Ein riesiger Laden von Daten, die Informationen über etwa eine Milliarde chinesische Einwohner enthalten, könnte einer der größten Verstöße gegen personenbezogene Daten in der Geschichte sein.
Teile der durchgesickerten Daten tauchten letzte Woche in einem bekannten Cybercrime-Forum von jemandem auf, der den Cache für 10 Bitcoins oder etwa 200.000 US-Dollar verkaufte, und wurden angeblich aus einer in Alibabas Cloud gespeicherten Datenbank der Polizei in Shanghai abgeschöpft.
Obwohl Details der Verletzung spärlich bleiben, wurden Teile der Daten als echt verifiziert, was darauf hindeutet, dass zumindest einige der Daten echt sind. Woher die Daten stammen und wie sie in die Hände eines Untergrundhändlers gelangten, dessen Motive nicht bekannt sind, ist noch unklar.
Auf dem chinesischen Festland, wo Sprach- und Ausdrucksbeschränkungen streng kontrolliert werden und der Internetzugang zensiert und streng eingeschränkt ist, wurde die Nachricht von dem mutmaßlichen Verstoß weitgehend nicht gemeldet.
Der Verstoß wirft, wenn er authentisch ist, Fragen über das enorme Ausmaß von Chinas Überwachungsstaat auf, dem größten und expansivsten der Welt, und Pekings Fähigkeit, diese Daten sicher zu halten.
Hier ist, was wir bisher gelernt haben.
Wie sind die Daten durchgesickert?
In einem inzwischen gelöschten Beitrag im Cybercrime-Forum behauptete der Verkäufer, die Daten von einem Cloud-Speicherserver heruntergeladen zu haben, der von Alibaba, dem Cloud-Computing-Zweig des chinesischen E-Commerce-Giganten, gehostet wird. Als es am Montag von Tech erreicht wurde, sagte Alibaba, dass es die Behauptungen prüfe.
Wie genau die Daten durchgesickert sind, ist unklar, aber Experten sagen, dass die Datenbank möglicherweise falsch konfiguriert und durch menschliches Versagen offengelegt wurde seit April 2021 bevor es entdeckt wurde. Dies scheint ausgeschlossen ein Anspruch dass die Zugangsdaten der Datenbank versehentlich als Teil eines technischen Blogbeitrags auf einer chinesischen Entwicklerseite im Jahr 2020 veröffentlicht und später verwendet wurden, um die Milliarden Datensätze aus der Polizeidatenbank abzuschöpfen, da für den Zugriff keine Passwörter erforderlich waren.
Bob Diachenko, ein ukrainischer Sicherheitsforscher, sagte gegenüber Tech, dass seine eigenen Überwachungsaufzeichnungen zeigen, dass die Datenbank Ende April auch über ein Kibana-Dashboard, eine webbasierte Software zur Visualisierung und Suche in riesigen Elasticsearch-Datenbanken, offengelegt wurde. Wenn die Datenbank nicht wie angenommen ein Passwort erfordert hätte, hätte jeder auf die Daten zugreifen können, wenn er die Webadresse gekannt hätte.
Sicherheitsforscher scannen das Internet häufig nach versehentlich exponierten Datenbanken oder anderen sensiblen Daten, oft um Prämien zu sammeln, die von den Unternehmen angeboten werden, bei deren Sicherung sie helfen. Aber auch Bedrohungsakteure führen dieselben Scans durch, oft mit dem Ziel, Daten aus einer exponierten Datenbank zu kopieren, zu löschen und die Rückgabe der Daten gegen eine Lösegeldzahlung anzubieten – eine in den letzten Jahren immer häufiger von kriminellen Müllcontainer-Tauchern angewandte Taktik. Diachenko sagte, das sei bei dieser Gelegenheit passiert; Ein bösartiger Akteur fand, plünderte und löschte die exponierte Datenbank und hinterließ eine Lösegeldforderung, die 10 Bitcoins für ihre Rückgabe forderte.
„Meine Hypothese hier ist, dass der Lösegeldschein nicht funktioniert hat und der Angreifer beschlossen hat, woanders Geld zu bekommen. Oder ein anderer böswilliger Akteur stieß auf die Daten und beschloss, sie zum Verkauf anzubieten“, sagte Diachenko.
Über den Verkäufer ist wenig bekannt oder aus welchem Grund die Daten online abgelegt wurden. Es ist nicht ungewöhnlich, dass große Mengen an personenbezogenen Daten in Cybercrime-Foren und im Dark Web zum Verkauf angeboten werden, aber selten bei so sensiblen Daten oder in einer solchen Menge.
Wie sehen die Daten aus?
Tech überprüfte eine größere Stichprobe der vom Verkäufer hochgeladenen Daten, die drei Dateien mit einer Gesamtgröße von etwa 500 Megabyte und jeweils 250.000 einzelnen Datensätzen enthielt.
Die Daten selbst sind in JSON formatiert, einem Standarddateiformat für Elasticsearch-Datenbanken, wodurch sie einfach zu lesen und zu analysieren sind. Das Format der Datenbank deutet darauf hin, dass sie akribisch gepflegt und heruntergeladen wurde, anstatt durch reine Aggregation von Informationen aus mehreren Datenquellen erstellt zu werden, eine gängige Technik, die von Informationsverkäufern und Datenmaklern verwendet wird. Einige Daten stammen jedoch möglicherweise aus externen Quellen, z. B. aus Lieferaufträgen für Lebensmittel.
