Datendiebstahl
Linkedin-Datenleck – Check Point vermutet API-Schwachstelle
Von Oded Vanunu, Head of Products Vulnerability bei Check Point Research
Bereits im April dieses Jahres wurde über ein Datenleck bei Linkedin berichtet, wobei die Informationen von 500 Millionen Mitgliedern zum Verkauf angeboten worden waren. Nun muß diese Zahl korrigiert werden: Nach Medienberichten sind in einem Hacker-Forum die Datensätze von 700 Millionen der Linkedin-Nutzer aufgetaucht – die Plattform zählt derzeit rund 756 Millionen Teilnehmer. Unter den gestohlenen Einzelheiten über die Menschen befinden sich deren Namen, E-Mail-Adressen, Telefonnummern und Anschriften. Kreditkarten-Daten sollen jedoch nicht dabei sein. Ob die Daten aus dem 2016 entstandenen Datenleck stammen oder aus einem erneuten Angriff, ist unbekannt.
Wir können jedoch sagen: Dieser Fall ähnelt unserer Nachforschung zur beliebten Handy-App TikTok. Dort waren wir in der Lage gewesen, die TikTok-API, also Schnittstelle, auszulesen und eine Datenbank mit Informationen über die Benutzer aufzubauen. Bezüglich Linkedin sieht es so aus, dass die Hacker jene Daten ebenfalls über die Linkedin-API erhalten haben, die sie also möglicherweise knackten. Beide Zwischenfälle untermauern, dass API-Sicherheit sehr wichtig ist und ernst genommen werden sollte, während Unternehmer ihre Anwendung und IT-Infrastruktur einrichten.
Über Clouds laufende Anwendungen werden hauptsächlich mit einer sogenannten Kernanwendungslogik aufgebaut. Dies heißt, dass sie mit vielen APIs verbunden ist, welche die Daten der Anwendung liefern. Wenn nun die APIs ungesichert bleiben, sind sie dem Risiko einer Attacke ausgesetzt, insbesondere dann, wenn es sich um API-Code-Schwachstellen handelt oder unbegrenzte API-Aufrufe durchgeführt werden. So etwas kann zu einem großen Datenleck führen, wie wir es bezüglich TikTok berichtet haben und in diesem Linkedin-Fall erneut sehen.