Clubhouse

Clubhouse: Mithören in China und 1,3 Mio. geleakte Profile

Der Trend rund um Clubhouse ist Anfang des Jahres explodiert. Seitdem gab es immer wieder Kritik an der App – von mangelndem Datenschutz über künstliche Verknappung. Clubhouse wurde sogar vom Verbraucherschutz und der Stiftung Warentest abgemahnt.

Mittlerweile ist auch bekannt, wie Clubhouse funktioniert. Es nutzt im Backend eine Audiochat-Funktion des Startups Agora aus China. Damit können einzelne Nutzer*innen gezielt mitgeschnitten werden und Daten werden an China weitergegeben. Aus Datenschutzsicht mehr als bedenklich.

Jetzt sind zusätzlich die Daten von 1,3 Millionen Nutzer*innen veröffentlicht worden. Laut Clubhouse gab es aber weder einen Hacking-Angriff noch ein Leak. Wir klären, wie es dazu kommen konnte und warum das die Datenschutzvorkehrungen der Trend-App nur noch fragwürdiger macht.

Worum es bei Clubhouse geht? Lesen Sie es nach: „Clubhouse: Im Trend, aber ohne Datenschutz“

Mitschneiden dank Agora

Bei Clubhouse kann dank Agora ganz einfach mitgeschnitten werden.

Clubhouse ist schon mehrfach wegen Datenschutzmängeln aufgefallen. Nun ist bekannt geworden, dass die App auf eine Lösung des chinesischen Startups Agora setzt. 

Das Problem dabei: Wie Sicherheitsforscher*innen herausgefunden haben, fließen Daten von Nutzer*innen unverschlüsselt nach China ab. Diese können aber auch von Dritten aus der App exportiert werden.

In der Entwicklungsumgebung ist es möglich, per Befehl heimlich die Aufnahme eines Chats oder sogar gezielter Personen zu starten. Selbst nach augenscheinlichem Verlassen des Channels konnten die Sicherheitsforscher*innen weiter zuhören. Die mitgeschnittene Kommunikation kann aus Agora heraus sogar einer User*innen-ID und somit direkt den individuellen Nutzenden zugeordnet werden.

Auch das Einspielen von Ton ging aus der Entwicklungsumgebung problemlos – selbst wenn das Konto gemutet ist und sogar nach Verlassen des Raumes. So ist es möglich, ganze Diskussionen und Events zu übernehmen. Die üblichen Moderationsfunktionen wie Stummschalten oder aus dem Raum werfen würden an dieser Stelle nichts nützen. Die einzige Option: Den Raum für alle schließen

Hinzu kommt, dass Agora gesetzlich verpflichtet ist, auf Anfrage der Behörden die chinesische Regierung zu unterstützen, wenn es um die Ortung und Aufbewahrung von Audionachrichten geht. Davon ist in der Datenschutzerklärung nichts zu finden. In China ist Clubhouse übrigens verboten.

Laut Dienstleister von Clubhouse sollen mit einer externen Sicherheitsfirma eine zusätzliche Verschlüsselung und Sperrung eingebaut werden. So soll verhindert werden, dass Clubhouse-Clients Pings an chinesische Server verschicken. 

Clubhouse ermöglicht Scraping

Kurz nachdem Daten von Milliarden Facebook- und LinkedIn-Profilen veröffentlicht und online zum Kauf angeboten wurden, scheint auch Clubhouse betroffen zu sein. Daten von rund 1,3 Millionen Clubhouse-Profilen sind in einem bekannten Hackerforum aufgetaucht. Darunter User*innen-ID, Name, User*innen-Name, Foto-URL, Twitter- und Instagram-Handle, Zahl der Follower und wer die Person zu Clubhouse eingeladen hat.

Laut Clubhouse sei aber niemand in deren System eingedrungen. Im Gegenteil: Die Daten seien öffentlich zugänglich. Das spricht dafür, dass die Informationen via Scraping – dem Auslesen von öffentlichen Profilseiten mit spezieller Software – ins Internet gelangt sind.

Externe können also problemlos und massenhaft Profilinformationen auslesen. Das zeigt erneut, wie fragwürdig Clubhouse Maßnahmen zu Datenschutz und Privatsphäre sind. 

Scraping sollte nicht nur, wie bisher, in der Datenschutzrichtlinie verboten werden. Clubhouse sollte zusätzliche Maßnahmen ergreifen, um einen Datenmissbrauch auszuschließen.

Obwohl keine sensiblen Daten wie Bankkonten oder E-Mail-Adressen veröffentlicht wurden, heißt das nicht, dass die veröffentlichten Daten nicht missbraucht werden können. Vor allem für Phishing und andere Social-Engineering-Angriffe sind die Daten sehr wertvoll. 

Spätestens wenn Hacker*innen diese Informationen mit weiteren Datensätzen aus anderen Datenbanken kombinieren, können sie enormen Schaden anrichten, der sogar bis zum Identitätsdiebstahl reichen kann. 

Per Scraping wurden Millionen von Clubhouse-Profilen ausgelesen.