Was die Daten wahrscheinlich echt macht, ist die schiere Größe der Daten und dass der Detaillierungsgrad schwierig – wenn auch nicht unmöglich – zu fälschen wäre.
Tech übersetzte die Polizeiakten, die auf Chinesisch verfasst waren, und redigierte personenbezogene Daten.
Die Akten scheinen detaillierte Polizeiberichte von 1995 bis 2019 zu enthalten, darunter Namen, Adressen, Telefonnummern, Identitätsnummern, Geschlecht sowie den Grund, warum die Polizei gerufen wurde. Die von Tech eingesehenen Aufzeichnungen enthalten detaillierte Koordinaten, an denen Vorfälle aufgetreten sind oder Polizeiberichte erstellt wurden – und die Namen der Informanten, die die Berichte erstellt haben – die mit den genauen Adressen übereinstimmen, die auch in jedem Datensatz aufgeführt sind, sowie die Rasse und ethnische Zugehörigkeit der Personen. (Die chinesische Regierung hat über eine Million ihrer eigenen Bürger inhaftiert, hauptsächlich Angehörige ethnischer Gruppen muslimischer Minderheiten, darunter Uiguren und Kasachen, was die Biden-Regierung zum „Völkermord“ erklärt hat.)
Die Aufzeichnungen enthalten Beschwerden und strafrechtliche Vorwürfe von schweren Gewaltverbrechen bis hin zu relativ banalen, wie z. B. detaillierte Berichte über Kreditkartenbetrug, Internetbetrug und Glücksspiel, das in China illegal ist. Mehrere von Tech eingesehene Aufzeichnungen zeigen Polizeiberichte, in denen gegen die Verwendung von VPNs oder virtuellen privaten Netzwerken vorgegangen wird, die für den Zugriff auf Websites verwendet werden, die von Chinas Zensursystem blockiert werden und als solche in China verboten sind. Eine Aufzeichnung zeigte, dass ein Einwohner von Shanghai beschuldigt wurde, ein VPN verwendet zu haben, um kritische Bemerkungen über die Regierung auf Twitter zu posten, was in China verboten ist. Was danach mit der Person geschah, ist nicht bekannt.
Die Daten enthielten auch vollständige Webadressen zu Fotos, die auf demselben Server gespeichert waren, von denen zum Zeitpunkt des Schreibens keines zugänglich war, aber die zugehörigen Daten geben oft an, was hochgeladen wurde, wie z. B. die Aufenthaltsdokumente einer Person oder ihr Reisepass bei der Ausreise. Diese Webadressen sind so formatiert, dass sie mit der Art und Weise übereinstimmen, wie der Cloud-Dienst von Alibaba Dateien speichert.
Viele der von uns untersuchten Aufzeichnungen schienen Informationen über Kinder zu enthalten, basierend auf ihren Geburtsdaten und ihrem Alter, die in den Daten aufgeführt sind.
Ohne die (unwahrscheinliche) Bestätigung der chinesischen Regierung ist es schwierig, mit Sicherheit festzustellen, ob die Behauptungen des Verkäufers echt sind und ob die Daten, wie behauptet wird, von der Polizeibehörde in Shanghai stammen. Das Wallstreet Journal, Die New York Timesund CNN haben Teile der Daten verifiziert, indem sie Personen angerufen haben, deren Informationen in der Datenbank gefunden wurden, was ihrer Authentizität Gewicht verleiht.
Was ist die Auswirkung?
Dieser mutmaßliche Verstoß könnte, wenn er sich als legitim erweist, für Peking sehr schädlich sein und wirft Fragen zu den Cybersicherheitsmaßnahmen der Regierung und den Auswirkungen auf, die der Verstoß auf Einzelpersonen haben wird.
Es kommt zu einer Zeit, in der China den Schutz personenbezogener Daten verstärkt. Im vergangenen September verabschiedete China das Gesetz zum Schutz personenbezogener Daten, seine erste umfassende Datenschutzgesetzgebung, die weithin als Chinas Äquivalent zu den Datenschutzbestimmungen der DSGVO in Europa angesehen wird. Das Gesetz schränkt ein, wie Unternehmen personenbezogene Daten sammeln können, und wird voraussichtlich weitreichende Auswirkungen auf die Werbegeschäfte der größten Technologiegiganten des Landes haben, erlaubt jedoch weitreichende Ausnahmen für Regierungsbehörden und -abteilungen, die Chinas enorme Überwachungskapazitäten ausmachen.
Peking ist angeblich schon Nachrichten über den mutmaßlichen Verstoß werden zensiert, und die chinesischen Messaging-Apps WeChat und Weibo blockieren Nachrichten und Erwähnungen wie „Datenleck“ und „Datenbankverletzung“. Die chinesische Regierung hat sich bisher nicht zu dem Verstoß geäußert.
Es ist nicht die erste Sicherheitslücke, bei der ein riesiger Satz von Daten chinesischer Einwohner ohne Passwort dem breiteren Internet ausgesetzt wurde. Im Jahr 2019 berichtete Tech, dass eine Smart-City-Installation in China den Inhalt einer Gesichtserkennungsdatenbank von Anwohnern in der Nähe verschüttete.
Sie können diesen Reporter auf Signal und WhatsApp unter +1 646-755-8849 oder [email protected] per E-Mail kontaktieren.