Es ist dieser Moment, wo einem das Herz ein wenig in die Hosen rutscht. Dieses „Woah“. Der Moment, der den Alltag plötzlich stillstehen lässt.
Es ist der 21. Mai 2020, und ich bin auf der Suche nach Hacking-Foren. Warum? Für einen Blogartikel natürlich. Da fällt mir ein Forum ein, das ich früher schon öfter frequentiert habe – das aber eher auf Datenleaks ausgerichtet ist.
Ja, es gibt Foren, in denen Datenbanken von Millionen unschuldigen Kunden getauscht und verkauft werden.
Und nein, dafür muss man nicht einmal ins Darknet.
Eine Stunde wühle ich mich durch diverse Beiträge, auf der Suche nach jemandem, der gehackte Zugänge in Unternehmen verkauft (noch einmal: Natürlich für einen Blogpost).
Dafür ist diese Forum jedoch das falsche – diese Art von „Ware“ findet man nicht einfach so.
Trotzdem: Faszinierend das Ganze.
Dann interessiert es mich aber: Gibt es in diesem Forum irgendeinen Österreich-Bezug?
„Das ist Gold für die richtige Person“
Wie man das findet hat nichts mit Navy-CSI Hacking zu tun, nein.
Ich habe die Suchfunktion verwendet.
„Austria“
4 Ergebnisse. Eines davon verspricht „Austrian Registration Data“ – Landesweit.
Sind hier etwa alle ÖsterreicherInnen irgendwie betroffen?
Fuck.
Der Thread ist seit 8. Mai online. Wenn man sich den Text durchliest, das wirkt einfach zu plausibel. 8,9 Millionen Personen, 5 Millionen physische Adressen. Könnte in etwa hinkommen.
Es gibt auch schon einen Interessenten.
Ist das echt?
Ein großes Problem bei so etwas ist immer, das Ding zu verifizeren. Jeder kann so einen Thread eröffnen – und es passiert inzwischen auch, dass Hacks „gefaked“ werden – die Daten in Wirklichkeit jedoch aus ganz anderen Leaks kommen.
Ich klicke auf den User, der die Daten verkauft.
Auch hier: Scheint plausibel. Nicht nur verkauft der Typ Daten für Österreich, sondern auch für Italien, die Niederlande und Kolumbien.
Komische Mischung, aber okay.
Dieser Fakt steigert jedoch die Wahrscheinlichkeit, dass wir es hier mit einem echten Leak zu tun haben. Ich konsultiere ein paar Kollegen, und nach dem initialen
„Höhöhö, kaufen wir die Daten lol“
wird es ein wenig ernster.
Die gebotenen Daten passen sehr gut auf das Zentrale Melderegister, das ZMR. Sie beinhalten
- Name
- Geburtsdatum
- Geschlecht
- Physische Adresse
Dass keine E-Mails oder Passwörter enthalten sind, deutet ebenfalls auf eine staatliche Stelle hin. Genau so wie der Umfang der Datenbank. Der Leak kommt also sehr wahrscheinlich aus dem ZMR oder einer Stelle, die auf das ZMR Zugriff hat.
UPDATE:
Inzwischen haben wir anhand meinem Geburtsdatum verifizieren können, dass dieser Leak echt ist. Es ist schon etwas anderes, seine eigene Wohn-Historie dann vor sich zu sehen. Damit scheint ziemlich sicher, dass es sich hier um eine Datenbank aller Bürger Österreichs handelt.
Weiters scheint der Verkauf Exklusiv gewesen zu sein. Heißt: Der Leak ist bereits verkauft.
War es ein Hack?
Da bin ich noch nicht ganz überzeugt. Könnte sich genau so auch um einen Leak aus interner Stelle handeln. Ich kenne die IT unseres BMI nicht, aber ich glaube nicht, dass einE einzelneR BeamtIn sich alle Datensätze ziehen kann.
Ein Punkt, der auf einen Hack hindeutet.
Auch das „freshly dumped“ im originalen Post klingt so, als handle es sich hier um einen Hack. Der wohl auch erst im April/Mai passiert ist.
In einem anderen Post des Verkäufers finden sich sogar Beispieldaten. Dass es sich hier um keinen Hack handelt, wird immer unwahrscheinlicher.
