Letzte Woche wurde China von der Nachricht erschüttert, dass mehr als 500 Millionen Benutzerkonten bei Weibo, einem seiner größten sozialen Netzwerke, verletzt wurden. Mit nur 10 RMB (1,60 USD) an ETH oder BTC kann jetzt jeder die privaten Daten von Weibo-Nutzern erwerben, dem chinesischen Äquivalent von Twitter.
Wenn man den letzten Nachrichten glauben will – und ich glaube ihnen -, ist das Ausmaß des Verstoßes beispiellos. Angeblich werden die Kontodaten in sozialen Netzwerken gehandelt. (Siehe Screenshot unten.) Zu den durchgesickerten Daten gehören Telefonnummern, Standorte, Anzahl der Follower, Geschlecht und vor allem Passwörter. (Nicht alle schlechten Nachrichten: Angeblich konnte ein Benutzer sein verlorenes Passwort über diese Methode abrufen, wurde mir gesagt).
In der kommenden Woche schauen wir uns die Geschichte hinter der Datenverletzung an – und warum sich die chinesische Krypto-Community so sehr darum kümmert.
Chinesische Hack-Angriffe
Datenverletzungen sind in China genauso häufig wie überall auf der Welt. Im Jahr 2011 wurde die beliebte Website CSDN (China Software Developer Network) gehackt, was dazu führte, dass rund 6 Millionen Benutzer ihre Daten an die Bösen verloren. Das war nichts im Vergleich zu 2018, als die Daten von mehr als 130 Millionen Hotelgästen plötzlich für nur 8 BTC (damals rund 56.000 US-Dollar) im Internet verkauft wurden. In jüngerer Zeit ist eine ganze Branche entstanden, die persönliche Informationen von Prominenten verkauft. Sie können Telefonnummern, Reisepläne und sogar deren Personalausweis für chinesische Stars kaufen. Die Preise reichen von 20 US-Dollar bis zum Kauf eines eigenen Stücks der „Dark Idol Economy“.
Aber die Verletzung der letzten Woche war selbst für China atemberaubend. „Weibos Datenleck ist aufgrund seiner Größe und Tiefe unüberwindbar“, sagte mir Yao Xiang, ein in Shanghai ansässiger Sicherheitsexperte. „Nicht nur die meisten Benutzer waren betroffen, auch die Art der Daten, die durchgesickert sind, ist gefährlich. Schließlich handelt es sich hierbei um vertrauliche Informationen wie Passwörter und nationale Ausweise, die offizielle ID jedes chinesischen Bürgers, der privat gehalten werden soll. “ Nationale Ausweise ähneln Pässen; Sie benötigen einen, um in einen Flug einzusteigen oder ein Hotelzimmer zu bekommen.
Weibo sagt keine massive Verletzung
Weibo bestritt seinerseits, dass es einen massiven Verstoß gab, und sagte, es sei falsch, dass alle 500 Millionen Benutzer kompromittiert wurden. In seiner Antwort auf 35kr, eine chinesische Tech-Site, sagte Weibo, welche Probleme sich aus einer Sicherheitslücke von 2018 ergeben hätten. Es wurde behauptet, dass Hacker erfolgreich mehrere Telefonnummern hochgeladen und mit diesen Nummern verknüpfte Weibo-Spitznamen identifiziert und im dunklen Internet verkauft hätten. „Keine nationale ID, kein Passwort [Verletzung] oder keine Beeinträchtigung der Funktion von Weibo“, behauptete das Unternehmen.
Angesichts der enormen Datenmenge, die verfügbar zu sein scheint, sind Sicherheitsexperten wie Xiang sowie die meisten Weibo-Benutzer skeptisch. „Es könnte sich um ein API-Problem oder ein internes Risikomanagementproblem handeln“, überlegte er. „Was aus dem Vorfall plausibel ist, ist, dass Weibo nicht der gängigen Praxis folgt, Benutzerdaten gemäß den Anforderungen der Regierung in ein unlesbares Format zu verschieben.“
„Wenn Sie jemanden nicht mögen, legen Sie einfach seine gesamte Privatsphäre unter der Sonne frei.“ – Marvin Tong, Hacker-Opfer.
In der Tat haben chinesische Technologieunternehmen wie Weibo sehr unterschiedliche Sicherheitsstandards. Nach dem chinesischen Cybersicherheitsgesetz ist das Passwortmanagement keine Privatsache, sondern „von der Partei geregelt“. Hintertüren sind eine gängige Praxis und die Leute scheinen größtenteils damit einverstanden zu sein, da sie wissen, dass nur die Regierung Zugang zu ihren vertraulichen Informationen haben würde.