Thought Leadership
Ein angeblicher Hack bei dem Datenmakler National Public Data (NPD) sorgte diese Woche für Schlagzeilen, weil möglicherweise Milliarden von Sozialversicherungsnummern preisgegeben wurden. Echter Leak oder Hysterie?
Eine Sammelklage hat eine virale, aber unbegründete Behauptung ausgelöst, dass die Sozialversicherungsnummern aller US-Bürger in diesem Jahr im Rahmen einer Datenschutzverletzung durchgesickert seien. Die Klage wurde gegen einen Datenmakler namens National Public Data (NPD) eingereicht, der Teil einer zwielichtigen Ansammlung von Unternehmen ist, die in aller Stille persönliche Informationen von Menschen sammeln, kaufen, handeln und verkaufen, meist ohne deren Wissen. Die Informationen werden häufig an Vermarkter verkauft oder zur Durchführung von Background-Überprüfungen verwendet.
In der Klage wird dem Unternehmen vorgeworfen, die persönlichen Daten der Beklagten ohne deren Wissen und Erlaubnis erworben zu haben – eine gängige Praxis von Datenmaklern – und sie nicht vor Hackern geschützt zu haben.
Experten untersuchen die geleakten Daten
Die fraglichen Daten sind im April in Hackerforen aufgetaucht und enthalten Millionen von Datenzeilen, von denen einige echte Namen und Sozialversicherungsnummern sein sollen. Es sei noch immer unklar, wie viele der Daten echt sind und ob sie wirklich alle durch das Hacken eines Unternehmens entstanden sind und nicht durch das Auslesen öffentlich zugänglicher Quellen.
Der Security-Experte Troy Hunt geht in seinem Blog auf die Hintergründe zu diesem Vorfall ein. Hunt schreibt, dass es normalerweise einfach ist, einen Datenschutzverstoß zu erklären: Ein Dienst, dem Menschen ihre Informationen zur Verfügung stellen, wurde von jemandem durch einen Akt des unbefugten Zugriffs angezapft, und es wurde eine abgegrenzte Sammlung von Daten veröffentlicht, die auf diese Quelle zurückgeführt werden kann.
Im Fall von NPD handelt es sich jedoch um einen Datenmakler, von dem die meisten Menschen noch nie etwas gehört haben und bei dem ein Hacker verschiedene partielle Datensätze veröffentlicht hat, die sich nicht eindeutig der Quelle zuordnen lassen. Und sie sind bereits Gegenstand einer Sammelklage.
Unübersichtlicher Wirrwarr an Daten
Troy Hunt beschreibt in seinem Blog das unübersichtliche Durcheinander der Datensammlung, von dem einige Daten ungenau zu sein scheinen und ein großer Teil fehlt. Die Daten enthielten zwar Hunts E-Mail-Adresse, aber sie war mit dem falschen Namen verknüpft, und es wurden zwei Geburtstage zugeordnet, die weit von seinem tatsächlichen Geburtstag entfernt waren. Solche Ungenauigkeiten in Bezug auf Personen erschweren es, korrekte Informationen zu nutzen und für schändliche Zwecke zu verwenden.
Wenn Hunt eine Vermutung anstellen sollte, gäbe es zwei wahrscheinliche Erklärungen für diesen Vorfall:
- Dieser Vorfall hat aufgrund der früheren, bestätigten Diebstähle von Sozialversicherungsnummern (SSNs) eine Menge Presse bekommen, und die nachfolgenden Teil-Dumps reiten auf der Hysterie der Sicherheitsverletzung.
- NPD hat einen Haufen öffentlich zirkulierender Daten abgeschöpft, um ihr Angebot zu bereichern, und diese wurden zusammen mit den ursprünglich veröffentlichten SSN-Daten abgefangen.
Beides sind jedoch reine Spekulationen, und die einzigen, die die Wahrheit kennen, sind die anonymen Bedrohungsakteure, die die Daten weitergeben, und der Datenmakler NPD, so dass wir in nächster Zeit keine verlässliche Klärung erwarten können.
Stattdessen bleiben uns 134 Millionen E-Mail-Adressen im öffentlichen Umlauf, deren Herkunft und Verantwortlichkeit unklar sind. Anhand der Datenbank “Have I Been Pwned” kann man prüfen, ob die eigene Identität bei verschiedenen Sicherheitsverletzungen kompromittiert wurde. Auch die E-Mail-Adressen der hier beschriebenen Aktion stehen in der Datenbank. Troy Hunt ist Microsoft Regional Director & MVP Australien und Betreiber von “Have I Been Pwned”.
