nachdem Social-Media-Unternehmen die Praktiken von Deep Social auf die Spur gekommen waren, verboten sie die Nutzung ihrer APIs zur Sammlung von Daten. Es gibt aber weiterhin zahlreiche Unternehmen, die ein ähnliches Geschäftsmodell pflegen.

Laut Comparitech umfassten die Daten Namen, Kontaktinformationen, persönliche Informationen, Bilder und Statistiken. Schon wenige Stunden nach Bekanntwerden des Vorfalls nahm Social Data die Datenbanken vom Netz.

Auf den ersten Blick erscheint es unwahrscheinlich, dass sensible Daten zu einem Nutzer in einem Social-Media-Profil zu finden sind, doch werden beim so genannten Scraping Daten von gleich mehreren Quellen abgeschöpft. Stellt man die Daten aus diesen Quellen zusammen, entsteht ein klareres Bild der digitalen Person mit Tendenzen, Konsumgewohnheiten, politischen Einstellungen, Wohnort und einer Vielzahl weiterer Informationen.

Neben den rechtlichen Aspekten liegt das größte Problem hier darin, dass Social-Media-Unternehmen diese Art der Datensammlung untersagen, da sie gegen ihre Nutzungsrichtlinien verstößt. Dies hat Unternehmen in der Vergangenheit jedoch nicht davon abgehalten, Daten zu sammeln. Es ist äußerst schwierig, den Datenverkehr von Unternehmen wie Social Data zu identifizieren.

Social Data bestreitet zwar die Sammlung von Daten, die nicht ohnehin öffentlich zugänglich sind, doch schon das Abschöpfen und Abgleichen von öffentlichen Daten ist nicht erlaubt.

„Jeder könnte Personen, die in ihren sozialen Netzwerkprofilen Telefonnummer und E-Mail-Adresse angeben, auf die gleiche Weise phishen oder kontaktieren, auch ohne das Vorliegen der Datenbank“, so ein Unternehmenssprecher für Social Data in einer E-Mail an Comparitech. „Soziale Netzwerke selbst machen die Daten für Dritte zugänglich –- das ist ihr Geschäftsmodell – öffentliche Netzwerke und Profile. Nutzer, die keine Daten zur Verfügung stellen möchten, setzen ihre Benutzerkonten auf privat.“

 

rn