![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Beim seit Monaten gehypten Startup Cloubhouse hat es ein Datenleck gegeben. Eine SQL-Datenbank mit 1,3 Millionen Benutzerdaten ist in einem Hacker-Forum aufgetaucht. Hier ein Blick auf das vermeintliche Datenleck, von dem Clubhouse sagt: \"Kein Hack, die Profildaten der Nutzer kann jeder per App oder API abrufen\" und einige schmutzige Details zu Clubhouse.<\/p>\n
<\/p>\n
Clubhouse ist eine Social-Media-App, zur Zeit nur f\u00fcr iOS verf\u00fcgbar, des US-Anbieter Alpha Exploration aus Salt Lake City (Utah). Im Gegensatz zu anderen Social Media-Diensten, wo es um Text (Facebook, Twitter), Fotos (Instagram, PInterest) oder Videos (TikTok) geht, fokussiert Clubhouse sich auf Audio. Der Dienst erm\u00f6glicht Teilnehmern, virtuellen Gespr\u00e4chsrunden zuzuh\u00f6ren und ggf. auch an Gespr\u00e4chen teilzunehmen. Bis zu diesem Zeitpunkt ist noch alles in Ordnung, wenn man meint, das zu brauchen. Das No-Go kommt, wenn man sich ein wenig mit der Plattform befasst.<\/p>\n
Das Besondere an Clubhouse: Die Teilnahme ist nur durch eine Einladung eines aktiven Clubhouse-Nutzers m\u00f6glich. Die Einladungen gingen an wirkliche und vermeintliche Influencer. Die Macher setzen auf eine virale Verbreitung, bei der das Angebot verknappt wird. Als \u201aZugpferde' dienten<\/a> in Amerika Paris Hilton, Ashton Kutcher oder Oprah Winfrey. In Deutschland lie\u00dfen sich Joko Winterscheidt, Dunja Hayali und FDP-Chef Christian Lindner (Digital first, Bedenken second), sowie die Digitalministerin im Bundeskanzleramt, Dorothee B\u00e4r (CSU) vor den Karren spannen, indem die Personen in Clubhouse-R\u00e4umen an Diskussion teilnahmen. Ob es dem Ego schmeichelte oder man sich neue Zuschauer- bzw. W\u00e4hlerschichten erobern wollte, wei\u00df ich nicht.<\/p>\n Auch ein Ministerpr\u00e4sident von Th\u00fcringen, Herr Ramelow, war sich nicht zu schade, auf Clubhouse \u00fcber das \"Merkelchen\" und die Vorliebe, bei Bund-L\u00e4nder-Beratungen zu Corona mal gerne Candy-Crush-Saga auf seinem Handy zu spielen, zu plaudern, wie man z.B. hier<\/a> lesen kann.<\/p>\n Frau Dorothee B\u00e4r geriet wegen dieses Clubhouse-Auftritts dann in die Kritik – eine Digitalministerin sollte sich schon bewusst sein, auf welches Pflaster sie sich begibt (siehe unten). Spiegel Online hat in diesem Artikel<\/a> die Reaktion von Frau B\u00e4r thematisiert – die Kurzfassung: Frau B\u00e4r warnt davor, Innovation \u00bbmit der Datenschutzkeule zu zerschlagen\u00ab. Ich gestehe, ich war in diesem Augenblick echt sprachlos (passiert mir selten). Zeigt, welche Knallchargen in Berlin und andernorts Politik machen.<\/p>\n Im Sinne von unfairer Dialektik, die aber sehr gut ins Bild passt, noch ein Verweist auf diesen Artikel in Handelsblatt, Frau Julia Reuss<\/em>, Lebenspartnerin von Allzweckwaffe und Verkehrsminister Andreas Scheuer (CSU), war B\u00fcroleiterin von Digitalministerin im Bundeskanzleramt, Dorothee B\u00e4r (CSU), wechselt aber als Lobbyistin zu Facebook.<\/p><\/blockquote>\n Noch was zum Begriff \"n\u00fctzliche Idioten\", weil sich Leute dr\u00fcber beschwerten. Bei Personen, die weit im \u00f6ffentlichen Rampenlicht stehen, sollte man erwarten k\u00f6nnen, dass diese sich etwas \u00fcber das Gesch\u00e4ftsmodell (siehe folgende Abs\u00e4tze) informieren, bevor sie sich \u00f6ffentlichkeitswirksam vor den Karren eines Unternehmens spannen lassen. Ich denke, es w\u00e4re ausgesprochen klug f\u00fcr die oben genannten Personen gewesen, da eher Abstinenz zu \u00fcben. So sieht es f\u00fcr mich so aus, als ob sich die Leute als \"n\u00fctzliche Idioten\" vor einen bestimmten Karren spannen lie\u00dfen (zumal ich in meinen Social Media-Blasen mitbekam, dass Leute pl\u00f6tzlich ganz hei\u00df auf eine Clubhouse-Einladung waren, weil der und der doch da auch schon mal aktiv war).