Eine Person namens ChinaDan bietet im Internet einen Datensatz von 23 Terrabyte an, der personenbezogene Daten enthalten und von der Shanghaier Polizei stammen soll. Die Echtheit der Daten ist bisher nicht verifiziert.
Daten von Kriminellen?
Den Angaben ChinaDans zufolge enthält der Datensatz die Namen, Adressen, Handynummern, Geburtsorte, nationale ID-Nummern sowie weitere Informationen von Kriminellen aus der Metropole Shanghai. Zum Verkauf steht der Datensatz bereits seit Ende Juni auf der Plattform breached.to. Der vorgebliche Hacker ChinaDan verlangt für die Daten zehn Bitcoins. China gilt als Überwachungsstaat und sammelt beinahe alle verfügbaren Daten seiner Einwohnenden. Großangelegte Videoüberwachung im öffentlichen Raum, personalisierte Zugangscodes zu wichtigen Internetplattformen, anlasslose Kontrollen, Straflager, in denen Minderheiten indoktriniert werden, usw. lassen eine ganze Menge an Daten entstehen. Prinzipiell erscheint es daher plausibel, dass die Shanghaier Polizei über einen derart gewaltigen Datenfundus verfügt – zumal bei der sehr laxen Labelung als kriminell in der chinesischen Diktatur.
Zugang über Elasticsearch
Bleepingcomputer berichtet, dass der CEO von Binance bestätigte, dass die von ChinaDan behaupteten Sicherheitslücken bestünden. Er sagte ferner, „dass das Leak wahrscheinlich auf eine ElasticSearch-Datenbank zurückzuführen ist, die eine chinesische Regierungsbehörde versehentlich online gestellt hat“. Die Shanghaier Polizei hat sich erwartungsgemäß nicht zu dem Vorfall geäußert. Ob er in China bekannt ist, ist unbekannt. Bemerkenswert ist in jedem Falle, dass die Daten im Clearnet und mit einsehbarer Kontaktadresse offeriert werden.
Bekannt ist bereits lnger, dass offene Elasticsearch-Datenbanken ein Einfallstor für Hacks darstellen. Über eine solche Lücke gelangte etwa eine Terrorwatchlist des FBI an die Öffentlichkeit.