LinkedIn: Geleakte Passwörter und freizügige App

Die letzten 24 Stunden waren für die Betreiber des Sozialen Netzwerks LinkedIn, das etwa mit dem deutschen Xing vergleichbar ist, kein Zuckerschlecken. Zunächst wurde die iOS-App beim Übermitteln von Termindetails überführt und kurz darauf wurde bekannt, dass bis zu 6,5 Millionen Passwörter geleakt wurden.

LinkedIn: Geleakte Passwörter und freizügige App

Datenschutzbedenken bei der iOS-App

Entdeckt wurden die Probleme der iOS-App von Skycure Security. Die App von LinkedIn erlaubt den Zugriff auf lokale Kalenderinformationen, was an sich zunächst kein Problem darstellt. Diesen Zugriff auf den Kalender muss der Nutzer explizit aktivieren (opt-in).

Wenn aktiviert, überträgt die App die Kalender-Daten der kommenden fünf Tage allerdings auch im Klartext an die Server des sozialen Netzwerks, ohne vorher den Nutzer darüber zu informieren. Damit verstößt die App gegen Punkt 17.1 von Apples Datenschutz-Richtlinie:

Apps cannot transmit data about a user without obtaining the user’s prior permission and providing the user with access to information about how and where the data will be used

Das Problem besteht darin, dass in den Meetings-Details häufig sensible Informationen gespeichert werden, wie etwa Telefonnummern und PIN-Codes zu Konferentschaltungen. Übermittelt werden folgende Felder: Meeting-Titel, Organisator, Teilnehmer, Ort, Zeit und Meeting-Notizen. Die Daten von Organisator und Teilnehmern beinhalten auch die entsprechenden E-Mail-Adressen.

Die Betreiber haben mittlerweile auf die Vorwürfe reagiert und einige Änderungen an der Android- und iOS-App vorgenommen. So werden jetzt etwa die Meeting-Notizen nicht mehr übertragen. Zusätzlich hat man einen Link eingebaut, der weitere Informationen zur Verwendung der gesammelten Daten bereit hält.

Darüber hinaus schrieb Joff Redfern von LinkedIn, dass alle Informationen über SSL-Verbindungen gesendet werden und die Kalender-Funktion weiterhin ein Opt-In-Feature bleiben wird, das jederzeit deaktiviert werden kann. Die Daten werden nicht auf den Servern des Sozialen Netzwerks gespeichert und ausschließlich dazu verwendet, um auf relevante LinkedIn-Profile hinzuweisen.

6,5 Millionen Passwörter geleakt

Wie unter anderem Sophos’ Sicherheitsteam Naked Security meldet, haben Hacker rund 6,5 Millionen Passwörter des Sozialen Netzwerks veröffentlicht. Die Passwörter sind mit einem SHA-1-Hash versehen, jedoch nicht verschlüsselt, was das “Entschlüsseln” deutlich vereinfacht.

LinkedIn hat das Leak mittlerweile bestätigt und die Passwörter der betroffenen Accounts ungültig gemacht. Diese Nutzer wurden per Mail darüber informiert. Wie die Hacker an die Daten gelangen konnten, konnte das Unternehmen noch nicht sagen.

WWDC 2012 — GIGA ist live dabei: Mehr Infos, Live-Ticker und mehr gibt’s hier!

iPhone-Display kaputt? Akku zu schnell leer? Kein Problem: Display oder Akku selbst tauschen mit den Komplettsets zur iPhone-Display-Reparatur oder dem iPhone-Akku-Wechsel von GIGA & Fixxoo!

Weitere Themen: LinkedIn

Neue Artikel von GIGA APPLE

GIGA Marktplatz