Datensätze von 220 Millionen Brasilianern entwendet

Datensätze zu praktisch der gesamten Bevölkerung Brasiliens werden im Internet illegal zum Verkauf angeboten. Woher sie stammen, ist noch unklar. Es gibt nur Indizien.

Brasilien sieht sich mit dem größten Datenleck seiner Geschichte konfrontiert: Im Internet bieten Unbekannte eine gigantische Datenbank zum Kauf an. Sie soll Informationen zu über 220 Millionen Einwohnern enthalten – unter anderem Namen, Geburtsdatum und die lebenslang geltende Steuernummer CPF. Letztere wird beispielsweise auch benötigt, um Mobilfunkverträge abzuschließen oder Fahrkarten für die öffentlichen Verkehrsmittel zu kaufen.

Da die Einwohnerzahl Brasiliens nur rund 212 Millionen beträgt, könnten sich in der Datenbank auch Einträge von toten Personen oder im Ausland lebenden Registrierten befinden. Zusätzlich zu den Personendaten bieten die Unbekannten Informationen zu 104 Millionen Fahrzeugen an. In dieser Datenbank finden sich unter anderem Fahrgestellnummern, Kennzeichen, Modelle, Hubraum und die Art des Kraftstoffs. Eine dritte Datenbank beinhaltet Daten zu 40 Millionen Unternehmen inklusive der einmaligen Identifikationsnummer (CNPJ), dem Firmennamen und dem Gründungsdatum.

Grundlage für massenhaften Betrug

Entdeckt wurden die Daten durch das IT-Sicherheitslabor dfndr. Laut der Firma werden sie offen in Foren zum Kauf angeboten. Labor-Direktor Emilio Simoni warnt, die Informationen könnten für Phishing-Betrug missbraucht werden. Zum Beispiel, indem die Opfer unter falschem Vorwand kontaktiert werden, um von ihnen weitere Informationen wie Zugangsdaten oder Kontodaten zu erhalten. Auch könnte auf diesem Weg Geld gefordert werden.

Die Echtheit der Daten konnten die Experten überprüfen, weil die Kriminellen einen Teil der Informationen kostenlos zur Verfügung stellen. Auf diesem Weg soll deren Authentizität und Wert bewiesen werden.

Woher die Daten stammen und wie sie erbeutet wurden, ist bislang unklar. Die brasilianische Tageszeitung Estadão berichtet, aus Teilen der Datenbank sei ersichtlich, dass die Informationen von der Bonitätsprüfungsfirma Seresa Experian stammen. Ihre Funktion ist mit der deutschen Schufa zu vergleichen. Das Unternehmen sammelt Personen- und Unternehmensdaten, um dann potenziellen Gläubigern oder Vertragspartnern eine Einschätzung zur Kreditwürdigkeit zu geben. Seresa Experian bestreitet bislang den Zusammenhang und will den Sachverhalt untersuchen.

Sollte sich der Verdacht erhärten, erinnert der Fall an die Datenschutzkatastrophe um die Wirtschaftsauskunftei Equifax aus dem Jahr 2017. Damals hatten IT-Angreifer Daten von 143 Millionen US-Amerikanern erbeutet. Die Datensätze enthielten unter anderem die lebenslang geltende Sozialversicherungsnummer, die Adresse und Führerscheindaten.

Konsequenzen unklar

Ob der Diebstahl für die Quelle der Daten Konsequenzen haben wird, ist noch nicht abzuschätzen. Zwar hat Brasilien im Jahr 2018 ein Datenschutzgesetz verabschiedet, das bei solchen Datenlecks eine Strafe von bis zu 50 Millionen brasilianische Real (etwa 7,7 Millionen Euro) für das Unternehmen vorsieht. Doch sollen diese Art Strafen erst ab August 2021 verhängt werden.

Bonitätsprüfungsfirmen wie die deutsche Schufa stehen auch hierzulande regelmäßig in der Kritik von Datenschützern und Bürgerrechtlern. Sie sammeln große Mengen an persönlichen Daten, was ihre Datenbanken zu einem attraktiven Ziel für IT-Kriminelle macht. (hcz)