Über 300 Millionen Social-Media-Datensätze, die von verschiedenen Plattformen wie Facebook, Instagram und LinkedIn stammen, wurden kürzlich durch eine massive Datenpanne aus der Cloud von SocialArks offengelegt. Hiervon waren mehr als 400 GB öffentliche und private Account-Daten von etwa 214 Millionen Social-Media-Nutzern weltweit betroffen. Nach dem Vorfall wurden die Daten über das Internet verbreitet, darunter auch die einiger bekannter Social-Media-Influencer und Celebrities.
Die Datenpanne wurde durch eine Fehlkonfiguration einer ElasticSearch-Datenbank verursacht, die SocialArks gehört, einem Unternehmen mit Hauptsitz in China. Dieses Unternehmen beschäftigt sich mit der Verwaltung von Social Media Profilen. Es sieht soweit danach aus, dass die Sicherheitsmaßnahmen für die (von Tencent gehostete) Datenbank ausgesprochen schwach waren, insbesondere war der Zugang zum Server aus dem Internet ohne Kennwort möglich und die in der Datenbank enthaltenen Daten waren nicht verschlüsselt. Darüber hinaus wurde der Zugriff auf die Daten nicht ausreichend kontrolliert. Leider waren in den Datensätzen nicht nur „normale“ personenbezogenen Daten, sondern auch besondere Kategorien personenbezogener Daten enthalten. Die Serverkonfiguration war so gestaltet, dass die Konten, einschließlich der personenbezogenen Daten, nach den Social-Media-Plattformen getrennt waren, um eine schnelle Überprüfung und Analyse der gescrapten Daten durch die Marketingexperten zu ermöglichen.
Das Unternehmen SocialArks bietet eine Plattform zur Verwaltung von Social-Media-Daten an und ermöglicht die Planung von Werbe- und Marketingkampagnen auf den wichtigsten Social-Media-Plattformen. Die Plattform ist hauptsächlich auf dem chinesischen Markt aktiv.
Das Data Scraping, das von mehreren Unternehmen auf dem Markt durchgeführt und durch verschiedene Web-Tools, die von großen Playern in diesem Bereich zur Verfügung gestellt werden, erleichtert wird, besteht in der Sammlung großer Mengen von (personenbezogenen) Daten von Websites oder, häufiger, von Social-Media-Plattformen mit dem Ziel, sie für andere Zwecke wie den Aufbau von Marketing-Kampagnen oder für gezielte Online-Werbung weiter zu verwenden.
Diese Praxis, die per se erst einmal nicht problematisch ist, sollte von den Diensteanbietern mit geeigneten und angemessenen Sicherheitsmaßnahmen durchgeführt werden, um die gesammelten Daten in den Datenbanken sicher zu halten. Das Risiko, dass solche Datenbanken gehackt werden oder ein anderweitig unrechtmäßiger Zugriff erfolgt, kann in der Tat zu erheblichen Datenpannen wie der Vorliegenden führen. Zu den gebräuchlichsten Sicherheitsmaßnahmen, um die Daten sicher zu halten, gehören: Verschlüsselung der Daten bei der Übertragung und at-rest (also bei der Ablage), strenge Verwaltung der Zugriffsrechte, Schutz der Server mit Firewalls, Implementierung sicherer Passwörter.
Die meisten Social-Media-Plattformen sind von Natur aus darauf ausgerichtet, personenbezogene Daten auszutauschen, die in einigen Fällen eindeutig privat sind. Die Nutzer sind sich in der Regel darüber im Klaren, dass ihre Daten, die die berufliche oder private Sphäre betreffen können, im sozialen Netzwerk veröffentlicht werden. Auf der anderen Seite greifen Marktforschungsunternehmen und deren Kunden auf solche Daten zurück, die in den meisten Fällen nur teilweise vor dem Zugriff geschützt werden können. In diesem Zusammenhang ist es von entscheidender Bedeutung, dass die Anbieter von Social-Media-Plattformen ein konsistentes und sicheres System zum Schutz der personenbezogenen Daten in Übereinstimmung mit dem Zweck der Verarbeitung aufbauen und dass sie die Nutzer ordnungsgemäß über die Aktivitäten und Vorgänge informieren, die im Rahmen der Plattform nicht nur von den Social-Media-Anbietern selbst, sondern insbesondere auch von Dritten durchgeführt werden. Es liegt auch in der Verantwortung des Nutzers, seine personenbezogenen Daten mit Bedacht und unter Berücksichtigung aller möglichen Folgen einer solchen Praxis zu teilen.
Dieser Beitrag ist eine Übersetzung unseres am 04.02.2021 erschienen Beitrags Massive leak of personal data at scraping company SocialArk. Wir sind mehrfach gebeten worden diesen Beitrag auch auf Deutsch zu veröffentlichen. Diesen Wünschen kommen wir natürlich gerne nach.
12. Februar 2021 @ 20:45
Nein, der/die einzelne Nutzer/in ist nicht verantwortlich für DIESE Datenpanne. Er/sie ist nur insofern verantwortlich, als er oder sie überhaupt Informationen in asozialen Netzwerken veröffentlicht hat. Das an sich betrachte ich schon als schweren Fehler. Aber die Datenpanne beruht auf zwei Komponenten, die allein in der Verantwortung der chinesischen Firma liegen:
1. Die Firma hat mit ungesetzlichen Methoden die Nutzerdaten von asozialen Netzwerken „abgeschöpft“. Scraping ist in den AGB aller asozialen Netzwerke verboten. Außerdem sind in den aufgefundenen Daten Informationen enthalten, die NICHT öffentlich waren. Wie SocialArks an diese Daten gekommen ist, ist noch nicht geklärt.
2. Dass diese ohnehin zwielichtige Datensammlung ungeschützt im Internet stand, ist auf eine grob fahrlässige Schlamperei bei Tencent zurückzuführen. SocialArks hatte die Datenspeicherung an Tencent „outgesourced“. Das war übrigens nicht die erste Datenpanne dieser Art bei SocialArks; bereits im August 2020 gab es einen ähnlichen Vorfall. Nichts gelernt …
Einige Links dazu:
https://www.pctipp.ch/news/sicherheit/persoenliche-daten-200-millionen-social-media-nutzern-zugaenglich-2622668.html
https://tarnkappe.info/socialarks-400-gb-daten-214-mio-social-media-nutzer-enttarnt/
https://www.digitalinformationworld.com/2021/01/socialarks-data-breach-has-left-over.html
10. Februar 2021 @ 13:51
Natürlich liegt es in der Verantwortung der Nutzer. Der hat ja eingewilligt, dass die Daten in China(!) gehostet und zu anderen Zwecken von zahlreichen Dritten ausgewertet werden. Wären die Sicherheitsmaßnahmen besser gewesen, hätte natürlich niemand unrechtmäßig Daten (weiter-)verarbeitet.
Woher clearforce oder andere – von ehemaligen US-Militärs – gegründete Firmen Ihre Daten erhalten (z.B. aus der 702-NSA-overcollection) ist dem normalen Social-Media-Nutzer eher unbekannt. Egal ob eingewilligt oder nicht, die Daten werden alle heute schon verwendet und verkauft (Komplettüberwachung inkl. Social Media, Telefonaten, SMS, Bankdaten, Personalausweis, Flugdaten, etc. schon ab ca. 2 TEUR pro Monat pro Mitarbeiter – s. clearforce). Und dass die Verarbeitung in China erfolgt, wo Facebook und Google massiv Technologie hin transferiert haben, hat rein wirtschaftliche, philantropische Zwecke.