Milliarden geleakter Telefonnummern könnten zu Kontoübernahmen führen

Isolierte Daten sind selten besonders wertvoll, wenn isoliert darauf zugegriffen wird. Dies hat sich einmal mehr bewahrheitet, als über 3,5 Milliarden Telefonnummern aus dem Clubhouse durchgesickert sind – ein Social-Media-Dienst, das sich auf Audio-Interaktion konzentriert. Die Daten blieben jedoch nicht lange isoliert.

Zunächst veröffentlichte ein Unternehmen, das Zugang zu Milliarden von Telefonnummern hatte, die Daten in einem unterirdischen Hacking-Forum, kostenlos für alle Interessierten. Interessant wurde es, als sich ein Dritter mit dem Datenleck beschäftigte. Ein weiterer bösartiger Akteur nahm die durchgesickerten Zahlen auf und begann, sie mit einem weiteren Datenleck zu kombinieren, das aus über einer halben Milliarde Facebook-Profilen bestand, die Anfang 2021 durchgesickert waren.

Sobald die beiden Datensätze sorgfältig abgeglichen und gepaart wurden, sind die kombinierten Daten nun plötzlich 100.000 US-Dollar wert und stehen im Dark Web zum Verkauf. ThreatPost zitierte die Sicherheitsagentur CyberNews, die berichtete, dass die Daten sowohl in großen Mengen als auch in kleineren Stücken zu erschwinglicheren Preisen verkauft werden.

Die neu entstandenen kombinierten Daten können nun von bösen Akteuren genutzt werden, die sie bei Angriffen auf Kontoübernahmen verwenden können. Die Nachrichtenagenturen zitierten außerdem den Sicherheitsforscher Brian Uffelman, einen Analysten bei PerimeterX, der feststellte, dass die Versuche zur Kontoübernahme fast 85 Prozent der gesamten Anmeldeversuche in der letzten Hälfte des Jahres 2020 ausmachten – ein erstaunlich hoher Prozentsatz.

Die Daten können für eine Reihe von Angriffsvektoren verwendet werden, vom Versand von gefälschten SMS-Nachrichten im sogenannten Smishing mit speziell zugeschnittenen glaubwürdigen Inhalten bis hin zum Versuch des Kleindiebstahls von Geschenkkarten und anderen finanziell attraktiven Gegenständen, die über kompromittierte Konten zugänglich sind. Strukturierte Daten wie diese können auch für die Ausrichtung und Anpassung von Anzeigen mit Laserpräzision verwendet werden, wenn sie von Werbenetzwerken erworben werden.

Vorfälle wie dieser zeigen nur, dass Informationen sowohl Wert als auch Macht haben können, insbesondere wenn getrennte Datensätze zu neuen Strukturen kombiniert werden.