LinkedIn Data Breach enthüllt angeblich 92% der Nutzerdaten

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Johanna Hametner

IT-Consultant Information Security

E-Mail schreiben

Data Leaks kommen in der heutigen digitalisierten Welt immer wieder vor. Nicht nur KMU’s sind davon betroffen, auch große, internationale Unternehmen sind häufig Angriffsziele.

Es scheint sie überall zu geben: Hier wurden Datenbanken öffentlich; da ein Hacker-Angriff, der Datensätze in Millionenhöhe offenbarte, und dort endet ein Leak im Verkauf von personenbezogenen Daten im Darknet ... 

Ein Beispiel aus jüngster Vergangenheit ist das (erneute) LinkedIn Data Leak. 

Doch was ist passiert?

Für LinkedIn sieht es im Moment hinsichtlich Datenschutz- und Informationssicherheitssicht düster aus. Nur zwei Monate nachdem 500 Millionen Profile von der Networking-Website zum Verkauf auf ein beliebtes Hacker-Forum gestellt wurden, ist nun ein Verkauf von weiteren 700 Millionen LinkedIn Datensätze öffentlich geworden. Der Verkäufer, "GOD User" TomLiner, gab an, am 22. Juni 2021 700 Millionen Datensätze gekauft zu haben und fügte eine Stichprobe von 1 Million Datensätzen auf RaidForums bei, um seine Behauptungen zu beweisen. Bedenkt man, dass LinkedIn ca. 756 Millionen Nutzer insgesamt zählen darf, ist das Ausmaß von 92% der Nutzer schnell klar.

Welche Daten sind betroffen?

Der Beispieldatensatz, welcher im Dark Web veröffentlicht wurde, enthält Benutzerinformationen wie E-Mail-Adressen, den vollständigen Namen, Telefonnummern, physische Adressen, Geolocation-Datensätze, LinkedIn-Benutzernamen und Profil-URL, abgeleitete Gehälter, persönliche und berufliche Erfahrung/Hintergrund, Geschlecht und Social-Media-Konten sowie Benutzernamen.
 
Wie genau die Daten ihren Weg in Hackerforen gefunden haben, ist bisher nicht geklärt. Der Verdacht liegt auf der Ausnutzung der LinkedIn-API. Es stellt sich jedoch vor allem die Frage warum ein derart großes Unternehmen keine angemessenen technischen und organisatorischen Maßnahmen im Informationssicherheitsbereich gesetzt hat um solche Leaks zu verhindern. 
 
Durch derartige Versäumnisse besteht die Gefahr hohe Bußgelder laut Artikel 83 DSGVO zu erhalten. Vergessen darf man hier aber auch nicht die Reputationsschäden und mögliche Schadenersatzansprüche der Betroffenen. Zudem stellt sich die Frage, inwiefern LinkedIn einen Fokus auf Informationssicherheit legt, wenn die Informationen der Betroffenen über die Öffentlichkeit und nicht über das Unternehmen selbst erfolgt obwohl verantwortliche Stellen in bestimmten Fällen verpflichtet sind gemäß Artikel 34 DSGVO Betroffene zu benachrichtigen.

Was bedeutet dies nun für LinkedIn User?

Die geleakten Informationen stellen eine Bedrohung für die betroffenen LinkedIn-Nutzer dar. Da Details wie E-Mail-Adressen und Telefonnummern Käufern online zur Verfügung gestellt werden, könnten Einzelpersonen das Ziel von Spam-Kampagnen werden oder, noch schlimmer, Opfer von Identitätsdiebstahl.
 
Auch wenn die Datensätze keine Informationen wie Kreditkartendaten oder private Nachrichten zu enthalten scheinen, könnten erfahrene Hacker dennoch in der Lage sein, sensible Daten allein über eine E-Mail-Adresse aufzuspüren. LinkedIn-Benutzer könnten auch Opfer von E-Mail- oder Telefon-Betrügereien werden, die sie dazu verleiten, vertrauliche Anmeldedaten weiterzugeben oder große Geldbeträge zu überweisen.
 
Brute-Force-Angriffe sind ebenfalls etwas, dessen sich LinkedIn-Nutzer, die von dem Leck betroffen sind, bewusst sein müssen. Über die in den Datensätzen angegebenen E-Mail-Adressen können Hacker versuchen, mit verschiedenen Kombinationen gängiger Passwort-Zeichen auf die Konten der Nutzer zuzugreifen.
 
Schließlich wird gezielte Werbung für bestimmte Nutzer dank dieser Liste sehr viel wahrscheinlicher. Mit Informationen über die Berufe und das Geschlecht der Benutzer können Unternehmen ihre Produkte leichter an Einzelpersonen vermarkten.

Wie äußert sich LinkedIn?

Nach Angaben von LinkedIn handelte es sich nicht um eine Datenpanne, sondern die Informationen wurden durch Scraping des Netzwerks gewonnen. In einer per E-Mail verschickten Stellungnahme erklärte LinkedIn: "Während wir diesen Vorfall noch untersuchen, zeigt unsere erste Analyse, dass der Datensatz sowohl Informationen enthält, die von LinkedIn abgegriffen wurden, als auch Informationen, die aus anderen Quellen stammen."

Was tun, wenn man betroffen ist?

Die gute Nachricht ist, dass Kreditkartendaten, Inhalte privater Nachrichten und andere sensible Informationen nicht betroffen sind. Obwohl Passwort- und E-Mail-Adresskombinationen nicht Teil dieses jüngsten Lecks sind, ist es empfehlenswert, das LinkedIn-Konto zu sichern, indem das Passwort aktualisiert wird. Die Aktivierung der Zwei-Faktor-Authentifizierung hilft zudem dabei, Brute-Force-Angriffe zu verhindern, die ein wahrscheinliches Ergebnis dieses jüngsten Datenlecks sind.
 
Sie können auch überprüfen, ob Ihre E-Mail-Adresse oder Telefonnummer in ein Datenleck verwickelt war, indem Sie Have I Been Pwned besuchen.
 
Abschließend ist zu betonen, dass personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen sind. Dies ist verpflichtend und nicht nur ein ‘nice to have“. Eine adäquate Sicherheitsstrategie ist eine grundlegende Voraussetzung im digitalen Zeitalter und stellt auch häufig einen Wettbewerbsvorteil dar.
Sie möchten sich zu diesem Thema informieren? Nehmen Sie gerne mit uns Kontakt auf!