Für mich ist inzwischen klar, was die nächsten Schritte sind.
- Meldung beim Cybercrime Competence Center, dem C4
- Abwarten
ich will hier unter keinen Umständen die Untersuchung des C4 stören, deshalb sehe ich natürlich von einer direkten Veröffentlichung ab. Ich habe meine Bürgerpflicht getan, das war’s. Wobei die Twitter-Berühmtheit schon nice gewesen wäre.
Ich hab dann später doch noch meinem Ego nachgegeben, und diesen Tweet abgesetzt (Auflösung am Ende des Artikels):
Update: Wurde die GIS gehackt? Abgrenzung zum GIS-Leak?
Mittlerweile gibt es Gerüchte um einen Datendiebstahl bei der GIS. Würde aus meiner Sicht gut passen. Allerdings ist in den Artikeln von einem Leak im Darknet die Rede – inklusive Telefonnummer und Bankdaten. Die sind in meinem Fund aber nicht enthalten – unser Verkäufer hätte es definitiv erwähnt, das hätte seinen Verdienst in die Höhe getrieben.
Bei dem Leak mit den Bankdaten handelt es sich um einen anderen Datensatz als den GIS-Hack. Nicht verwechseln, das sind zwei unterschiedliche Geschichten.
Wie lief der Hack ab?
Hierzu kann man im Moment nichts sagen. Hier hoffe ich, dass bald mehr Informationen verfügbar sind.
Wurden die Daten schon verkauft?
Ein paar Tage später ist der Thread dann offline. Warum?
Ich weiß es nicht. Könnte sein, dass jemand die Daten gekauft hat. Kann sein, dass der Verkäufer Wind von einer Untersuchung bekommen hat.
UPDATE:
Wie oben schon erwähnt: Ja. Die Daten wurden verkauft. An wen? Nicht bekannt.
Was bedeutet das für die „normalen“ Bürger?
⚠️ Es ist zum aktuellen Zeitpunkt nicht klar, ob die Daten irgendwo im Umlauf sind. Sind sie dies nicht, können negative Folgen theoretisch auch zur Gänze ausbleiben.
Realistischerweise hat dieser Leak weniger Folgen, als wenn die eigene E-Mail oder das Passwort in einem Leak gefunden wird. Warum?
Es gibt einfach weniger Möglichkeiten, die hier beinhalteten Daten für Cybercrime zu verwenden.
Was ich mir jedoch schon gut vorstellen kann ist:
- Identitätsdiebstahl Mit Adresse, Name und Geburtsdatum lässt sich schon sehr gut Glaubwürdigkeit erzeugen. Sei es bei Phishing E-Mails (dafür würde man jedoch die E-Mail der Person benötigen), oder in einem Social Engineering Kontext.
- Stalking Dass die physische Adresse öffentlich ist, ist für die meisten Personen nicht wirklich ein Problem. Problematisch wird es jedoch bei Prominenten, Journalisten, oder Personen, die eventuell mit Stalking zu kämpfen haben.
- Adressbroker / Datensammler Für Adresshändler und Werbefirmen wäre diese Datenbank natürlich eine Goldgrube: Wie viele Personen leben im Haushalt? Deren Geburtstag? So etwas muss man sich normalerweise mühsam bei lizensierten Adresshändlern kaufen – und dann auch nur für eine Aussendung.
Fazit
2020 ist kein gutes Jahr für die IT-Sicherheit unserer staatlichen Stellen, wie es scheint. Sei es ein Angriff russischer Staats-Hacker, ein DSGVO-Oversight der besonderen Art mit dem Ergänzungsregister, oder – wie jetzt klar wird – ein Leak, der alle Bürger Österreichs betrifft.
Noch kurz zu meinem Ego-Tweet: Die Zeichenfolge ist ein sogenannter Hash, einer Einweg-Funktion, die nicht umkehrbar ist. Damit kann man z.B. Beweisen, dass man es vorher schon gewusst hat.
Der Tweet oben entstand so:
echo -n „Daten von 8.9 Millionen Österreichern wurden
in einem Forum verkauft. Beinhaltet Name, Geschlecht, DoB und physische
Adressen“ | sha256sum