Snapchat Millionen-Datenklau durch Hacker nach arroganter Ignoranz von Gibson Security Warnung

Hochmut kommt vor dem Fall: Jetzt ist es also doch zu einem Hacking-Angriff auf den US-amerikanischen Kurz-Messenger und Photo-Messenger Snapchat gekommen. Der Handy-Dienst ist ein Konkurrent zu Whatsapp, Viber oder Line: Hacker klauten Millionen Daten und sollen diese kurzfristig online gestellt haben.

Doch Snapchat schien es nicht für nötig gehalten zu haben, die Datensicherheit seiner rund 4 Millionen Nutzer (was im Vergleich zu sonstigen Messenger-Anbietern auf Handys nicht viel ist) deutlich zu erhöhen. Im Gegenteil: Arrogant hatte man noch vor wenigen Tagen mitgeteilt, wonach die Kritik an der Datensicherheit von Snapchat übertrieben sei und man sowieso bereits Vorkehrungen getroffen habe, um die Daten der Nutzer - immerhin 4 Millionen Telefonnummern und die Nutzernamen, auch deren Email-Adressen - zu schützen. Kurz darauf belehren uns Hacker nun des Gegenteils.

Jetzt kündigte Snapchat nach dem Hackerangriff erneut an, weiter an der Datensicherheit seiner Kunden - bislang primär in den USA -zu arbeiten. So habe man nun die Snapchat APP geupdatet, um die Software weniger anfällig für Hackerangriffe zu machen. Wie überheblich die Jungs von Snapchat agieren, zeigt sich auch daran, dass man noch im November 2013 ein angebliches Übernahmeangebot durch das benachbarte kalifornische Unternehmen Google in Höhe von 3 Milliarden Dollar für zu niedrig gehalten hatte. Schon damals fragte sich die Internetszene: Sind die Erfinder von Snapchat größenwahnsinnig oder notorische Russisch-Roulett-Spieler?

Erstaunlich ist, wie US-Medien über den Fall Snapchat berichten und den Datenskandal herunterspielen. So schreibt beispielsweise theinquirer.net: "Seit dem Bekanntwerden der Sicherheitslücke hat die Firma (Snapchat) das ernster genommen und ist derzeit im Prozess die Applikation sicherer zu machen und weniger offen gegen Hacking-Angriffe und Datenklau zu sein."

Ebenfalls ist erstaunlich, wie egal es Snapchat scheinbar ist, dass Millionen Daten der Nutzer geklaut werden können. So schwadroniert das Unternehmen: "Wir haben in einem Blog letzten Freitag bekannt gegeben, dass es möglich ist für Angreifer über die Snapchat-Funktion Find Friends eine große Menge von zufällig eingespielten Telefonnummern (der Snapchat-Nutzer) herunterzuladen und diese mit Snapchat-Nutzernamen zu kombinieren.... der jetzige Hackerangriff hat keine weiteren Informationen klauen können, auch keine Snaps..."

Seltsam auch ist die weitere Erklärung, was man nun tun wolle. So teilte Snapchat mit, das update würde es Snapchattern erlauben, "to opt out of appearing in Find Friends after they have verified their phone number".

Nur: Snapchat fordert einen geradezu penetrant auf, diese Friend-Funktion (ähnlich wie bei Whatsapp) zu aktivieren. Allerdings hat Snapchat hier einen Vorteil - oder, je nach Sichtweise - einen Nachteil: Ein Freund muss aktiv Snapchat installieren und dann dem anderen Snapchatter bestätigen, dass er über Snapchat kontaktiert werden möchte. Andernfalls können keine Snapchats über das Smartphone - in der Regel kurz Fotonachrichten, die sich wenige Momente später automatisch löschen - gesendet werden.

Ebenfalls für Nutzer wenig erfreulich ist, dass Snapchat sich so gut wie nicht bei seinen Nutzern für den Klau ihrer Daten entschuldigt hat und personelle Konsequenzen zieht. Zumindest ist bislang nicht bekannt, dass die Entwickler und leitenden Personen, die von dem Datenleck seit August - also seit gut einem halben Jahr! - wussten (Dank Gibson Security) hier nun das getan hat, was man tun müsste: Nämlich Mitarbeiter, die so schlampig und fahrlässig mit der Datensicherheit umgehen, zu entlassen. Man könnte aber auch annehmen, dass hier einmal mehr das alte Sprichwort gilt: Der Fisch stinkt immer vom Kopf ab.

Denn auch hier schiebt Snapchat nun die Schuld Gibson Security in die Schuhe. So sei man enttäuscht, dass Gibson Security öffentlich Druck auf Snapchat ausgeübt habe, denn nur durch die Veröffentlichungen seien Hacker auf die Sicherheitslücke aufmerksam gemacht worden. So sagt Snapchat auf seinem Blog, es wären nicht Millionen Daten geklaut worden, wenn nicht Gibson Security über die Sicherheitslücke berichtet hätte.

Nur: Gibson Security hatte erst Monate später der Öffentlichkeit umfangreicher über die Sicherheitslücke berichtet. Gleichzeitig hatte Gibson Security mitgeteilt, wonach man von August bis Dezember vergeblich auf eine Antwort von Snapchat gewartet habe.

Im Gegenzug war Gibson Security dennoch so fair und hatte die Sicherheitslücke nicht schon im August öffentlich gemacht. Erst ab Mitte Dezember tauchten vermehrt Berichte über Snapchats Datenproblem in Online-Artikeln - auch auf Netz-Trends - auf.

Snapchat schreibt zu dem Vorgang: "Eine Sicherheitsgruppe publizierte im August 2013 einen Report über einen potentiellen Datenmissbrauch in dem Feature Find Friends. Daraufhin haben wir kurz danach Maßnahmen getroffen, wie eine Limitierung von Kontakt-Angaben, um der Besorgnis (auf Datenklau) zu begegnen." Empört zeigt sich Snapchat, dass Gibson Security an Neujahr dann die API öffentlich gemacht habe. Das erst habe einen Angriff angeblich möglich gemacht und beschleunigt.

Konkret lautete die Stellungnahme von Snapchat: "A security group first published a report about potential Find Friends abuse in August 2013. Shortly thereafter, we implemented practices like rate limiting aimed at addressing these concerns.... On Christmas Eve, that same group publicly documented our API, making it easier for individuals to abuse our service and violate our Terms of Use."

Auch hier gilt wieder: Es ist das Recht, wenn nicht die Pflicht von Gibson Security, im Sinne des Verbraucherschutzes, im Sinne des Datenschutzes, der Öffentlichkeit erhebliche Sicherheitslücken großer Datenkranken - wozu Snapchat gehört - bekannt zu geben. Dieses gilt umso mehr, als dass Snapchat Monate Zeit hatte, das Datenproblem zu lösen.

Falls Snapchat nun vorhaben sollte, Gibson Security zu verklagen, kann man davor nur warnen: Das käme bei den rund 4 Millionen Nutzern, die zu Recht sauer auf Snapchat sind, sicherlich nicht gut an. So sagte ein deutscher Nutzer von Snapchat gegenüber Netz-Trends: "Ich bin froh, dass Gibson Security hier monatelang am Ball geblieben ist. Wenn Snapchat nun versucht, den Bock zum Gärtner zu machen und Gibson Security verklagen sollte, bin ich längste Zeit Snapchat-Nutzer gewesen. Bis heute sei bei dem Nutzer auch "keine Entschuldigung für den möglichen Klau meiner Daten bei mir eingetroffen".