Der russische Technologieriese Yandex hat einen seiner Mitarbeiter für den Hackerangriff und das anschließende Datenleck verantwortlich gemacht Yandex-Lebensmittelein beliebter Essenslieferdienst in Russland.
Unter den vielen betroffenen Benutzern sind Dienstboten der russischen Sicherheitsdienste und des Militärs, die in mehreren Fällen sogar Lebensmittel mit ihren offiziellen E-Mail-Adressen an ihren Arbeitsplatz bestellten.
Dieses 1,2-Gigabyte-Leck enthält Benutzer-E-Mails und -Passwörter sowie eine große Anzahl von Telefonnummern, Adressen und auf der Plattform getätigten Bestellungen. Russlands staatlicher Medienwächter Roskomnadzor hat stark versucht seine Verbreitung zu blockieren.
Einige Ermittler haben aus diesem Datenleck bereits Anhaltspunkte für Ermittlungen zur Korruption aufgedeckt, nämlich die 170 Millionen Rubel (~2 Millionen US-Dollar) teure Wohnung des russischen Präsidenten Wladimir Putin.heimliche Tochter“.
Благодаря слитой базе «Яндекса» нашлась ещё одна квартира экс-любовницы Путина Светланы Кривоногих. Именно туда их дочь Луиза Розова заказывала еду. Квартира 400 m², стоит примерно 170 млн рублей!https://t.co/z3uGKOdQhc pic.twitter.com/tOGXOsFmRY
— Соболь Любовь (@SobolLubov) 23. März 2022
Bellingcat hat die Daten analysiert, um ihre Authentizität zu überprüfen und neue Ermittlungshinweise aufzudecken. Durch den Querverweis von Datenpunkten innerhalb dieses Lecks auf unabhängige Quellen, einschließlich Social-Media-Profile und andere durchgesickerte Datenbanken, können wir bestätigen, dass es tatsächlich authentisch ist. Wie bei den meisten Datenlecks hat die überwiegende Mehrheit dieser Informationen jedoch keine legitimen Forschungszwecke, daher verlinken wir nicht mit den Daten selbst. Persönliche Daten wurden in diesem Artikel in Screenshots verdeckt.
Wir haben dieses Leak lediglich genutzt, um weitere Informationen über die Subjekte früherer Ermittlungen zu finden – von denen viele Mitglieder der russischen Sicherheitsdienste und des russischen Militärs sind.
Was ist im Leck?
Der Hauptteil des Datenlecks umfasst Bestellinformationen sowie einige vom Benutzer gesammelte persönliche Informationen. Dazu gehören ihre Yandex.Food-ID, Adresse, Kontaktdaten, Lieferanweisungen, Rechnungsinformationen und Metadaten.
Eine Adresse, nach der Bellingcat gesucht hat, ist die Dorozhnaya-Straße 56 in Moskau. Diese Einrichtung ist mit der russischen Nationalgarde (Rosgvardia) verbunden, die bei der Invasion der Ukraine aktiv war.
Zunächst ist hier ein Beispiel dafür, wie persönliche Daten von Benutzern, die Essen bestellt haben, im Leak angezeigt werden.
Der Vorname ist ein Pflichtfeld, aber der vollständige Name wird oft leer gelassen. Unten hat ein fiktiver Andrey Andreyev seine Bestellung aufgegeben. Das E-Mail-Feld ist ebenfalls optional, obwohl die Telefonnummer erforderlich ist. In einigen Fällen werden Benutzerdaten mit Telefonnummer, Name und E-Mail-Adresse auch dann aufgenommen, wenn keine Bestellung aufgegeben wurde – wahrscheinlich ab dem Zeitpunkt, an dem sich ein Benutzer registriert, aber keine Bestellung in der App aufgegeben hat.
Ebenfalls enthalten ist die Lieferadresse – nicht zu verwechseln mit der Wohnadresse des Nutzers, die nicht in diesen Daten enthalten ist – mit dazugehörigen Lieferanweisungen. Diese Lieferanweisungen, die später in diesem Artikel beschrieben werden, sind einige der faszinierendsten Datenpunkte dieses Lecks.
