Cybersicherheit | IT-Schutz | Angriffsvektoren
Ganz aktuell liest man vermehrt von Data Scraping Vorfällen bei Facebook, LinkedIn oder Clubhouse. Doch was steckt genau hinter dieser Datensammlung? Wir sagen es Ihnen.
Was versteht man unter (Data) Scraping?
Der Begriff „Scraping“ kommt aus dem Englischen und bedeutet so viel wie ab- oder zusammenkratzen. Data Scraping bezeichnet eine Technik, bei der ein Computerprogramm Daten aus der lesbaren Ausgabe eines anderen Programms extrahiert – zusammenkratzt.
Bei diesem Scraping werden verschiedene Arten von Daten sehr schnell von Internetseiten, Plattformen oder sozialen Netzwerken gesammelt und gespeichert. Zumeist, um sie später für Analysezwecke zu nutzen.
Wo begegnet uns Scraping im Alltag?
Scraping begegnet uns im Alltag sehr oft. Suchmaschinen oder Preisvergleichsseiten nutzen Scraping, um Produkt-Feeds, Bilder, Preise und andere verwandte Produkt-Details zu sammeln und darzustellen. Dabei werden Informationen von vielen Internetseite zusammengetragen.
Auch im beruflichen Kontext wird Scraping häufig verwendet. Scraper – also diejenigen, die Scraping-Tools nutzen – sammeln zum Beispiel Daten von verschiedenen Unternehmen, um sich Einblicke über Marketinginformationen, Nutzerverhalten, Produktbewertungen oder Produktpreise zu verschaffen. Dadurch können sie Erkenntnisse über Konkurrenten gewinnen oder dem eigenen Unternehmen ein Wettbewerbsvorteil ermöglichen.
Data Scraping wird auch durchgeführt, um persönliche Informationen von Mitarbeiterinnen und MItarbeitern oder Kundinnen und Kunden zu erhalten. Zum Beispiel Kontaktdaten und Adressen, die anschließend an andere Unternehmen weiterverkauft werden. In vereinzelten Fällen können auch Cyber-Kriminelle Zugriff auf diese Informationen bekommen.
Scraping – Legitim oder Missbrauch?
Üblicherweise werden beim Scraping öffentlich zugängliche Daten gesammelt. Entscheidend ist jedoch, wie sie genutzt werden. Legitime Nutzungen stellen zum Beispiel die oben genannten Preisvergleichsseiten dar.
Die Daten können jedoch auch missbraucht werden. Zum Beispiel indem professionell erstellte Texte eines Unternehmens einfach kopiert und für andere Internetseiten genutzt werden. Oder indem Phishing-E-Mails an per Scraping gesammelte E-Mail-Adressen versendet werden. Ebenso können Cyber-Kriminelle mit Data Scraping Internetseiten detailgetreu kopieren und diese für Phishing-Versuche nutzen – zum Beispiel eine Login-Seite zum Online-Banking.
Social-Media-Kanäle stehen im Fokus
Ganz aktuell redet man davon, dass mehrere hundert Millionen persönliche Nutzerdaten veröffentlicht wurden und im Umlauf sind. „Gescraped“ wurden sie zum Beispiel bei dem Karriere-Netzwerk LinkedIn und bei der audio-basierten Social-Network-App Clubhouse.
Kurz zuvor verkündete auch Facebook, von Data Scraping betroffen zu sein. Hier geht es um mehrere hundert Millionen Profile.
Die betroffenen Plattformen sind sich allerdings keiner Schuld bewusst, da es sich bei diesen Data Scrapings nicht um durch Hacker verursachte Sicherheitsvorfälle handelt. Abgeschöpft wurden lediglich persönliche Daten, auf die Dritte durch die Apps oder öffentliche APIs ohnehin zugreifen können – und welche die Nutzerinnen und Nutzer selbst in ihren Profilen veröffentlicht haben. Dazu zählen unter anderen Namen, Profilnamen oder auch Foto-URLs.
Daten im Darknet gefunden
Scraping kann negative Folgen für die betroffenen Personen haben – auch wenn es sich hierbei nicht um “klassische Hackerangriffe” handelt, bei denen sich Cyber-Kriminelle unautorisiert Zugriff auf Systeme, Server oder Netzwerke verschaffen.
In den letzten Tagen und Wochen wurden mehrere Millionen Profildaten in bekannten Hackerforen zum Kauf angeboten. Teilweise wurden die Daten sogar kostenlos zur Verfügung gestellt. Laut Berichten waren sensible Daten wie zum Beispiel Kennwörter oder Kreditkarteninformationen allen Anschein nach nicht betroffen. Dennoch besteht die Möglichkeit, dass die veröffentlichten Daten mit anderweitig abgeschöpften Informationen kombiniert werden und dadurch ausreichend Informationen für Betrugsangriffe (z. B. Phishing, Brute-Force) bieten.
