Persönliche Daten fast aller Ecuadorianer offen im Netz
Israelische Sicherheitsforscher haben eine riesige Datenbank mit persönlichen Daten fast aller Bewohner Ecuadors offen im Internet entdeckt. Die unsachgemäß abgesicherte Datenbank enthält 20,8 Millionen Einträge . Das berichtete am Montag das IT-Fachportal ZDNet, das mit den Experten zusammengearbeitet hatte. Ecuador selbst hat nur knapp 17 Millionen Einwohner. Die Differenz erklären die israelischen Hacker Noam Rotem und Ran Lokar mit Doppeleinträgen und Datensätzen bereits verstorbener Bürger.
Arbeitgeber, Bildungsabschluss und Julian Assange
Die Einträge in der Datenbank auf einem sogenannten Elasticsearch-Server enthalten die vollständigen Namen der Bürger, Geburtsdatum, Geburtsort, Wohnadresse, Familienstand, die nationale Ausweisnummer, Informationen zum Arbeitgeber sowie Telefonnummern und Bildungsabschlüsse. In der Datenbank sollen auch Angaben zu 6,7 Millionen Kindern stehen. Die Datensätze sollen bis in das Jahr 2002 zurückgehen.
In der Datenbank befindet sich dem Bericht zufolge auch ein Eintrag zu Julian Assange – dem Gründer der Enthüllungsplattform Wikileaks. Während seines Asyls in der ecuadorianischen Botschaft in London wurde er 2018 von Ecuador eingebürgert.
Zwei Kategorien von Daten
Die Daten ließen sich in zwei Kategorien unterteilen, da sie auch Aufschluss über ihre Herkunft beinhalten: Ein Teil scheint aus staatlichen Quellen zu stammen – hauptsächlich Standesämtern -, der andere Teil kommt von privaten Firmen. Die Sicherheitsexperten gingen erst davon aus, dass es sich um eine staatliche Datenbank handele. Dies stellte sich aber als falsch heraus, da die Namen privater Quellen beziehungsweise Unternehmen auftauchen.
Unter anderem findet eine Bank Erwähnung, die von der ecuadorianischen Sozialversicherungsbehörde gegründet wurde. Sie liefert 7 Millionen Datensätze, in denen man Kontostände, Kreditinformationen und Arbeitsverhältnisse findet. Auch Informationen zu Kraftfahrzeugen und ihren Haltern sind vorhanden inklusive Fahrzeugmodell, Kennzeichen und Eigentümer.
Durchsuchung beim Urheber
Auf der Suche nach dem Urheber der Datenbak stießen die Sicherheitsexperten auf das ecuadorianische Unternehmen Novaestrat. Die Firma erstellt Finanzanalysen. Die Experten versuchten vergeblich, die Firma zu kontaktieren: Auf der Webseite des Unternehmens waren weder Telefonnummer noch E-Mail-Adresse angegeben – und auf Anfragen über soziale Netzwerke reagierte das Unternehmen nicht. Das Support-Forum der Firmenseite produzierte Fehlermeldungen bei Anmeldeversuchen. Mittlerweile ist die Seite nicht mehr erreichbar, aber noch im Archiv einsehbar.
Die ecuadorianische Polizei hat in Folge der Berichterstattung die Geschäftsräume des gesetzlichen Vertreters von Novaestrat durchsucht und unter anderem Computer sichergestellt. Das Ministerium für Kommunikation betonte in einem Tweet, dass es sich nicht um einen Hack oder eine Attacke gehandelt habe. Die Sicherheitsmechanismen der staatlichen Institutionen seien aktuell gewesen und bereit, Angriffe abzuwehren. Novaestrat habe eventuell mit ehemaligen Angestellten des öffentlichen Dienstes zusammengearbeitet.
Die Gefahr der zentralen Datenbanken
Das Fachmagazin ZDNet weist darauf hin, dass die Datenbank in den Händen von Kriminellen “Gold wert sei” und “paradiesische Aussichten biete”. So könnten mithilfe der Finanzinformationen beispielsweise gezielt reiche Bürger ins Visier genommen werden: Von Diebstählen wertvoller Autos bis hin zu Kindesentführungen sei vieles denkbar. Familienverknüpfungen, finanzieller Status und Adressen liegen in den Datenbanken vollständig vor.
Bei dem Fall in Ecuador handelt es nicht um ein einzigartiges Ereignis: Erst Ende 2018 hatten Hacker die gesamte Kundendatenbank der Hotelkette Marriott gestohlen. Und Anfang August lagen die Daten von 80 Prozent der chilenischen Bevölkerung frei zugänglich im Netz. In Indien wurde eine staatliche Datenbank mit biometrischen Daten und Finanzinformationen der Einwohner und deren Finanzinformationen kurz nach ihrem Aufbau gehackt. Die Zeitung “The Tribune” konnte sich anschließend von Unbekannten beliebige Informationen aus der Datenbank für jeweils 500 Rupien kaufen – umgerechnet rund 6,50 Euro.
Diese Beispiele zeigen zum einen auf, dass kein System vollkommen sicher ist. Ist das Ziel attraktiv genug, verschaffen sich Dritte mit großer Wahrscheinlichkeit Zugriff. Zum anderen ist das Ziel umso attraktiver, desto mehr Daten an einem einzigen Ort gesammelt werden – im schlimmsten Falls komplett zentral. Ähnlich attraktive Ziele würden die in Deutschland geplanten Datenbanken für den Zensus oder Patientenakten darstellen. (dpa / hcz)