<\/p>\n Die schmutzige Seite von Clubhouse, wo die vermeintlichen Influencer als \"n\u00fctzliche Idioten\" gebraucht werden: Die App forderte lange Zeit nach der Installation den Zugriff auf die Kontaktdaten des Smartphones und las alle Kontaktdaten. Diese wurden an Server in den USA \u00fcbertragen. Ergo m\u00fcsste der App-Nutzer vor der Freigabe die schriftliche Erlaubnis aller Kontakte einholen, andernfalls ist die Nutzung schlicht schon ein dicker Versto\u00df gegen die DSGVO. Ich hatte das Ganze im Blog-Beitrag Finger weg von der Social-Media-App Clubhouse<\/a> thematisiert. Und es gibt diesen englischsprachigen Artikel<\/a> mit dem Titel \"die Leute m\u00f6gen ihre Drogendealer und Therapeuten einladen, damit die App deren Telefonkontakte abgreifen k\u00f6nne\", der eigentlich keinen Zweifel l\u00e4sst, wessen geistiges Kind die Clubhouse-Macher sind.<\/p>\n Ich erinnere mich aber, Mitte M\u00e4rz 2021 gelesen zu haben, dass Clubhouse nach enormem \u00f6ffentlichen Druck zugesagt habe, nicht mehr auf die Kontakte der Adressb\u00fccher zuzugreifen (dieser Artikel<\/a> greift das auf). Allerdings zeichnet Clubhouse m.W. nach wie vor alle Gespr\u00e4che in den virtuellen R\u00e4umen auf – und der neueste Artikel<\/a> in Zeit Online berichtet davon, dass Clubhouse-Nutzer nun mit ihren Gespr\u00e4chen Geld sogar verdienen k\u00f6nnen. Der datenschutztechnische Alptraum von Clubhouse wird (zum meiner \u00dcberraschung) in diesem englischsprachigen Beitrag<\/a> sehr gut seziert.\u00a0heise berichtete<\/a> im Januar 2021, dass die Verbraucherschutzzentralen Clubhouse wegen solcher M\u00e4ngel sogar abgemahnt habe. Unter diesem Aspekt kann man den oben genannten Teilnehmern, wenn man es sehr wohlwollend sieht, ziemliche Blau\u00e4ugigkeit vorwerfen. Bei Frau Beer und Herrn Lindner h\u00e4tten aber alle Alarmglocken schrillen m\u00fcssen.<\/p>\n Geht man die obigen Informationssplitter durch, d\u00fcrfte auch Leuten, die nicht \"die hellste Kerze auf der Torte\" sind, irgendwie klar werden, dass Clubhouse ein sicherheits- und datenschutztechnischer Alptraum ist. Dass die Clubhouse-App Hackern zahlreiche Angriffsm\u00f6glichkeiten bietet, hatte Spiegel Online bereits Ende Januar 2021 in diesem Beitrag<\/a> thematisiert. Ein Sicherheitsforscher hatte sich die App vorgenommen und eine Reihe Schwachstellen gefunden, \u00fcber die sich Nutzer gezielt aussperren, Daten abrufen und Konten \u00fcbernehmen lie\u00dfen. Nur Ignoranten konnten ab diesem Zeitpunkt auf Clubhouse fliegen.<\/p>\n Im Februar 2021 wurde dann bekannt, dass es einen Datenschutzvorfall bei Clubhouse<\/a> gab. Ich hatte es hier im Blog nicht thematisiert, aber mal die Presseinformation von Sicherheitsanbieter Tenable nochmals angeschaut. Ein Entwickler in China hatte eine Open-Source-App entwickelt, mit der Android-Benutzer auf Clubhouse, was eigentlich nur f\u00fcr iPhone verf\u00fcgbar ist, zugreifen konnten. Eindringlinge konnten so auch Clubhouse-Audio-Feeds aus mehreren R\u00e4umen auf ihre eigene Website streamen. Clubhouse hat den Benutzer inzwischen dauerhaft gesperrt und Schutzma\u00dfnahmen angek\u00fcndigt, um weitere Verst\u00f6\u00dfe zu verhindern.<\/p>\n Tenable meinte, es k\u00f6nnte ja auch kriminelle Personen geben, die Gespr\u00e4che f\u00fchren und \/ oder als Geisterbenutzer (nicht in einem Raum sichtbar, aber in der Lage zu chatten) in \u00f6ffentlichen und privaten R\u00e4umen sprechen und gegen die Auflagen der App in Sachen Datenschutz und Diskretion versto\u00dfen. Es besteht auch die Wahrscheinlichkeit, dass Schwachstellen auf der gesamten Plattform verbleiben, die noch entdeckt und offengelegt werden m\u00fcssen. Die SIcherheitsexperten von Tenable hofften, dass Clubhouse einen offiziellen Offenlegungsprozess f\u00fcr Schwachstelle einf\u00fchrt, damit Sicherheitsprofis dabei helfen k\u00f6nnen, die wachsende Plattform und letztendlich seine Benutzer besser zu sch\u00fctzen. Auch Avira warnte, dass die Gespr\u00e4che nicht Ende-zu-Ende-verschl\u00fcsselt \u00fcbertragen wurden und so von Dritten abgegriffen werden konnten.