International

Hack, Köder oder Attrappe? 3,8 Milliarden Telefonnummern von Clubhouse "erbeutet"

Ein IT-Spezialist hat das Angebot im Darknet entdeckt, auf Twitter machte er es publik: Milliarden von Nutzerdaten des Start-ups Clubhouse sollen zum Verkauf angeboten worden sein. Die könnten aber eine Fälschung sein. Hatte der Anbieter ein verdecktes Motiv?
Hack, Köder oder Attrappe? 3,8 Milliarden Telefonnummern von Clubhouse "erbeutet"Quelle: www.globallookpress.com © Rafael Henrique

In einem Darknet-Forum wird für den Verkauf eines Datensatzes der Anwendung Clubhouse geworben. Der Nutzer mit dem Forenname "God" gab an, über eine Datenbank mit 3,8 Milliarden Telefonnummern zu verfügen, die Clubhouse aus den digitalen Telefonbüchern seiner Nutzer ausgelesen habe. God gab an, die Datenbank in einer Auktion am 4. September 2021 versteigern zu wollen, dem 23. Gründungstag des IT-Konzerns Google.

Zuerst hatte der Schweizer IT-Spezialist Marc Ruef auf seinem Twitter-Account auf den angeblichen Daten-Leak hingewiesen. Die Firma Alpha Exploration Co. hinter Clubhouse hat mittlerweile bestritten, dass es einen Angriff auf ihre Systeme gegeben hätte. Im April 2021 sollte es angeblich zu einem Datenleck bei Clubhouse gekommen sein. In einem Hackerforum wurden 1,3 Millionen benutzerbezogene Daten angeboten.

Clubhouse ist ein Social-Media-Dienst, der seinen Nutzern Audio-Chaträume anbietet. 2020 startete der Dienst seine Testphase für Nutzer, die eine Einladung erhalten hatten, und exklusiv für iPhone-Nutzer. Die Teilnahme vieler Prominenter hatte zu einem Hype der Anwendung geführt. Mittlerweile ist die Anwendung auch für Android-Nutzer verfügbar. Ungefähr 10 Millionen Nutzer sollen auf Clubhouse registriert sein. Der geschätzte Marktwert des Unternehmens beträgt aktuell über 3 Milliarden US-Dollar.

Experten: Die Echtheit der Daten ist zweifelhaft

Zur Qualität seiner Datenbank schrieb God, dass es sich um private und berufliche Festnetz- und Mobilrufnummern handele. Die große Menge an Telefonnummern sei auf die Praxis von Clubhouse zurückzuführen, die Telefonbücher seiner Nutzer auszulesen und auf seinen Servern speichern. Zur Überprüfung veröffentlichte God einen Teil seiner Beute: eine Stichprobe von 83,5 Millionen Telefonnummern aus Japan.

Nach Recherchen der IT-Nachrichten-Seite heise online sei die veröffentlichte Stichprobe jedoch wertlos. Laut dem Urteil mehrerer IT-Spezialisten handele es sich einfach um eine Liste von Telefonnummern, die weder untereinander noch mit anderen Nutzerdaten verknüpft seien. Auch eine umfangreichere Liste besäße keine größere Aussagekraft. Die Moderation des Forums soll die Stichprobe bereits als schlecht eingestuft haben.

Datenschützer: Clubhouse ist "datenhungrig"

Gegenüber heise online äußerte sich das Clubhouse-Unternehmen Alpha Exploration Co.:

"Es gibt eine Reihe von Bots, die Milliarden von zufälligen Telefonnummern generieren. Für den Fall, dass eine dieser zufälligen Nummern aufgrund eines mathematischen Zufalls auf unserer Plattform existiert, gibt die API [Programmierschnittstelle] von Clubhouse keine benutzeridentifizierbaren Informationen zurück."

Datenschutz und Sicherheit seien für Clubhouse von größter Bedeutung und man investiere weiterhin in branchenführende Sicherheitstechniken. Clubhouse verwende zudem keine Cookies und verkaufe keine persönlichen Daten an Dritte.

