Daten von chinesischen Bürgern zum Kauf angeboten
Ein Unbekannter bietet personenbezogene Daten von einer Milliarde Chinesinnen und Chinesen im Internet zum Kauf an. Angeblich sollen sie aus einer Datenbank der Polizei von Shanghai stammen. Als Probe veröffentlichte Auszüge aus der Datenbank haben Experten inzwischen überprüft – und bezeichnen sie als authentisch.
Medienberichten zufolge hatte eine Person die Daten am 30. Juni in einem Online-Forum für Bitcoins im Wert von etwa 200.000 Euro angeboten. Der Datensatz soll mehr als 20 Terabyte groß sein und Informationen wie Namen, Adressen, Geburtsorte, Mobilfunk- und Ausweisnummern sowie polizeiliche Angaben zu Straftaten enthalten. Auf Anfragen mehrerer Medien haben die chinesischen Behörden bisher nicht reagiert.
Um die Echtheit der Daten zu beweisen, hatte der Unbekannte auch eine kostenlose Stichprobe von 750.000 Datensätzen veröffentlicht. Der Nachrichtensender CNN konnte inzwischen mehr als zwei Dutzend Einträge verifizieren.
Auch die New York Times berichtet, sie habe Teile der Daten einsehen können. Das gesamte Ausmaß des Datenlecks habe sich jedoch nicht überprüfen lassen. Sollten darin tatsächlich Informationen zu einer Milliarde Chinesinnen und Chinesen enthalten sein, wäre ein Großteil der Bevölkerung betroffen – das Land hat etwa 1,4 Milliarden Einwohner.
Angaben aus Polizeiakten
In einer Probe seien die persönlichen Daten von 250.000 chinesischen Bürgerinnen und Bürgern enthalten gewesen: darunter Name, Geschlecht, Adresse, die nationale Identifikationsnummer und das Geburtsjahr. In einigen Fällen seien auch Angaben zu Beruf, Familienstand, ethnischer Zugehörigkeit und Bildungsstand der Betroffenen gespeichert gewesen.
Eine weitere, von der New York Times untersuchte Stichprobe, habe außerdem Polizeiakten umfasst. Darin seien Informationen zu gemeldeten Straftaten, Telefonnummern und Ausweise gespeichert gewesen. Die Fälle sollen aus den Jahren 1997 bis 2019 stammen.
Ein Journalist der Zeitung hatte mehrere Personen angerufen, deren Daten veröffentlicht wurden: Vier bestätigten die von der Zeitung eingesehenen Informationen. Darunter auch ein Mann, der eine Anzeige wegen Betrugs gestellt hatte. Vier weitere Personen bestätigten ihren Namen, bevor sie auflegten.
Auch das Wall Street Journal konnte mit Personen sprechen, deren Daten veröffentlicht wurden – sie bestätigten die Details aus Polizeiakten ebenfalls. Allerdings hätten mehrere Telefonnummern nicht mehr funktioniert – es sei in China allerdings nicht ungewöhnlich, dass Menschen ihre Mobilfunknummer ändern.
CNN hat ebenfalls Polizeiakten gefunden: Hauptsächlich soll es sich dabei um zivilrechtliche Auseinandersetzungen handeln, aber auch Angaben zu Strafverfahren seien enthalten. So sei etwa der Fall eines Bewohners von Shanghai aufgezeichnet, der im Jahr 2018 von der Polizei vorgeladen wurde, weil er VPN-Dienste genutzt hatte um auf Twitter zuzugreifen und dort angeblich “reaktionäre Beiträge” zur kommunistischen Partei geteilt hatte.
Datenbank soll seit über einem Jahr ungesichert gewesen sein
Wie CNN berichtet, standen die Daten mindestens seit April 2021 öffentlich zugänglich im Internet.
Der Sicherheitsforscher Vinny Troia sagte dem Sender, er habe die Datenbank Anfang des Jahres ebenfalls entdeckt. “Die Seite, auf der ich sie gefunden habe, ist öffentlich. Jeder kann darauf zugreifen, man muss sich nur für ein Konto registrieren.” Jede beliebige Person hätte die Daten herunterladen können. Auch er selbst habe Teile der Datenbank heruntergeladen; darin hätten sich Informationen zu fast 970 Millionen chinesischen Bürgern gefunden.
China sammelt massenhaft Daten über seine Bürger. Bereits im Jahr 2019 hatte der niederländische IT-Sicherheitsforscher Victor Gevers eine ungeschützte Datenbank entdeckt, die unter anderem Namen, Geburtsdaten und Standortdaten von mehr als 2,5 Millionen Menschen aus der Region Xinjiang enthalten hatte. Dort lebt die ethnische Minderheit der Uiguren, die von der Regierung unterdrückt wird.
Das aktuelle Datenleck könnte weitreichende Folgen für die Betroffenen haben: Der IT-Sicherheitsexperte Troy Hunt warnte gegenüber CNN davor, dass die Daten zur Erpressung von Betroffenen genutzt werden könnten. Die chinesische Regierung habe indes keine Konsequenzen zu fürchten, sagte Yaqiu Wang, China-Forscherin bei der Menschenrechtsorganisation Human Rights Watch, der New York Times. Zwar gebe es in Gesetzen “vage Formulierungen”, wonach die Behörden die Sicherheit der Daten gewährleisten müssen. Einen Mechanismus, um sie für ein Datenleck zur Verantwortung zu ziehen, gebe es aber nicht.
Nach Angaben der Zeitung hatten sich Nutzerinnen und Nutzer auf chinesischen Plattformen wie Weibo und WeChat über das Datenleck ausgetauscht: Daraufhin wurden Beiträge und Hashtags entfernt. Auf Weibo seien auch die Konten von Personen, die Informationen zu dem Datenleck veröffentlicht oder geteilt hatten, gesperrt worden. Einige Nutzer hätten berichtet, dass sie von der Polizei vorgeladen wurden. (js)