Hacker verkauft 1 Milliarde Daten chinesischer Bewohner aus Shanghais Polizeidatenbank für 10 Bitcoins

Sicherheit (Pexels, allgemeine Nutzung)[English]US-Medien berichten, dass ein Hacker aktuell versucht, einen Datensatz von 23 Terabyte Umfang zum Preis von 10 Bitcoins (um die 195.000 Euro) zu verkaufen. Der Datensatz soll 1 Milliarde persönlicher Daten der Bevölkerung aus einer Polizeidatenbank der chinesischen Stadt Shanghai enthalten.


Anzeige

Ich bin gestern über einige Tweets auf den Sachverhalt aufmerksam geworden, der vom The Guardian öffentlich gemacht wurde.

Die Daten sollen aus der Datenbank der Polizei von Shanghai stammen. Der anonyme Hacker mit dem Alias ChinaDan hat das Angebot letzte Woche im Hackerforum Breach Forums eingestellt und schrieb:

Im Jahr 2022 wurde die Datenbank der Shanghai National Police (SHGA) geleakt. Diese Datenbank enthält viele TB an Daten und Informationen über Milliarden von chinesischen Bürgern.

Die Datenbanken enthalten Informationen über 1 Milliarde chinesische Bürger und mehrere Milliarden Falldatensätze, einschließlich: Name, Adresse, Geburtsort, nationale ID-Nummer, Handynummer, alle Details zu Verbrechen und Fällen.

Der Guardian versuchte dies zu verifizieren, was ihm aber wohl nicht gelang – die in der Datenbank angegebenen Telefonnummern waren nicht mehr im Gebrauch, als die Redaktion versuchte, dort anzurufen. Offizielle Stellen in China haben sich bis zum gestrigen 4. Juli 2022 nicht zu dem angeblichen Datenhack geäußert. Der Beitrag von ChinaDan wurde am Wochenende auf den chinesischen Social-Media-Plattformen Weibo und WeChat heftig diskutiert, wobei viele Nutzer befürchteten, dass er echt sein könnte.

China hat in den letzten Jahren eine Reihe von Datenlecks erlebt, schreibt The Guardian. Im Jahr 2016 wurden sensible Informationen über einflussreiche chinesische Persönlichkeiten, darunter der Gründer von Alibaba, Jack Ma, auf Twitter veröffentlicht.

Yi Fu-Xian, ein leitender Wissenschaftler an der Universität von Wisconsin-Madison, wird von The Guardian zitiert, dass dieser die im Internet verfügbaren Stichprobendaten heruntergeladen und Informationen über seinen Heimatbezirk in der Provinz Hunan gefunden habe. "Die Daten enthielten Informationen über fast alle Landkreise in China, und ich habe sogar Daten über einen abgelegenen Landkreis in Tibet entdeckt, in dem nur ein paar Tausend Menschen leben", sagte er und fügte hinzu, dass die aus den Daten ermittelte demografische Entwicklung "schlimmer ist als von den Behörden berichtet".

Es scheint, als ob die allgegenwärtige Überwachung China nun auf die Füße fällt. Diese Vorfälle alarmierten jedenfalls die chinesischen Behörden. Im vergangenen Jahr verabschiedete China Gesetze, die den Umgang mit persönlichen Informationen und Daten regeln, die innerhalb der Landesgrenzen generiert werden. Der Hashtag "Shanghai data leak" wurde am Sonntagnachmittag jedenfalls auf Weibo blockiert. Einigen chinesischen Nutzern ist offenbar klar geworden, wie gläsern der Mensch in China ist.

Datenbank offen im Internet erreichbar

Kurzer Nachtrag: Inzwischen stellt sich heraus, dass der "Hack" nicht wirklich einen Hack erforderte. Vielmehr stand die Datenbank der Polizeidatenbank von Shanghai mehr als ein Jahr offen im Internet. Das Wallstreet Journal berichtet (unter Bezug auf eigene Quellen) in diesem Beitrag vom 14. Juli 2022, dass Führungskräfte der Cloud-Sparte der Alibaba Group Holding im Zusammenhang mit dem Diebstahl einer riesigen Polizeidatenbank von den den Shanghaier Behörden zu Gesprächen vorgeladen wurden.

Nach Angaben von Cybersecurity-Forschern war ein Dashboard zur Verwaltung der Datenbank mehr als ein Jahr lang ohne Passwort im öffentlichen Internet zugänglich, so dass der Inhalt leicht gestohlen und gelöscht werden konnte. Es wird sogar berichtet, dass es auch keine Möglichkeit gab, ein Passwort zur Absicherung der Datenbank zu setzen.


Anzeige

Aus den Scans der geleakten Datenbank schlossen die Sicherheitsforscher, dass diese auf der Cloud-Plattform von Alibaba gehostet wurde. Auch Mitarbeiter des Unternehmens bestätigten diesen Zusammenhang.

Inzwischen haben Alibaba-Mitarbeiter den Zugang zur Datenbank gesperrt und sind dabei, den Code der betreffenden Cloud-Umgebung zu überprüfen. Zwei Cybersicherheitsunternehmen erklärten gegenüber dem Wall Street Journal, dass die gestohlenen Daten in der Cloud von Alibaba mit einer Technologie gespeichert wurden, die mehrere Jahre veraltet war und grundlegende Sicherheitsfunktionen vermissen ließ.

Das hat natürlich auch massiven Einfluss auf Projekte im Ausland, die in der Alibaba Cloud gehostet werden. Mir schießt das sofort mein Blog-Beitrag Die Schweiz lässt ihre staatlichen Daten in China und den USA speichern durch den Kopf. Der Aktienkurs des Unternehmens fiel seit dem 13. Juni 2022 (da kamen die ersten Gerüchte über das Problem auf) um 5,98 % berichtet Reuters in diesem Artikel.

