Seit April behauptet ein Hacker, der bereits zuvor gestohlene Daten verkauft hat, bei einem US-Datenbroker sei es zu einem Datendiebstahl von Milliarden von Datensätzen gekommen, der mindestens 300 Millionen Menschen betraf. Damit handelt es sich um einen der größten mutmaßlichen Datendiebstähle des Jahres.
Die Daten, die Tech einsehen konnte, scheinen für sich genommen teilweise legitim – wenn auch nicht perfekt. Die gestohlenen Daten, die in einem bekannten Cybercrime-Forum beworben wurden, sind angeblich Jahre alt und umfassen die vollständigen Namen von US-Bürgern, ihre bisherige Privatadresse und ihre Sozialversicherungsnummern – Daten, die von Datenhändlern überall zum Verkauf angeboten werden.
Die Quelle des mutmaßlichen Datendiebstahls konnte jedoch nicht eindeutig bestätigt werden. Dies liegt in der Natur der Datenhändlerbranche, die persönliche Daten von Einzelpersonen aus unterschiedlichsten Quellen aufsaugt und dabei kaum oder gar keine Qualitätskontrolle durchführt.
Bei dem mutmaßlichen Datenbroker, um den es geht, handelt es sich laut dem Hacker um National Public Data, das sich selbst als „einer der größten Anbieter öffentlicher Aufzeichnungen im Internet“ bezeichnet.
Auf der offiziellen Website Nationale öffentliche Daten beansprucht den Zugang zu mehreren Datenbanken zu verkaufen: eine „Personensuche“, bei der Kunden nach Sozialversicherungsnummer, Name und Geburtsdatum, Adresse oder Telefonnummer suchen können; eine Datenbank mit US-Verbraucherdaten, „die über 250 Millionen Personen abdeckt“; eine Datenbank mit Wählerregistrierungsdaten, die Informationen zu 100 Millionen US-Bürgern enthält; eine Datenbank mit Strafregistern und mehrere mehr.
Malware-Forschungsgruppe vx-underground sagte am X (ehemals Twitter) teilte mit, dass sie die gesamte gestohlene Datenbank überprüft hätten und „bestätigen könnten, dass die darin enthaltenen Daten echt und richtig sind“.
„Wir haben nach mehreren Personen gesucht, die der Abfrage ihrer Daten zugestimmt hatten“, schrieb die Gruppe und fügte hinzu, dass sie die Daten dieser Personen finden konnten, darunter Namen, eine mehr als drei Jahrzehnte zurückreichende Adresshistorie und Sozialversicherungsnummern.
„Wir konnten auch ihre Eltern und nächsten Geschwister finden. Wir konnten jemanden identifizieren, [sic] Eltern, verstorbene Verwandte, Onkel, Tanten und Cousins“, schrieb vx-underground.
Tech unternahm ähnliche Anstrengungen, die Echtheit der Daten zu überprüfen – mit gemischten Ergebnissen.
Kontaktiere uns
Haben Sie weitere Informationen zu diesem oder ähnlichen Vorfällen? Von einem privaten Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Telegram, Keybase und Wire @lorenzofb oder per E-Mail erreichen. Sie können auch Zulkarnain Saer Khan über Signal unter +36707723819 oder über X erreichen. @ZulkarnainSaer. Sie können Tech auch über SecureDrop kontaktieren.
Bei unserer Überprüfung einer kleineren Stichprobe von fünf Millionen Datensätzen fanden wir Unmengen von Namen und Adressen, die mit entsprechenden öffentlichen Datensätzen übereinstimmten, aber auch einige Daten, die nicht immer Sinn ergeben – wie etwa E-Mail-Adressen mit unterschiedlichen Namen, die scheinbar keinen Zusammenhang mit den übrigen Daten der betreffenden Person haben. Einige Datensätze enthielten angebliche Informationen über bekannte hochrangige Personen, darunter die persönlichen Daten eines ehemaligen US-Präsidenten.
Tech hat dem US-Verteidigungsministerium, dem Hacker, der die Daten verkauft, die Namen von acht Personen zur Verfügung gestellt, die ihre Zustimmung gegeben haben, um zu überprüfen, ob der Hacker tatsächlich über legitime Daten verfügt. Der Hacker hat keine Daten der acht Personen zurückgegeben.
Tech kontaktierte außerdem hundert Personen, deren Nummern und E-Mails in der Stichprobe enthalten waren. Nur eine Person antwortete und bestätigte, dass ein Teil seiner angeblich gestohlenen Daten korrekt sei, aber nicht alle.
Auch die direkte Kontaktaufnahme mit der mutmaßlichen Quelle des Datendiebstahls brachte keine große Antwort.
Trotz mehrerer Versuche, das Unternehmen zu kontaktieren, hat National Public Data nicht geantwortet, ebenso wenig wie sein Gründer und CEO Salvatore Verini. Nachdem Tech letzte Woche erstmals Kontakt zu National Public Data aufgenommen hatte, nahm das Unternehmen seine Webseiten herunter, die Details zu den Datenbanken enthielten, zu denen es Zugang verkauft.
Nicht alle von Hackern behaupteten Datenlecks, insbesondere die in Hackerforen angekündigten, erweisen sich als real. Aus diesem Grund verbringen Tech und andere Cybersicherheitsreporter oft viel Zeit damit, einen Datenleck zu verifizieren, was manchmal zu nicht schlüssigen Ergebnissen führt.
Doch dieser angebliche Datenschutzverstoß eines Datenmaklers scheint ein Ausnahmefall zu sein, zum Teil weil einige der Daten echt erscheinen und andere bereits verifiziert sind.
Die Verbreitung und Kommerzialisierung personenbezogener Daten in der Datenbrokerbranche erschwert zudem die Ermittlung der Quelle von Datenlecks. Und selbst wenn dieser spezielle Datenverstoß ungelöst bleibt, zeigt er einmal mehr, dass die Datenbrokerbranche außer Kontrolle geraten ist und echte Datenschutzprobleme für normale Menschen darstellt.
Wir konnten das Rätsel um diesen Datendiebstahl nicht endgültig lösen, aber es gab genug Informationen, um unsere Verifizierungsbemühungen zu dokumentieren. Eines ist klar: Solange Datenhändler persönliche Informationen sammeln, besteht weiterhin das Risiko, dass die Daten an die Öffentlichkeit gelangen.