220 Millionen Datensätze geklaut: Gefahr für alle Steuerzahler Brasiliens
Ein Datenklau gefährdet praktisch alle Brasilianer. Die als Quelle verdächtigte Bonitätsagentur will nicht schuld sein. Die Daten stehen bereits zum Verkauf.
Die Octavio Frias de Oliveira bridge in São Paulo. In der Wirtschaftsmetropole hat die Bonitätsbewertungsfirma Seresa Experian ihre Zentrale.
(Bild: Marcosleal CC BY-SA 3.0)
Datensätze über 220 Millionen Brasilianer dürften in Verbrecherhände gefallen sein. Umfangreiche Datenbanken sind geleakt. Darin enthalten sind vollständige Namen, Geburtsdaten und Steuernummern (CPF). CPF spielen im brasilianischen Alltag Brasilien eine bedeutende Rolle.
Den Hack hat das brasilianische Labor für Cybersicherheit PSafe aufgedeckt. Betroffen sind demnach auch Informationen über Unternehmen und Behörden. In der erbeuteten Datenmenge müssen sich auch Datensätze Verstorbener befinden, zählt Brasilien aktuell doch etwa 212 Millionen Einwohner.
Zusätzlich zu den personenbezogenen Daten seien noch Informationen über mehr als 104 Millionen Fahrzeuge dabei, einschließlich Fahrgestellnummer, Kennzeichen, Meldegemeinde, Farbe, Marke, Modell, Baujahr, Hubraum und Kraftstoffart. All diese Daten stünden online zum Verkauf.
Seresa Experian stellt in Abrede
Wie die Daten erbeutet wurde, liegt bisher im Dunkeln. Die Tageszeitung Estadão aus der Wirtschaftsmetropole São Paulo hält es für wahrscheinlich, dass es sich um eine Datenbank der Bonitätsbewertungsfirma Seresa Experian handelt. Sie ist das brasilianische Pendant zur deutschen Schufa und den nordamerikanischen Credit Bureaus Equifax, Transunion und Experian. Seresa Experian ist eine Tochterfirma Experians.
Seresa Experian bewertet die Kreditwürdigkeit von Verbrauchern und Unternehmern. Journalisten des Estadão berichten in der Montagsausgabe, sie hätten Zugang zu einem Teil der Daten bekommen; dort sei das Kreditbewertungsbüro erwähnt worden. Eine der Datenbanken gehört demnach zum Serasa-Dienst Mosaic. Das Unternehmen bestreitet dies und verspricht, den Fall zu untersuchen.
Größtes Datenleck der Geschichte Brasiliens
"Nach dem jetzigen Informationsstand handelt es sich um das größte und gefährlichste Datenleck in der Geschichte Brasiliens", sagte der Jurist und Datenschutzexperte Bruno Bioni von der gemeinnützigen Organisation Data Privacy Brasil gegenüber dem Estadão. Bioni vergleicht den Fall mit dem Hacker-Jackpot in den USA, als das Credit Bureau Equifax gehackt wurde. Dort wurden 2017 Daten über 145 Millionen Menschen erbeutet.
Emilio Simoni, Direktor des PSafe-Eigentümers dfndr lab, sieht erhebliches Gefahrenpotential für Verbraucher: "Diese Daten können leicht für Phishing verwendet werden. Sobald der Cyberkriminelle die CPF und andere tatsächliche Daten der Person hat, wäre es ein Leichtes, (…) an kritischere Daten des Opfers zu gelangen, die zum Beispiel für die Beantragung von Krediten, Bankpasswörtern und die Beauftragung von Dienstleistungen verwendet werden könnten."
Datenschutzgesetz kommt zu spät
Der Fall sei erst durch das Verkaufsangebot der Täter ans Tageslicht gekommen: "Die Cyberkriminellen stellen einen Teil der Datenbanken zur Verfügung, um den Wahrheitsgehalt der erlangten Informationen zu beweisen. Profit wollen sie machen, indem sie tiefer gehende Daten wie E-Mails, Telefone, Kaufkraftdaten und Berufe der betroffenen Personen verkaufen", so Simoni.
Das Datenleck dürfte die erste große Herausforderung der brasilianischen Datenschutzbehörde ANPD werden. Ein neues Datenschutzgesetz sieht empfindliche Strafen in Fällen wie diesem vor, tritt allerdings erst im August in Kraft. Daher fordert Bioni die Verbraucherschutzzentrale Senacon auf, sich jetzt einzuschalten.
(ds)