Ähnliche Artikel:
Hacker verkauft 1 Milliarde Daten chinesischer Bewohner aus Shanghais Polizeidatenbank für 10 Bitcoins
Audiodateien von TikTok-Meeting zeigen, dass US-Nutzerdaten aus China abgerufen wurden
China steigt bei Behörden und Staatsbetrieben aus Mac, Windows und ausländischen PCs aus
Stopp: Betrug-Mails von chinanameregistry
China und seine Cyber-Angriffe – beunruhigende Erkenntnisse
Xinjiang Police Files: Geleakte Polizeiakten zeigen Details aus uigurischen Internierungslagern
Schwachstelle in 100 Millionen IP-Kameras von Hikvision und OEMs


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Datenschutz, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Hacker verkauft 1 Milliarde Daten chinesischer Bewohner aus Shanghais Polizeidatenbank für 10 Bitcoins

  1. 1ST1 sagt:

    China hat insgesamt 1.4 Mrd Einwohner, die Polizei von Shanghai hat damit als mehr als 2/3 aller Daten aller Bürger des ganzen Landes. Übrigens rein rechnerisch umfasst ein Datensatz rund 33 kB. Wenn da kein Foto dabei ist, kann da viel drin stehen.

    • Hitomi sagt:

      Könnte mir vorstellen, dass es Biometriedaten sind, da China ein gutes Netz von Kameras hat. In einer bedeutenden Stadt wie Shanghai könnte dann auch eine lokale Kopie Sinn ergeben. Alle Kameradaten an einen einzigen Biometrieserver zu schicken würde viel traffic verursachen.

      Ist mir im Grunde auch egal, soll nicht unser Problem sein, was die vor ihrer Haustür machen.

      • Ralf S. sagt:

        "Ist mir im Grunde auch egal, soll nicht unser Problem sein, was die vor ihrer Haustür machen."

        Nun ja, mir persönlich ist das nicht so ganz egal, denn das zeigt uns nur, was wohl früher oder später auch bei uns so vonstatten gehen wird! (Natürlich – wie immer – alles nur zu unserem Wohle und im Namen der Verbrechensbekämpfung und höheren Sicherheit …) Wird wohl schon jetzt als "Blaupause" im "Hintergrund" sicher auch akribisch von unseren maßgeblichen Leuten analysiert und eingeordnet werden …

        • Ralf S. sagt:

          Nachtrag noch – so als (nur ein) kleines Beispiel der aktuellen Entwicklung(en) in den letzten Jahren:

          Stichwort "Personalausweis":
          Warum überhaupt werden biometrische Bilder benötigt? Hierzu auf "Datenschutz.org":

          "Das geänderte Personalausweis-Gesetz erlaubt es Behörden und Geheimdiensten, automatisiert auf die bei den Meldebehörden gespeicherten biometrischen Bilder zuzugreifen, ohne dass ein konkreter Zweck (z. B. Strafverfolgung) vorliegt. Datenschützer haben hiergegen nun Verfassungsbeschwerde eingelegt."

          Warum müssen (vorher freiwillig) seit Sommer 2021 noch zusätzlich Fingerabdrücke abgegeben werden? Fingerabdrücke hat man früher doch höchstens bei überführten Kriminellen und Straftätern erfasst … Offizielle Stellungnahme der EU-Kommission:

          "Verstärkte Terrorabwehr" und "nochmals verbesserte Identifizierung (eben zusätzlich zu den biometrischen Bilddaten) des Ausweisinhabers."

          Im Klartext:
          Wir alle werden pauschal schon mal als "doch irgendwie verdächtig" eingestuft … Man kann auch sagen: Irgendeinen "Kriminellen" werden wir durch die biometrische Datenerhebung schon finden – auch wenn dies, gemessen an der Masse der gesammelten Daten, dann nur max. im Promillebereich liegen dürfte. Und mal sehen, wozu die ganzen gesammelten Daten der "sauberen Bürger" dann evtl. doch mal nütze sind …

          >> Seit 2017 fungiert übrigens der Bahnhof "Berlin-Südkreuz" als "Testbahnhof" für biometrische Überwachung "im Dienste der Sicherheit" … Und zwischen 60 und 80 % (je nach Umfrageportal) der Bundesbürger sprechen sich für eine Ausweitung der generellen und verdachtsunabhängigen Videoüberwachung im öffentlichen Raum aus!

          Ist alles nur (noch) eine Frage der Zeit …

    • Günter Born sagt:

      Ich gehe davon aus, dass die Daten schlicht zwischen allen Polizeibehörden ausgetauscht werden.

  2. Bernd Bachmann sagt:

    Wie leider inzwischen fast schon normal in den "Qualitätsmedien", zu denen ich Reuters mal zähle, ist nicht klar, ob nun 1 Milliarde Datensätze oder die Daten von 1 Milliarde Chinesen kopiert wurden. Ist ja nun nicht ganz das gleiche…

  3. Cornelia sagt:

    Zum Hinweis, dass die aus den Daten ermittelte demografische Entwicklung "schlimmer ist als von den Behörden berichtet", kann ich mir einen sarkastischen Kommentar nicht verkneifen:
    Wenn die Chinesen einen neuen, corona-artigen Virus in Umlauf bringen, kann das einen positiven Effekt auf die demografische Lage nach sich ziehen.

    Aber nun ernsthaft:
    Ich hoffe sehr, dass derartig grosse Datensätze zukünftig nicht vermehrt geleakt werden, egal ob von China oder anderswo. Solche Aktionen können einem schon Angst machen – selbst wenn man persönlich "keine Leichen im Keller hat".

Schreibe einen Kommentar zu 1ST1 Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.