Immer wieder werden Daten von Kunden und Benutzern geklaut. Auch jetzt wieder: In der Neujahrsnacht haben Hacker die Daten von 4,6 Millionen Snapchat-Usern veröffentlicht. Neben den Benutzernamen kursieren nun auch die Telefonnummern der Betroffenen im Netz.
Das ist deshalb für viele eine Überraschung, weil Snapchat Datenschutz eigentlich großschreibt. Experten sind hingegen nicht erstaunt, dass das passiert ist, denn seit Monaten ist die Sicherheitslücke bekannt, die jetzt ausgenutzt wurde. Leider kein Einzelfall.
- Für alle, die Snapchat (noch) nicht kennen: Was ist so besonders an der App, wieso ist sie bei Jugendlichen so populär?
Snapchat ist eine kostenlos erhältliche Messenger-App für Smartphones und Tablets. Messenger-App bedeutet: Mit der Software lassen sich Nachrichten und Fotos austauschen. Kostenlos. Im Grunde so ähnlich wie bei Whatsapp. Allerdings mit einem entscheidenden Unterschied: Bei Snapchat werden laut Betreiber keinerlei Daten gespeichert, weder von den Usern, noch die verschickten Texte und Fotos.
Was Snapchat von anderen Messengern definitiv unterscheidet: Mit Snapchat verteilte Fotos lösen sich nach einer Weile von alleine wieder auf. Wenn man ein Foto per Snapchat von Freunden bekommt, kann man es sich maximal 10 Sekunden lang anschauen. Danach verschwindet es wieder. Es löst sich sozusagen auf, von ganz alleine.
Das Konzept kommt gut an, vor allem bei jugendlichen Benutzern. Es gibt Millionen Nutzer weltweit. Jeden Tag werden über 350 Millionen Nachrichten über Snapchat ausgetauscht. Tendenz: Steigend.
- Snapchat betont immer wieder, dass Datenschutz groß geschrieben wird und einem nichts passieren kann. Jetzt sind aber 4,6 Millionen Datensätze von Snapchat-Kunden veröffentlicht worden. Eine ganze Menge. Was ist da passiert?
In der Tat speichert Snapchat nicht besonders viele Daten. Aber dann doch Name, Alias und Telefonnummer. Man muss nicht seinen richtigen Namen angeben, aber eine gültige Mobilfunknummer. Ohne geht es nicht. Seit vier Monaten ist ein Sicherheitsleck bekannt: Snapchat bietet die Möglichkeit, mit einem Trick einzelne Rufnummern zu ermitteln. Und zwar über eine sogenannte Schnittstelle: Snapchat verrät die Daten selbst. Wer diese Schwachstelle konsequent ausnutzt, kann mühelos Tausende von Benutzerdaten pro Minute ermitteln – durch Ausprobieren.
Seit Monaten warnen Experten vor dem Leck. Doch bis jetzt hat Snapchat nicht reagiert, das Leck nicht gestopft, das Risiko kleingeredet. Deshalb haben Hacker jetzt kurzen Prozess gemacht und bewiesen, dass das Sicherheitsleck sehr wohl bedenklich ist. Jetzt kursieren die Rufnummern von 4,6 Millionen vor allem amerikanischer User im Netz. Die letzten zwei Stellen der Rufnummern sind geschwärzt, um Missbrauch zu verhindern. Denn die Hacker wollen lediglich dokumentieren, was möglich ist.
- Wäre es denn viel Aufwand, die Sicherheitslücke zu stopfen?
Nein, der Aufwand wäre denkbar gering. Die Entwickler hätten lediglich den Zugriff auf die Schnittstelle beschränken müssen. Eigentlich eine Sache von wenigen Minuten, mehr Arbeit macht das nicht. Snapchat hat einfach auf stur geschaltet, trotz der Warnungen. Mir völlig unverständlich warum.
- Ist das ein Einzelfall, dass eine IT-Firma ein bekanntes Sicherheitsleck nicht stopft?
Nein, leider ist das kein Einzelfall. Viele Unternehmen ignorieren begründete Warnungen aus Expertenkreisen – und reagieren erst, wenn es viel zu spät ist, dann nämlich, wenn etwas passiert ist. Das ist weit verbreitet, bei kleinen Startups wie bei großen Firmen.
Einige IT-Unternehmen sind schlauer. Firmen wie Microsoft, Google oder Mozilla zahlen Prämien für entdeckte Sicherheitslecks. Findet jemand ein bisher unbekanntes Sicherheitsproblem, kann er es melden – und bekommt dann Geld dafür. Die Experten können das Leck dann stopfen. Eine gute Methode, die sich bewährt hat.
- Kann man sich denn als Benutzer schützen?
Das ist nicht wirklich möglich. Niemand kann wissen, wie ernsthaft sich Unternehmen oder Onlinedienste bemühen, gespeicherte Daten zu schützen. Generell kann man aber sagen, dass es sich immer empfiehlt, datensparsam zu sein, also so wenige Daten von sich preiszugeben wie möglich. Wichtig ist auch, für das eigene E-Mail-Postfach ein anderes, möglichst sicheres Passwort zu verwenden. Ein anderes Passwort als in anderen Diensten, um sicherzustellen, dass das eigene E-Mail-Postfach selbst dann sicher bleibt, wenn woanders das Passwort mal entwenden werden sollte.