Ein prominenter chinesischer Technologie-CEO hat menschliches Versagen als wahrscheinlichen Grund dafür angeführt, dass Hacker die persönlichen Daten von 1 Milliarde Menschen in China aus einer Datenbank der Polizei in Shanghai in die Hände bekommen und dann einen Teil davon auf illegalen Online-Märkten zum Verkauf angeboten haben.

Ein staatlicher Entwickler schrieb einen Blogbeitrag über die Chinas Netzwerk für Softwareentwickler (CSDN), das versehentlich die Anmeldeinformationen für das System enthielt, in dem die Daten gespeichert waren, Zhao Changpeng, CEO von Cryptocurrency Exchange Binance, sagte auf Twitter Montag. CSDN ist eines der größten Entwicklernetzwerke in China.

„Anscheinend ist dieser Exploit passiert, weil der staatliche Entwickler einen Tech-Blog auf CSDN geschrieben und versehentlich die Anmeldeinformationen eingefügt hat“, Changpeng, der umgangssprachlich und auf Twitter unter dem Spitznamen läuft „CZ“, schrieb im Tweet. Sein Beitrag enthielt einen Screenshot des anstößigen Codes, der im Blog-Beitrag enthalten war.

Zuvor Changpeng hatte getwittert dass das Threat-Intelligence-Team seines Unternehmens 1 Milliarde chinesische Datensätze zum Verkauf im Dark Web entdeckte und als „wahrscheinlichen“ Schuldigen für das Leck „einen Fehler in einer Elastic Search-Bereitstellung durch eine Regierungsbehörde“ anführte. Als Reaktion auf den Verstoß habe Binance seine Benutzerverifizierungsprozesse verstärkt, sagte er.

Tatsächlich, und viele Nachrichtenagenturen berichtete am Dienstag, dass ein anonymer Hacker oder eine Hackergruppe mit dem Benutzernamen „ChinaDan“ letzte Woche 23 Terabyte gestohlener Daten – darunter Namen, Adressen, Geburtsorte, nationale Ausweise, Telefonnummern und Informationen zu Strafverfahren chinesischer Bürger – auf Breach zum Verkauf angeboten hat Foren, ein beliebtes Forum für Cyberkriminelle. Die unbekannten Akteure forderten 10 Bitcoin oder etwa 200,000 US-Dollar für den Datencache.

Mit mehreren Quellen Bestätigung dass die Daten echt zu sein scheinen, sorgte die Nachricht in der gesamten Sicherheitsbranche für massive Aufregung, und Experten nannten es die größte Verletzung der Cybersicherheit nicht nur in der Geschichte des Landes, sondern vielleicht überhaupt.

„Wenn ChinaDan die Wahrheit sagt, dann ist dies eine der größten Datenschutzverletzungen in der Geschichte, und sie wurde durch schlechte Passwortverwaltung verursacht“, bemerkte Josh Stahl, Security Operations Center Analyst bei BreachQuest, einer Sicherheitsfirma, die auf Vorfälle reagiert E-Mail an Threatpost.

Der Vorteil, falls es einen gibt, ist, dass die Hauptursache des Verstoßes nicht auf „einen neuen Exploit oder heimliche Malware, sondern auf ein einfaches Versehen der Berechtigungsverwaltung“ hinweist, bemerkte er.

Menschliches Versagen im Spiel

Tatsächlich wirft die Verletzung erneut ein Licht auf das hartnäckigste Sicherheitsproblem seit der Einführung von Computern und dem Internet – menschliches Versagen. Tatsächlich ist ein jährlicher Bericht über Datenschutzverletzungen von Verizon–the Untersuchungsbericht zu Datenschutzverletzungen 2022 (DBIR)-zitiert das „menschliche Element“ als verantwortlich für 82 Prozent der von Forschern analysierten Verstöße, wobei 13 Prozent direkt auf menschliches Versagen zurückgeführt werden.

Da Personen, die sensible Daten überwachen, immer noch nicht vertraut werden kann, dass sie diese schützen, zeigt der Vorfall erneut, dass Unternehmen zahlreiche Schritte unternehmen müssen, die über passwortgeschützte Systeme hinausgehen, die Daten speichern, um sicherzustellen, dass sie nicht in die falschen Hände geraten. bemerkte ein Sicherheitsexperte.

„Dies ist das Endergebnis eines katastrophalen Versagens bei der Implementierung einer grundlegenden Passwortverwaltung und einer Verwaltung von Geheimnissen“, sagte Craig Lurey, CTO und Mitbegründer des Cybersicherheitssoftwareunternehmens Keeper Security, in einer E-Mail an Threatpost. „Geheimnisse wie Datenbank-Anmeldeinformationen sollten niemals fest in den Quellcode codiert werden, was den Verstoß verursacht hat.“

Er schlug vor, dass Enterprise Password Manager Organisationen in die Lage versetzen sollten, eine strenge, bewusste rollenbasierte Zugriffskontrolle (RBAC) zusammen mit privilegiertem Zugriff auf die Infrastruktur einzurichten, um vertrauliche Daten und Geheimnisse zu schützen.

Ein anderer Sicherheitsexperte riet Organisationen, ein mehrschichtiges Verteidigungs- und Verhaltenserkennungsmodell einzurichten, um zu verhindern, dass menschliche Fehler potenziell katastrophale Datenlecks verursachen.

„Organisationen sollten Prozesse einrichten, um Lücken in ihrer Sicherheitsüberwachung und Bedrohungsabdeckung kontinuierlich zu identifizieren, zu priorisieren und zu beheben, um anomale Aktivitäten zu erkennen“, Michael Mumcuoglu, CEO und Mitbegründer des Unternehmens zur Optimierung der Bedrohungsabdeckung CardinalOps, beobachtet in einer E-Mail an Threatpost.

Das Skript umdrehen

Der Vorfall scheint auch das Drehbuch für China umzudrehen, ein Land, das als einer der größten Täter von Cyberkriminalität bekannt ist – staatlich gefördert und anderweitig.

Typisch China tendenziell der Schauspieler hinter cyberkriminellen Aktivitäten stehen, nicht deren Opfer – obwohl es zugegebenermaßen schwierig ist zu wissen, wie oft chinesische Bürger selbst Opfer von Cyberkriminalität werden, da es in diesem Land an transparenten Meldemechanismen für solche Aktivitäten mangelt, sagten Experten.

Aber in einem Land mit einer Regierung, die notorisch Berge von Daten über ihre eigenen Bürger sammelt und gleichzeitig strenge Beschränkungen auferlegt, auf welche Daten und Internetressourcen sie selbst zugreifen und welche sie nutzen können, ist es nicht verwunderlich, dass einige dieser Daten schließlich in die Hände von Kriminellen fallen würden.

Und es gibt bereits Präzedenzfälle für hochkarätige Datenlecks, die die persönlichen Daten chinesischer Bürger preisgeben. Im Jahr 2020 wurden beispielsweise sensible Daten von rund 2 Millionen Mitgliedern der Kommunistischen Partei Chinas (KPCh) wurden durchgesickert, einschließlich offizieller Aufzeichnungen sowie Informationen zu ihrer Tätigkeit in globalen Organisationen.

Berichten zufolge haben die Behörden von Shanghai bisher weder öffentlich auf die jüngste Datenschutzverletzung noch auf Anfragen nach Kommentaren reagiert.