Wie Sie sich schützen können

Häufig geben wir sie leichtfertig her, unsere Daten. Für andere sind sie unter Umständen aber Gold wert. Mit den folgenden Maßnahmen können Sie sich und Ihre Daten im Internet besser schützen:

  • Achten Sie auf dubiose Nachrichten von Social-Media-Apps oder Verknüpfungsversuchen von Fremden – vor allem, wenn Sie befürchten, dass Ihre Daten von Clubhouse, Facebook etc. veröffentlicht wurden.
  • Seien Sie auch wachsam gegenüber möglichen Phishing-Mails und Nachrichten – vor allem von Leuten, die Sie nicht kennen. Klicken Sie nicht auf Links oder Anhänge, bei denen Sie nicht sicher sind, dass sie harmlos sind. Kommen Sie von Bekannten, fragen Sie lieber einmal mehr nach.
  • Schützen Sie Ihre Accounts mit starken Passwörtern – und zwar mit einem individuellen Passwort pro Konto.
  • Richten Sie, wo möglich, eine Zwei-Faktor-Authentifizierung für alle Ihre Konten ein.
  • Hier können Sie überprüfen, ob Ihre Daten geleakt wurden. 

Die veröffentlichten Profilinformationen sind allerdings nicht der einzige Grund, warum Datenschützende Kritik an Clubhouse üben. In der folgenden Übersicht haben wir die wichtigsten Kritikpunkte für Sie zusammengestellt. 

Cyber-Security

Schützen Sie Ihre Passwörter mit diesen 3 Maßnahmen!

Weiterlesen

Übersicht: Kritik am Datenschutz von Clubhouse

Bei Clubhouse gibt es einige Datenschutz-Bedenken.

Im Laufe der letzten Monate sind einige Kritikpunkte am Datenschutz von Clubhouse aufgekommen. Mit einer der schwerwiegendsten Punkte ist, dass Kontaktbücher freigegeben werden müssen, um Einladungen zu verschicken. Das ist vor allem deshalb problematisch, weil hier die Daten Dritter ohne deren Einwilligung und ohne Möglichkeit des Widerspruchs weitergegeben werden. 

Die Daten werden von Clubhouse darüber hinaus zu Werbezwecken genutzt und es werden sogenannte Schattenprofile erstellt. Damit verstößt Clubhouse gegen die DSGVO.

In seiner Abmahnung fordert der Bundesverband der Verbraucherzentrale daher eine strafbewehrte Unterlassungserklärung. Kommt die Alpha Exploration Co. dem nicht nach, könnte der Verband eine Klage vor dem Landgericht Berlin einreichen und ein Bußgeld verhängen lassen. 

Stiftung Warentest bemängelt außerdem, dass Clubhouse eine Vielzahl an Daten seiner Nutzer*innen erhebt, die so nicht nötig sind. Die Stiftung bezeichnet diese Daten als „Eintrittspreis“ in die durch künstliche Verknappung exklusiv wirkende Community. Hinzu kommt, dass Clubhouse selbst auch Gespräche mitschneidet und für eine gewisse Zeit speichert. Der Hersteller möchte damit die Einhaltung der Nutzungsbedingungen sicherstellen.

Laut Stiftung Warentest kommt die App auch ihren Informations- und Transparenzpflichten nicht nach. Die Nutzer*innen werden nicht ausreichend über ihre Rechte und die Nutzung ihrer Daten aufgeklärt. Informationen zu Zweck und Speicherdauer der Daten sind beispielsweise unvollständig.

Aus Datenschutzsicht muss Clubhouse einige Maßnahmen ergreifen bis es als datenschutzkonform gilt. Hier sollte der Hersteller unbedingt nachbessern, wenn sich die App auch in Europa auf lange Sicht als neue Social-Media-Plattform behaupten soll. 

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Und Sie sind konstant auf dem Laufenden!

Newsletter Anmeldung

Quellen

Cybernews (2021): “Clubhouse data leak: 1.3 million scraped user records leaked online for free”, 10. April 2021, https://cybernews.com/security/clubhouse-data-leak-1-3-million-user-records-leaked-for-free-online/, letzter Zugriff am 07. Mai 2021.

Krempl, Stefan (2021): „Clubhouse: Ärger wegen Sicherheitslücken und Datentransfer nach China“, heise online, 15. Februar 2021, https://www.heise.de/news/Clubhouse-Aerger-wegen-Sicherheitsluecken-und-Datentransfer-nach-China-5055434.html, letzter Zugriff am 07. Mai 2021.

Süddeutsche Zeitung (2021): „Verbraucherschützer mahnen Clubhouse ab“, 27. Januar 2021, https://www.sueddeutsche.de/digital/clubhouse-abmahnung-datenschutz-1.5188332, letzter Zugriff am 07. Mai 2021.

Wenig, Yannick (2021): „Datenschutz von Clubhouse-App: Experten schlagen Alarm – Verstöße gegen EU-Recht“, Hessische/Niedersächsische Allgemeine, 22. Februar 2021, https://www.hna.de/verbraucher/app-clubhouse-neu-stiftung-warentest-datenschutz-urteil-dsgvo-apple-kassel-hna-ltt-zr-90205480.html, letzter Zugriff am 07. Mai 2021. 

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Einstellungen ändern Alle akzeptieren
Cookies