Laut der Stiftung Warentest wurde Alpha Exploration Co. bereits durch die Verbraucherzentrale Bundes­verband abgemahnt. Der Datenschutz-Check der Stiftung Warentest habe zudem gezeigt, dass Clubhouse nicht nur datenhungrig sei, sondern auch gegen europäisches Recht verstoße, insbesondere gegen die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU).

Zu den kritisierten Punkten gehörte unter anderem, dass das Unternehmen seine Nutzer nicht ausreichend über ihre Rechte aufkläre und dass die Rechte, die sich der Anbieter für die Verwendung der Nutzerdaten einräume, zu weitgehend seien.

Auf seine anfängliche Praxis, die Telefonnummern aller Kontakte der Nutzer abzuzapfen – ob Clubhouse-Nutzer oder nicht – soll das Unternehmen mittlerweile verzichten.

Getarnter Aktivismus gegen Überwachungskapitalismus?

Ging es dem Anbieter der vermeintlichen, offenbar wertlosen Datenbank von Clubhouse tatsächlich um Geld oder hatte er ein anderes Motiv?

Beim gefälschten Angebot von God könnte es sich um eine kommunikative Attrappe gehandelt haben, um mehr Aufmerksamkeit auf die Praktiken des sogenannten Überwachungskapitalismus zu lenken. Hierfür sprächen seine Ausführungen, die er seinem vermeintlichen Verkaufsangebot hinzufügte und in denen er sich allgemein kritisch zum intransparenten Umgang mit Nutzerdaten äußerte.

Laut God bewerte Clubhouse jede Telefonnummer mit einem Punktestand, um sie in einer Rangliste einzuordnen. Damit könne der Wert des Netzwerks hinter jeder Nummer weltweit eingeschätzt werden.

Den Technologiegiganten GAFA (Google, Apple, Facebook, Amazon) warf God vor, die gleichen Praktiken wie Clubhouse anzuwenden, nämlich Daten von jedem – ob Kunde oder nicht – zu sammeln; also die Verletzung privater Rechte. Zur Reaktion staatlicher Aufsichtsbehörden sagte God:

"Das Gesetz der Datenschutz-Grundverordnung [der EU] verspricht, dass Firmen, die Daten von Nicht-Nutzern sammeln, bestraft werden. Es ist Zeit zu sehen, ob das Gesetz Clubhouse bestrafen wird oder ob es bei einer Drohung bleibt."

Für besonders schwere Verstöße nach Artikel 83(5) DSGVO kann der Bußgeldrahmen bis zu 20 Millionen Euro betragen oder im Falle eines Unternehmens bis zu 4 Prozent seines gesamten weltweiten Umsatzes des vorangegangenen Geschäftsjahres.

Mehr zum Thema Hohe Lösegeldforderung nach Datenleck bei saudischem Ölkonzern

Durch die Sperrung von RT zielt die EU darauf ab, eine kritische, nicht prowestliche Informationsquelle zum Schweigen zu bringen. Und dies nicht nur hinsichtlich des Ukraine-Kriegs. Der Zugang zu unserer Website wurde erschwert, mehrere Soziale Medien haben unsere Accounts blockiert. Es liegt nun an uns allen, ob in Deutschland und der EU auch weiterhin ein Journalismus jenseits der Mainstream-Narrative betrieben werden kann. Wenn Euch unsere Artikel gefallen, teilt sie gern überall, wo Ihr aktiv seid. Das ist möglich, denn die EU hat weder unsere Arbeit noch das Lesen und Teilen unserer Artikel verboten. Anmerkung: Allerdings hat Österreich mit der Änderung des "Audiovisuellen Mediendienst-Gesetzes" am 13. April diesbezüglich eine Änderung eingeführt, die möglicherweise auch Privatpersonen betrifft. Deswegen bitten wir Euch bis zur Klärung des Sachverhalts, in Österreich unsere Beiträge vorerst nicht in den Sozialen Medien zu teilen.