[English]Wir müssen die Digitalisierung vorantreiben, hört man so. Von Sicherheit hört man weniger, aber Daten sind das neue Öl, ist auch zu vernehmen. Ein Hacker hat das wörtlich genommen und ist in das IT-Netz der argentinischen Regierung eingedrungen. Anschließend konnte er auf die Personalausweisdaten der gesamten Bevölkerung des Landes aus RENAPER (Registro Nacional de las Personas) zugreifen und hat Daten gestohlen. Die Daten verkauft er nun privaten Kreisen.
Anzeige
Der erste Hinweis darauf, dass jemand in RENAPER eingedrungen ist, tauchte Anfang Oktober auf Twitter auf, als ein neu registriertes (und nun gelöschtes) Konto namens @AnibalLeaks Ausweisfotos und persönliche Daten von 44 argentinischen Prominenten veröffentlichte. Dazu gehörten die Daten des argentinischen Präsidenten Alberto Fernández, mehrerer Journalisten und politischer Persönlichkeiten und sogar die Daten der Fußball-Superstars Lionel Messi und Sergio Aguero.
Einen Tag, nachdem die Bilder und persönlichen Daten auf Twitter veröffentlicht wurden, veröffentlichte der Hacker auch eine Anzeige in einem bekannten Hackerforum, in der er anbot, die persönlichen Daten jedes argentinischen Nutzers abzurufen, wie The Record hier schreibt. Nachdem das Ganze öffentlich wurde, musste die betreffende Behörde den Hack eingestehen und hat das Ganze auf dieser Seite veröffentlicht. Der auf Text besagt in etwa folgendes:
Das Nationale Personenregister (Renaper) hat … eine Strafanzeige beim Bundesstraf- und Strafvollzugsgericht Nr. 11 Sekretariat Nr. 22 eingereicht, nachdem festgestellt wurde, dass durch die Verwendung von Passwörtern, die öffentlichen Einrichtungen, in diesem Fall dem Gesundheitsministerium, gewährt wurden, Bilder durchgesickert sind, die zu persönlichen Vorgängen im Renaper gehören. Die Agentur des Innenministeriums bestätigte, dass es sich um einen Missbrauch oder Diebstahl des Benutzerpassworts handelte und dass die Datenbank in keiner Weise beschädigt oder geleakt wurde.
Am Samstag, den 9. Oktober, wurde Renaper bekannt, dass ein Twitter-Nutzer, der sich als @aniballeaks identifizierte – ein Konto, das gemeldet wurde und nun gesperrt ist – Bilder von 44 Personen in dem sozialen Netzwerk veröffentlicht hatte. Darunter waren auch Bilder von Beamten und allgemein bekannte Persönlichkeiten des öffentlichen Lebens.
Das IT-Sicherheitsteam von Renaper, das den Vorfall bestätigte, konsultierte die 44 betroffenen Personen, um die jüngste Verwendung des digitalen Identitätssystems (SID) auf diesen Profilen zu überprüfen. Dabei stellte es fest, dass 19 Bilder genau zu dem Zeitpunkt, als sie im sozialen Netzwerk Twitter veröffentlicht wurden, über eine autorisierte VPN-Verbindung (Virtual Private Network) zwischen Renaper und dem nationalen Gesundheitsministerium abgerufen worden waren, und dass alle Bilder vor kurzem über dieselbe Verbindung abgerufen worden waren.
Diese Verbindung hätte zwischen 15.01 Uhr und 15.55 Uhr mehrere Einzelabfragen an die Renaper-Datenbanken unter Verwendung des SID-Datenvalidierungsdienstes durchgeführt, der nach Abfrage der DNI und des Geschlechts der Person alle auf dem Personalausweis aufgedruckten Daten, einschließlich Bild und anderer personenbezogener Daten, an die abfragende Person zurückgibt, die dann sofort und ohne Zustimmung des Inhabers in das soziale Netzwerk Twitter hochgeladen wurden.
Nach dieser vorläufigen Analyse, so bestätigten die Spezialisten, konnte ein unbefugtes Eindringen in die Systeme oder ein massives Leck in den Daten der Agentur ausgeschlossen werden.
Klingt danach, dass jemand ein Passwort und den Zugangsnamen aus dem Gesundheitsministerium erbeutete, über welches er die Renapen-Datenbank abfragen konnte. So sonderlich gut scheint der Zugang nicht abgesichert gewesen zu sein. Pass- und Meldedaten müssen ja von verschiedenen Stellen abgefragt werden können. Allerdings scheint es so zu sein, dass die betreffende Person weiter Zugang zur Renaper-Datenbank hat und weiter Daten abfragt. Weitere Details sind bei The Register nachzulesen, ein deutschsprachiger Beitrag findet sich bei heise.
Vor gut einem Jahr, im September 2020, hatte ich im Blog-Beitrag Ransomware-Angriff auf Argentiniens Einwanderungsbehörde, deutsche Passdaten im Netz bereits berichtet, dass bei der Einwanderungsbehörde eine Ransomware alle Passdaten von Ein- und Ausreisen abgezogen hatte. Wir werden uns daran gewöhnen müssen, dass solche Fälle künftig mehrmals täglich passieren.
Anzeige
Anzeige
Wahrscheinlich gibt es nur einen Benutzeraccount und ein höchstens 4 stelliges Passwort welche alle Behörden untereinander sich teilen
Der Feind aller IT-Sicherheit ist die Bequemlichkeit und Dummheit/Faulheit aller beteiligten Benutzer.