Im folgenden Fall, in dem Adress- und Lieferanweisungsdaten angezeigt werden, die eine tatsächliche Yandex.Food-Bestellung widerspiegeln, gab der Kunde an, dass die Bestellung an die Militäreinheit 3792 gesendet wird und dass er die aufgeführte Nummer anrufen sollte, wenn er ankommt, um sie abzuholen das Eingangstor. Diese Militäreinheitsnummer entspricht an das 681. motorisierte Spezialregiment von Rosgvardia.
Die letzten Felder sind der Breiten- und Längengrad des Benutzers zum Zeitpunkt der Bestellung, der für die Bestellung berechnete Betrag (738 Rubel, was ungefähr 8,76 US-Dollar entspricht), das verwendete Betriebssystem oder der verwendete Browser, der Zeitpunkt der Bestellung und schließlich alle Benutzerkommentare dazu ein Türcode.
Für Forscher sind hier wohl die Koordinaten das einzig sinnvolle Feld, da die Koordinaten in der Regel mit der Lieferadresse übereinstimmen. In diesem Fall stimmen sie mit der Adresse Dorozhnaya 56 in Moskau überein.
Die überwiegende Mehrheit dieser Daten betrifft normale russische Bürger, deren Bestellgewohnheiten für investigative Recherchen nicht sehr nützlich sind. Die gezielte Ausrichtung von Adressen, Telefonnummern, Namen und Notizen in Lieferanweisungen kann Forscher jedoch auf einige interessante Hinweise hinweisen.
GRU zu MFA?
Wir haben die Telefonnummern im Leck nach einer Vielzahl von Personen durchsucht, die mit dem GRU, Russlands ausländischem Militärgeheimdienst, in Verbindung stehen und die wir in den letzten Jahren entdeckt haben.
Eine dieser Nummern ist für einen Mann namens Yevgeny, der mit der GRU-Akademie verbunden war und ein Kontakt des hochrangigen GRU-Offiziers Andrei Ilchenko war. Nachdem wir nach seiner Telefonnummer gesucht hatten, fanden wir eine Bestellung, die er an die 1. Neopalimovsky Lane 12 in Moskau aufgegeben hatte. Diese Adresse wird öffentlich als aufgeführt besessen vom Konsulardienst des Außenministeriums. Weitere Recherchen zu dieser Person durch durchgesickerte Fahrzeugregistrierungsinformationen des Oblast Moskau ergaben ein Nummernschild eines Luxusautos, das 2019 in Kiew fotografiert wurde.
Es ist unklar, ob Yevgeny immer noch mit der GRU verbunden ist oder ob er einen neuen Job beim MFA hat, aber dank der Informationen, die in seinem Essenslieferauftrag offenbart wurden, wurde es möglich, seine jüngsten Aktivitäten weiter zu untersuchen.
FSB-Gesprächspartner identifiziert
Während unserer Untersuchung der Vergiftung von Alexey Nawalny durch ein Team von FSB-Beamten analysierten wir zahlreiche Anrufe von Telefonnummern, die mit denjenigen verbunden waren, die die Operation durchgeführt und geplant hatten.
Eine Nummer, die ziemlich oft auftauchte, war die eines Forschungsinstituts in Dubna, einem nördlichen Vorort von Moskau. Wir konnten den Besitzer dieser Telefonnummer nicht identifizieren, bis wir im Yandex.Food-Leck danach gesucht haben, das den Namen dieser Person enthüllte, die häufig mit den FSB-Beamten sprach, die Nawalnys Vergiftung planten. Es ist unklar, welche Rolle diese Person bei der Organisation und Durchführung von Nawalnys Vergiftung genau gespielt hat, aber er telefonierte mit einem der FSB-Teammitglieder in der Nacht der Vergiftung und am folgenden Morgen, als Nawalny nach Omsk umgeleitet wurde.
Darüber hinaus hat er bei der Registrierung für den Dienst seine geschäftliche E-Mail-Adresse verwendet, um deutlich zu machen, dass es sich um dieselbe Person handelt und nicht nur um eine wiederverwendete Telefonnummer mit einem neuen Besitzer.
