Clubhouse: Offene Baustellen in Sachen Datenschutz und Datensicherheit

Die App „Clubhouse“ erlebt derzeit auch hierzulande einen ordentlichen Hype. Das mag unter anderem am verwendeten „Invite-System“ und einer hohen „Promi“-Dichte liegen. In den Sternen steht, wie das künftig weitergehen wird, nach eigenen Plänen hat man da allerlei vor in Zukunft: Eine Android-App sowie Einnahmemöglichkeiten für Gastgeber soll es da geben. Erste Kritik gab es bereits, da für das Einladen neuer Nutzer ein Vollzugriff auf das Kontaktbuch nötig wird: Schattenprofile sind ein großes Thema. Da tun sich schnell (menschliche) Abgründe auf, wenn einerseits Messaging-Apps wie WhatsApp an den Pranger kommen und andererseits „Clubhouse“ eben übermäßig „gehyped“ wird.

Nicht nur in Sachen Datenschutz hat man seitens Clubhouse Nachholbedarf, auch das Thema Datensicherheit scheint ausbaufähig. Der Hamburger IT-Experte Thomas Jansen zeigte im Rahmen eines Spiegel-Beitrags mögliche Einfallstore für Hacker auf. Der Schutz durch „bewährte Verfahren vor unbefugten Zugriffen und Angriffen“ sei „unzureichend abgesichert“.

Integrierte Software-Bibliotheken machen einen Mitschnitt der Clubhouse-Gespräche mittels gejailbreaktem iPhone möglich. Clubhouse selbst ist in den letzten Tagen ja bereits in Verruf geraten, da man auch selbst Mitschnitte anfertigt, um nachträglich Regelverstöße zu ahnden.

Auch der Download von Nutzerdaten sei nur wenig limitiert. So konnte Jansen binnen Minuten die Verzeichnisse von knapp 2,8 Millionen Nutzern über die API der App erlangen, bevor eine Drosselung einschritt. In den Datensätzen: Nutzernamen, Namen, Profilbilder sowie Followerzahlen und weitere (öffentliche) Profil-Details. Die Krux: „Diese Daten sind für alle, die einen Clubhouse-Account haben, zwar ohnehin sichtbar, aber nur einzeln pro Nutzerkonto. Jansen könnte zudem auch sehen, wer wen wann zu Clubhouse eingeladen hat.“

Die Clubhouse-Server sind zudem sehr gesprächsbereit, wenn es darum geht, ob sich bestimmte Rufnummern bei Clubhouse registriert haben oder bereits eine Einladung auf eine Rufnummer besteht. Mit erlangter Kenntnis von ausgetesteten Nutzer-Rufnummern lassen sich Mitglieder aussperren.

Durch Kenntnis eines dauerhaft zugeordneten Token lassen sich Accounts übernehmen – auch ohne Zugriff auf das Smartphone des Besitzers. Im Falle eines größeren Datenlecks könnten so schnell massenhaft Account-Übernahmen erfolgen. Zufällige Accounts lassen sich zudem durch Kenntnis einer vierstelligen PIN übernehmen:

Bei der Anmeldung erhalten Nutzerinnen und Nutzer eine vierstellige PIN aus Zahlen, es gibt also 10.000 mögliche Kombinationen. 15 Versuche hat man für die Eingabe des richtigen Codes, bevor ein Konto gesperrt wird. Abgefragt wird die PIN bei der Neuinstallation der App oder auch beim Anmelden von einem neuen Gerät aus.

In Verbindung mit den zuvor gewonnenen bzw. „durchgetesteten“ Datensätzen zu Mobilfunknummern war es Jansen so nach wenigen Minuten möglich registrierte Rufnummern im unteren vierstelligen Bereich zuzuordnen. Mittels Brute-Force-Attacke könne so durchschnittlich jeder 333. Account übernommen werden, so Jansen weiter.

Derzeit gibt es zudem keine Möglichkeit seinen Account bei Clubhouse eigenständig zu löschen. Hierzu muss eine Mail an den Support erfolgen. Diese Möglichkeit wolle man jedoch nach Spiegel-Aussagen in den kommenden Wochen zusammen mit einem Bug-Bounty-Programm einführen. Weiter heißt es in der Stellungnahme seitens Clubhouse gegenüber dem Spiegel lediglich, man nehme Privatsphäre und Datenschutz ernst und die Themen hätten „höchste Priorität“.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Baujahr 1995. Technophiler Schwabe & Studienreferendar. Unterwegs vor allem im Bereich Smart Home und ständig auf der Suche nach neuen Gadgets & Technik-Trends aus Fernost. Twitter. PayPal-Kaffeespende an den Autor. Mail: felix@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

14 Kommentare

  1. Das sind schon krasse Lücken.

  2. Oliver Müller says:

    Und die ganzen FOMO Smombies schreien wie die Bekloppten durchs Internet und wollen Invites. Ich bin zu alt für den Scheiß.

    • Nicht nur du. Aber das Rezept ist ja schon genial. Man nehme eine künstliche Verknappung und platzierte Promis und schon fängt ein Hype an um massig Daten abzugreifen.
      Das da Daten „verloren“ gehen, ist nur eine Frage der Zeit.
      Irgendwann wird der Hype auch abflachen und diejenigen übrig bleiben die ihren Idolen nahe sein wollen.

    • 🙂

  3. Verstehe die Aufregung nicht, dass man die Gespräche mitschneiden kann. Es ist OFFENE Diskussionen, an der jeder teilnehmen kann. Oder regt man sich auch auf, dass man Radiosendungen einfach so mitschneiden kann?!?!

  4. Ich war wirklich verwundert, wer mir alles in der App als Freund vorgeschlagen wurde. Nachbarn von vor 7 Jahren, welche immer noch meine Nummer gespeichert hatten…

    • Es ist daher gar nicht verkehrt alle paar Jahre seine Nummer zu ändern. Alle 4 bis 6 Jahre mache ich es in der Regel. Dann kann man wieder ausmisten. Ich möchte einfach nicht, dass Menschen zu denen ich keinen Kontakt pflege weiterhin meine Nummer in Ihrem Adressbuch gespeichert haben.

  5. Du sprichst mir aus der Seele: Da tun sich schnell (menschliche) Abgründe auf, wenn einerseits Messaging-Apps wie WhatsApp an den Pranger kommen und andererseits „Clubhouse“ eben übermäßig „gehyped“ wird.

    • Ich lehne mich allerdings mal ganz weit aus dem Fenster und behaupte, dass zwischen denjenigen, die WhatApp wegen der Datensicherheit/-sammlerei kritisieren und denjenigen, die Clubhouse hypen, die Schnittmenge nahezu gegen null tendieren dürfte.

  6. OMG, was die Sicherheit angeht scheint es keinerlei Qualitätssicherung zu geben, und dann soll es ein Bug Bounty lange nach dem go live richten. Kann man das an Fahrlässigkeit noch überbieten?

  7. Sie haben zumindest von facebook gelernt, dass man sich durch Einladungen erstmal ins Gespräch bringt. Danach kann man skalieren.

    Ja, schon erstaunlich, wie auf der einen Seite WA kritisiert wird, aber man jetzt ganz schnell beim nächsten Datenleck Hype dabei sein muss ;-(

  8. Völlig überflüssiger, pseudoelitärer Scheiss, den niemand der bei klarem Verstand ist haben will. Außer Hipstern und Anhängern der Apfelreligion, Makeup-Hairstyle-Shopping-Influencer-Girlies und Lifestyleproleten, die immer dem nächsten Hype hinterherhecheln. Wi-der-lich!

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.