zurück zum Artikel

Sicherheitsforscher haben im Darknet eine Datenbank mit Namen, Adressen, Reisepass- und weiteren Daten von mehr als 45 Millionen Reisenden entdeckt.

Die IT-Sicherheitsfirma Cyble hat im Darknet identifizierende Datensätze zu mehr als 45 Millionen Flugreisenden aus verschiedenen Ländern entdeckt, die Thailand oder Malaysia besucht haben. Informationen zum Leak sollen in Cybles Leak-Plattform Am I Breached eingepflegt werden, so dass sich potenziell Betroffene dort Gewissheit verschaffen können.

Auf die Datensätze stieß das Cyble-Team nach eigenen Angaben im Rahmen routinemäßiger Darkweb-Analysen. Ein glaubwürdig erscheinender Verkäufer habe sie zum Kauf angeboten und das Team sei auf das Angebot eingegangen.

Daten im Darknet angeboten

Laut Cybles Blogpost zum Leak [1] handelt es sich bei den Daten unter anderem um

• Vollständige Namen, Adressen und mobile Telefonnummern
• Geschlecht
• nicht näher spezifizierte Reisepass-Daten sowie
• Fluggast-IDs und Flugdetails.

Nähere Angaben etwa zum Reisezeitraum oder zu betroffenen Airlines macht das Cyble-Team nicht. Möglicherweise sind diese dem Datenleck schlicht nicht zu entnehmen. heise Security hat dennoch nachgehakt; eine Antwort steht noch aus.

Überprüfung bei Am I Breached

Cybles Service "Am I Breached" [2] funktioniert ähnlich wie Troy Hunts bekanntere Plattform "Have I Been Pwned" (HIBP): Nach Eingabe einer E-Mail-Adresse (und in Cybles Fall auch einer Telefonnummer) werden die zu einem bestimmten Leak verfügbaren Informationen mit den Eingaben abgeglichen.

Ein großer Unterschied zwischen den beiden Diensten besteht darin, dass die Nutzung von HIBP komplett kostenlos ist und keine Registrierung erfordert. Will man Am I Breached nutzen, muss man hingegen wiederum Daten preisgeben beziehungsweise dauerhaft hinterlegen, indem man ein passwortgeschütztes Konto mit Vor- und Nachname, E-Mail-Adresse und Telefonnummer erstellt. Die Anmeldung sowie der bloße Abgleich der Daten sind gratis; lediglich Zusatz-Features kosten extra.

Aus Cybles Blopost geht nicht eindeutig hervor, ob die Daten aus dem aktuellen Leak bereits indexiert wurden. Allerdings verschickt Am I Breached bei Übereinstimmungen in neuen Leaks jeweils automatische Benachrichtigungen an registrierte Nutzer. Die Kontenlöschung erfolgt über den Menüpunkt "Settings --> Account Settings".

Update 15.01.20, 9:55:

Übereinstimmung mit älterem "Malindo-Leak"?

Ein potenziell betroffener Leser, der bei Am I Breached seine Daten überprüft hat, hat uns darauf hingewiesen, dass sein dortiger "Treffer" aus einem Leak stammt, das schon im September 2019 publik wurde. Damals hackten Unbekannte die malaysische Fluggesellschaft Malindo Air sowie die Thai Lion Air [4] (beide gehören zur Lion Group), kopierten unter anderem Daten von rund 46 Millionen Fluggästen und stellten die Informationen (teils zum Verkauf) ins Darknet.

Ob es sich bei den von Cyble entdeckten Daten in Wirklichkeit um die alten, im Darknet lediglich als neu angepriesenen Daten handelte, bleibt vorerst unklar. Schließlich könnten auch die Malindo-Daten bereits seit längerem bei Am I Breached verfügbar gewesen sein. Auffallend ist allerdings die sehr ähnliche Zahl der Betroffenen sowie die übereinstimmende Zielgruppe (Thailand- und Malaysia-Reisende). (ovw [5])

URL dieses Artikels:
https://www.heise.de/-4843462

Links in diesem Artikel:
[1] https://cybleinc.com/2020/07/12/records-of-45-million-travelers-to-thailand-and-malaysia-leaked-on-darkweb/
[2] https://amibreached.com/
[3] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[4] https://www.reuters.com/article/us-lionair-leak/malindo-air-says-data-leak-caused-by-ex-staffers-at-contractor-firm-idUSKBN1W80DT
[5] mailto:olivia.von.westernhagen@gmail.com

Copyright © 2020 Heise Medien