Identitäten von Militär- und Sicherheitsdiensten
Die vielleicht naheliegendste Verwendung dieser Datenbank (zumindest für Bellingcat) besteht darin, die persönlichen Daten der Benutzer mit den Funktionen der Einrichtungen an Adressen abzugleichen, die für Befehle verwendet werden – mit anderen Worten, um Spione und Soldaten zu finden.
Beginnen wir mit etwas Einfachem: der Adresse der GRU-Zentrale in Moskau, Khoroshovskoye Shosse 76.
Die Suche nach dieser Adresse bringt vier Ergebnisse (jeweils zwei für zwei verschiedene Benutzer namens Danila). Dies sind nur einige Ergebnisse für eine große Einrichtung, die entweder auf Zurückhaltung seitens der GRU-Mitarbeiter, oder eine Reihe von begehbaren Restaurants in der Nähe.
Wir können dem FSB nicht die gleiche Zurückhaltung oder Essensauswahl zuschreiben.
Die Suche nach dem Special Operation Center des FSB im Moskauer Vorort Balaschicha bringt 20 Treffer. Ein Grund dafür könnte die abgelegenere Lage dieser Einrichtung im Vergleich zum zentral gelegenen GRU-Hauptquartier. Diese Ergebnisse enthalten oft detaillierte Anweisungen, wie der Lieferfahrer das Essen zum Benutzer bringen soll; Ein Benutzer schrieb: „Gehen Sie zu den drei Boom-Barrieren in der Nähe der blauen Kabine und rufen Sie an. Nach der Haltestelle für Bus 110 bis zum Ende“.
Ein anderer Benutzer schrieb: „Geschlossenes Gebiet. Gehe zum Checkpoint. Anruf [number] zehn Minuten vor Ihrer Ankunft!“ Diese Nummer ist wahrscheinlich eine zweite Nummer, die mit demselben Benutzer verknüpft ist.
Angeln nach interessanten Adressen
Neben der Suche nach bekannten Adressen, die bereits von Interesse sind – Militärbasen, FSB- und GRU-Büros usw. – können Sie auch in den Lieferanweisungen nach neuen Orten suchen, die es wert sein könnten, zu graben. Bei der Suche nach войсковая часть (Militäreinheit) im Feld Lieferanweisungen wurden beispielsweise einige Dutzend Ergebnisse angezeigt, die darauf hinwiesen, dass der Lieferort eine Militärbasis ist und an einem Kontrollpunkt am Eingang abgegeben werden muss. In einigen Fällen vermerkt der Benutzer die spezifische Militäreinheitsnummer in der Anleitung.
Leckagen gehen unvermindert weiter
Dieses Leck markiert einen weiteren Eintrag in einer langen Liste massiver Datenschutzverletzungen für russische Bürger, von denen einige der größten Fahrzeugregistrierungsdaten, Benutzerinformationen von Social-Media-Plattformen (VK) und umfassende Flugreiseaufzeichnungen umfassen.
Ständige Datenströme fließen aus einer Reihe von Gründen aus Russland heraus, aber die offensichtlichsten sind geringfügige Korruption, allgegenwärtiges menschliches Versagen und die gegen sie gerichteten umfassenden Überwachungsgesetze des Staates.
Nach dem „Jarowaja Gesetze“, das 2016 verabschiedet wurde, mussten russische Telekommunikationsbetreiber Kundendaten pflegen. Diese Daten waren nur für die Verwendung durch die Sicherheitsdienste bestimmt, werden aber auch oft illegal an Online-Käufer verkauft. So wurde ein Gesetz zur Stärkung des FSB und anderer Sicherheitsdienste gegen sie eingesetzt, als Bellingcat und andere Ermittlungsbehörden die aufbewahrten Telekommunikationsdaten von FSB-Beamten erwerben, um Fehlverhalten aufzudecken.
Angesichts der zunehmenden Cyberangriffe von ukrainischen und pro-ukrainischen Hackerorganisationen sollten wir damit rechnen, dass mehr Regierungs- und Kundendatenbanken geleakt werden, von denen einige für die Untersuchung von Angelegenheiten im öffentlichen Interesse von Nutzen sein könnten.
Zusätzliche Recherchen von Michael Sheldon, Logan Williams und dem Investigative Tech Team von Bellingcat