Wir raten zu erhöhter Aufmerksamkeit
Sollten Sie ein Profil (oder mehrere) bei den erwähnten sozialen Netzwerken haben, könnte es sein, dass Daten von Ihnen betroffen sind. Daher raten wir Ihnen in den kommenden Wochen zur erhöhten Aufmerksamkeit.
Seien sie besonders misstrauisch gegenüber verdächtigen Nachrichten und E-Mails, bei denen es sich um Versuche handeln könnte, die erfassten Daten für Betrugs-, Phishing- oder Social-Engineering-Angriffe zu nutzen.
Wie können Sie sich schützen?
Generell empfiehlt sich, bewusst mit der Veröffentlichung von Informationen im Internet und insbesondere in den sozialen Netzwerken umzugehen. Teilen Sie nur die Inhalte, die sie auch eine breite Öffentlichkeit sehen lassen würden. Seien Sie sich darüber hinaus bewusst, dass Ihre Daten ganz offiziell mit Dritten geteilt werden. Und dass sie von Personen oder z. B. durch Scraping-Tools gesammelt und weitergegeben werden.
Wie Sie überprüfen können, ob Daten von Ihnen veröffentlicht wurden und was Sie in diesem Fall tun können, erfahren Sie in diesem Blog-Artikel.
Cyber security | IT protection | Attack vectors
Currently, there are increasing reports of data scraping incidents on Facebook, LinkedIn and Clubhouse. But what exactly is behind this data collection? We explain.
What is (data) scraping?
The term ‘scraping’ refers to the act of scraping or scraping together. Data scraping is a technique in which a computer program extracts data from the readable output of another program – scraping it together.
In this type of scraping, various types of data are collected very quickly from websites, platforms or social networks and stored. This is usually done so that it can be used later for analysis purposes.
Where do we encounter scraping in everyday life?
We encounter scraping very often in everyday life. Search engines and price comparison sites use scraping to collect and display product feeds, images, prices and other related product details. This involves gathering information from many websites.
Scraping is also frequently used in a professional context. Scrapers – i.e. those who use scraping tools – collect data from various companies to gain insights into marketing information, user behaviour, product reviews or product prices. This enables them to gain knowledge about competitors or give their own company a competitive advantage.
Data scraping is also carried out to obtain personal information from employees or customers. This includes contact details and addresses, which are then sold on to other companies. In isolated cases, cyber criminals can also gain access to this information.
Scraping – legitimate or misuse?
Scraping usually involves collecting publicly available data. However, how this data is used is crucial. The price comparison websites mentioned above are examples of legitimate uses.
However, the data can also be misused.
For example, professionally written texts from a company can simply be copied and used for other websites. Or phishing emails can be sent to email addresses collected through scraping. Cybercriminals can also use data scraping to copy websites in detail and use them for phishing attempts – for example, a login page for online banking.
Social media channels are in the spotlight
The latest news is that several hundred million pieces of personal user data have been published and are now in circulation. The data was scraped from the career network LinkedIn and the audio-based social network app Clubhouse, among others.
Shortly before this, Facebook also announced that it had been affected by data scraping. Several hundred million profiles are involved here.
However, the platforms affected are not aware of any wrongdoing, as these data scraping incidents were not caused by hackers. Only personal data that third parties can access via the apps or public APIs was scraped – and which users themselves had published in their profiles. This includes names, profile names and photo URLs, among other things.
Data found on the darknet
Scraping can have negative consequences for the individuals concerned – even if these are not ‘classic hacker attacks’ in which cybercriminals gain unauthorised access to systems, servers or networks.
In recent days and weeks, several million pieces of profile data have been offered for sale on well-known hacker forums. In some cases, the data was even made available free of charge. According to reports, sensitive data such as passwords or credit card information does not appear to have been affected. Nevertheless, there is a possibility that the published data could be combined with information obtained elsewhere, providing sufficient information for fraudulent attacks (e.g. phishing, brute force).
We advise increased vigilance
If you have a profile (or several) on the social networks mentioned above, your data may be affected. We therefore advise you to exercise increased vigilance in the coming weeks.
Be particularly wary of suspicious messages and emails that could be attempts to use the collected data for fraud, phishing or social engineering attacks.
How can you protect yourself?
In general, it is advisable to be careful when publishing information on the Internet, especially on social networks. Only share content that you would want the general public to see. Also, be aware that your data is officially shared with third parties and that it may be collected and passed on by individuals or scraping tools, for example.
You can find out how to check whether your data has been published and what you can do in this case in this blog article.