Ein riesiger Chinese Die Datenbank, in der Millionen von Gesichtern und Fahrzeugkennzeichen gespeichert sind, blieb monatelang im Internet ungeschützt, bevor sie im August stillschweigend verschwand.
Während sein Inhalt für China, wo Gesichtserkennung Routine und staatliche Überwachung allgegenwärtig ist, unauffällig erscheinen mag, ist die schiere Größe der exponierten Datenbank überwältigend. Zu Spitzenzeiten enthielt die Datenbank über 800 Millionen Datensätze, was eine der größten bekannten Datensicherheitslücken des Jahres darstellt, gefolgt von einem massiven Datenleck von 1 Milliarde Datensätzen aus einer Datenbank der Polizei in Shanghai im Juni. In beiden Fällen wurden die Daten wahrscheinlich versehentlich und aufgrund menschlicher Fehler offengelegt.
Die exponierten Daten gehören einem Technologieunternehmen namens Xinai Electronics mit Sitz in Hangzhou an der Ostküste Chinas. Das Unternehmen baut Systeme zur Zugangskontrolle für Menschen und Fahrzeuge zu Arbeitsplätzen, Schulen, Baustellen und Parkhäusern in ganz China. Seine Website wirbt für die Verwendung der Gesichtserkennung für eine Reihe von Zwecken, die über den Gebäudezugang hinausgehen, einschließlich Personalmanagement, wie Gehaltsabrechnung, Überwachung der Anwesenheit und Leistung der Mitarbeiter, während sein cloudbasiertes Kfz-Kennzeichenerkennungssystem es Fahrern ermöglicht, für das Parken in unbeaufsichtigten Garagen zu bezahlen werden von Mitarbeitern aus der Ferne verwaltet.
Durch ein riesiges Netzwerk von Kameras hat Xinai Millionen von Gesichtsabdrücken und Nummernschildern angehäuft, von denen seine Website behauptet, dass die Daten auf seinen Servern „sicher gespeichert“ sind.
Aber das war es nicht.
Sicherheitsforscher Anurag Sen fand die exponierte Datenbank des Unternehmens auf einem von Alibaba gehosteten Server in China und bat Tech um Hilfe bei der Meldung der Sicherheitslücke an Xinai.
Laut Sen enthielt die Datenbank eine alarmierende Menge an Informationen, die von Tag zu Tag schnell wuchs und Hunderte Millionen Datensätze und vollständige Webadressen von Bilddateien umfasste, die auf mehreren Domains gehostet wurden, die Xinai gehörten. Aber weder die Datenbank noch die gehosteten Bilddateien waren passwortgeschützt und konnten von jedem, der wusste, wo er suchen musste, über den Webbrowser aufgerufen werden.
Die Datenbank enthielt Links zu hochauflösenden Fotos von Gesichtern, darunter Bauarbeiter, die Baustellen betreten, und Bürobesucher, die einchecken, sowie andere persönliche Informationen wie Name, Alter und Geschlecht der Person sowie die ID-Nummern der Einwohner, die Chinas Antwort auf national sind Ausweise. Die Datenbank enthielt auch Aufzeichnungen von Fahrzeugkennzeichen, die von Xinai-Kameras in Parkhäusern, Einfahrten und anderen Büroeingängen erfasst wurden.
Fotos von Kfz-Kennzeichen, die in ganz China verfolgt wurden. Bildnachweis: Tech (zusammengesetzt)
Tech schickte mehrere Nachrichten über die exponierte Datenbank an E-Mail-Adressen, von denen bekannt ist, dass sie mit dem Gründer von Xinai in Verbindung stehen, aber unsere E-Mails wurden nicht zurückgesendet. Die Datenbank war Mitte August nicht mehr zugänglich.
Aber Sen ist nicht die einzige Person, die die Datenbank entdeckt hat, während sie offengelegt wurde. Eine undatierte Lösegeldforderung, die von einem Datenerpresser hinterlassen wurde, der behauptete, den Inhalt der Datenbank gestohlen zu haben, der sagte, dass er die Daten im Austausch für Kryptowährung im Wert von ein paar hundert Dollar wiederherstellen würde. Es ist nicht bekannt, ob der Erpresser Daten gestohlen oder gelöscht hat, aber die in der Lösegeldforderung hinterlassene Blockchain-Adresse zeigt, dass er noch kein Geld erhalten hat.
Chinas Überwachungsstaat erstreckt sich tief in den privaten Sektor und gibt Polizei und Regierungsbehörden nahezu uneingeschränkten Zugang und die Möglichkeit, Personen und Fahrzeuge im ganzen Land zu verfolgen. China nutzt die Gesichtserkennung, um seine riesige Bevölkerung in intelligenten Städten zu verfolgen, nutzt die Technologie aber auch zur Massenüberwachung von Minderheiten, die Peking seit langem unterdrücken soll.
China hat im vergangenen Jahr das Gesetz zum Schutz personenbezogener Daten verabschiedet, sein erstes umfassendes Datenschutzgesetz, das als Chinas Äquivalent zu den Datenschutzbestimmungen der DSGVO in Europa angesehen wird und darauf abzielt, die Datenmenge zu begrenzen, die Unternehmen sammeln, aber Polizei- und Regierungsbehörden, aus denen China besteht, weitgehend ausnimmt riesigen Überwachungsstaat.
Aber jetzt, da in den letzten Monaten zwei Massendaten offengelegt wurden, sind sowohl die chinesische Regierung als auch Technologieunternehmen schlecht gerüstet, um die riesigen Datenmengen zu schützen, die ihre Überwachungssysteme sammeln.