<\/p>\n Gestern haben mich Sicherheitsforscher von CyberNews per Mail informiert, dass sie auf eine SQL-Datenbank gesto\u00dfen sind, die 1,3 Millionen Datens\u00e4tze von Clubhouse-Benutzern gesto\u00dfen sind, die in einem Hackerforum zum Kauf angeboten wird.<\/p>\n Die geleakte Datenbank enth\u00e4lt eine Vielzahl von benutzerbezogenen Informationen aus Clubhouse-Profilen, darunter:<\/p>\n In diesem CyberNews-Artikel<\/a> finden sich ein Beispiel f\u00fcr die betreffenden Daten und weitere Details. Solche Datensammlungen sind nat\u00fcrlich ein gefundenes Fressen f\u00fcr Phisher und Cyber-Kriminelle, die Zieladressen ben\u00f6tigen.<\/p>\n Aber hey, dass ist ja nicht wirklich ein Problem, wie man staunend von Clubhouse in folgendem Tweet<\/a> erf\u00e4hrt. Denn die Macher schreiben, dass man nicht gehackt worden sei, oder dass es einen Datenschutzvorfall gegeben habe (der obige Fall der Android-App wurde nicht thematisiert).<\/p>\n Vielmehr schreiben die Clubhouse-Macher, dass sich die Daten jederzeit per App oder \u00fcber die API abrufen lie\u00dfen, da die Clubhouse-Profile \u00f6ffentlich seien. Damit reiht sich Clubhouse in die Riege von Facebook (Hacker publiziert 533 Millionen Telefonnummern von Facebook-Nutzern<\/a>) und LinkedIn (Datenleck: 500 Millionen LinkedIn-Nutzerdaten zum Verkauf in Untergrundforum<\/a>) ein, wo Nutzerdaten ebenfalls \u00fcber APIs oder aus angeblich alten Lecks in Datenbanken zusammen gef\u00fchrt wurden. Na denn, wenn's dem Wohle der Nutzerschaft dient …<\/p>\n Erg\u00e4nzung:<\/strong> Sicherheitsforscher von CyberNews haben sich nochmals per Mail bei mir gemeldet und sich \u00fcber die schnelle\u00a0Reaktion von Clubhouse auf den Vorfall gewundert. Sie fandes es verwirrend, dass Clubhouse erkl\u00e4rte, dass das Unternehmen \"keine Datenschutverletzung sieht oder gehackt wurde\" und dass die Daten von 1,3 Millionen Menschen, die in einem Hackerforum gepostet wurden, \"alle \u00f6ffentlichen Profilinformationen aus [der Clubhouse] App sind, auf die jeder \u00fcber die App oder [ihre] API zugreifen kann\".<\/p>\n Dave Hatter, Cybersecurity-Experte bei der in Cincinnati ans\u00e4ssigen Cybersecurity-Firma IntrustIT, meint dazu, dass der Zugriff auf Benutzerinformationen \u00fcber eine App-API nichts ist, wor\u00fcber Social-Media-Unternehmen generell gl\u00fccklich sein sollten.<\/p>\n Mantas Sasnauskas, Senior Information Security Researcher bei CyberNews, sagt, dass der Dump der Nutzerdaten ein potenzielles Datenschutzproblem innerhalb der Social-Media-Plattform selbst offenbart: \"Die Art und Weise, wie die Clubhouse-App aufgebaut ist, erlaubt es jedem mit einem Token oder \u00fcber eine API, den gesamten Bestand an \u00f6ffentlichen Clubhouse-Benutzerprofilinformationen abzufragen, und es scheint, dass das Token nicht abl\u00e4uft.\" Mehr Informationen haben die Sicherheitsforscher in diesem Beitrag<\/a> zusammen getragen. Wenn ich mir dann die obigen Ausf\u00fchrungen zu Clubhous ansehe, kann ich nur Jedem raten, einen weiten Bogen um die App und den Dienst zu machen – egal welche Influencer dort herum turnen.<\/p>\n","protected":false},"excerpt":{"rendered":" Beim seit Monaten gehypten Startup Cloubhouse hat es ein Datenleck gegeben. Eine SQL-Datenbank mit 1,3 Millionen Benutzerdaten ist in einem Hacker-Forum aufgetaucht. Hier ein Blick auf das vermeintliche Datenleck, von dem Clubhouse sagt: \"Kein Hack, die Profildaten der Nutzer kann … Weiterlesen Schmutzige Seiten von Clubhouse<\/h3>\n
Sicherheitsl\u00fccken, ein Hack und das \"Datenleck\"<\/h2>\n
Ein Hack erm\u00f6glichte Android<\/h3>\n
1,3 Millionen Datens\u00e4tze im Darknet<\/h3>\n
![\"Clubhouse-Datenleck\"](\"https:\/\/i.imgur.com\/YtDOpzn.png\" "\\"Clubhouse-Datenleck\\"")
<\/a>
\nClubhouse-Datenleck, Quelle: CyberNews<\/p>\n\n
Alles halb so wild, sagt Clubhouse<\/h3>\n
![](\"https:\/\/i.imgur.com\/L7GdE9s.png\")
<\/a><\/p>\n