Durch eine unsachgemäß konfigurierte Datenbank waren zahlreiche vertrauliche persönliche Daten von nahezu allen Einwohnern Ecuadors frei im Internet zugänglich. Zwei israelische Sicherheitsspezialisten entdeckten die Datensätze und wandten sich an das Magazin ZDnet, mit dem sie gemeinsam den Bestand analysierten und auf Authentizität prüften sowie den Urheber recherchierten. Ungefähr 20,8 Millionen Datensätze sollen insgesamt auf dem Elasticsearch-Server verfügbar gewesen sein, schreibt ZDnet.

Vertrauliche Daten aus mehreren Quellen

Das südamerikanische Land hat ungefähr 17 Millionen Einwohner – die deutlich höhere Zahl an Datensätzen in dem Fund erklärt sich laut dem Bericht aus doppelten Einträgen sowie aus Daten zu bereits verstorbenen Personen. Die untersuchten Daten waren auf mehrere Elasticsearch-Indizes verteilt, deren Namen bereits 'sprechend' waren. Der Inhalt der Datensätze enthüllt persönliche Informationen der Einwohner samt Familienverhältnissen und Verwandtschaftsbeziehungen, Einwohnermeldedaten, Finanzdaten, Informationen zum Arbeitsplatz sowie zu angemeldeten Fahrzeugen.

Außerdem gehen aus den Indizes auch deren mutmaßliche Quellen hervor, die teils bei Behörden und teils bei privaten Firmen liegen sollen – vermutlich wurden die Daten von dort importiert. Der größte Teil der Daten stammt laut ZDnet demnach von den ecuadorianischen Standesämtern. Hier sind nicht nur Anschrift, Familienstand, Geburtsort- und -datum und Bildungsabschluss einsehbar, sondern auch die Ausweisnummer und die Telefonnummer.

Auch der Präsident und Julian Assange betroffen

Einige der kontaktierten Betroffenen bestätigten laut dem Bericht die Echtheit der Angaben, deren Aktualität bis ins Jahr 2019 reicht. In dem Leak befinden sich sogar Informationen zu Ecuadors Präsident sowie zu dem in Australien geborenen Wikileaks-Gründer Julian Assange, dem nach seiner Flucht in die Botschaft Ecuadors in London 2012 im Dezember 2017 die ecuadorianische Staatsbürgerschaft zugesprochen worden war. Im April dieses Jahres hatte das Land jedoch Assange den Asylstatus aberkannt und die Londoner Polizei in das Botschaftsgebäude gelassen, wo diese Assange festnahm.

Besonders brisant wird dieser Leak durch die Angabe von Verwandtschaftsbeziehungen: Da sich Daten zu Eltern und Kindern in der Datenbank finden, lassen sich damit ganze Familienbäume rekonstruieren. Insgesamt fanden die Spezialisten 6,77 Millionen Datensätze zu Kindern unter 18 Jahren, bei denen unter anderem der Wohnort vermerkt ist.

Verantwortliches Unternehmen nicht erreichbar

Einige Indizes verweisen auf ihren Ursprung in einem Privatunternehmen, etwa eine Bank, die von der ecuadorianischen Sozialversicherungsbehörde ausgegründet wurde. In diesen ca. 7 Millionen Datensätzen finden sich Kontostände, Kreditinformationen und Daten zum Arbeitsverhältnis. In einem Index zu Kraftfahrzeug-Anmeldungen mit immerhin 2,5 Millionen Einträgen stehen die Fahrzeugmodelle samt Kennzeichen sowie deren Eigentümer.









Als Urheber der offenen Datenbank ermittelten Noam Rotem und Ran Locar von vpnMentor gemeinsam mit ZDnet ein örtliches Unternehmen namens Novaestrat, das nach Eigenauskunft Analysen für den Finanzsektor erstellt. Jedoch erwies es sich als schwierig, mit dem Unternehmen Kontakt aufzunehmen: Auf der Website wurden weder Telefonnummern noch E-Mail- Adressen genannt, und auf Anfragen über Facebook und LinkedIn reagierte die Firma nicht. Der Versuch, im Support-Forum der Website ein Konto zu erstellen, endete mit einer PHP-Fehlermeldung.

Nachdem sich vpnMentor an das ecuadorianische Computer Emergency Response Team (CERT) gewendet hatte, wurde der Zugriff auf die Datenbank aus dem Internet schließlich unterbunden. Vor allem der lockere Umgang mit Daten von Minderjährigen zeigt die datenschutzrechtliche Brisanz dieses Leaks. ZDnet weist zurecht darauf hin, dass ein solcher Datenbestand geradezu 'paradiesische' Aussichten für Kriminelle bietet – damit ließen sich etwa reiche Familien mit Kindern identifizieren, die dann womöglich Opfer von Entführung mit Lösegeldforderung werden könnten, oder es ließe sich das gewünschte Automodell samt Kennzeichen und Besitzeranschrift ausfindig machen, das dann von Dieben entwendet werden könnte.

Ein solcher Leak durch eine – mutmaßlich vom Dienstleister – dilettantisch konfigurierte Datenbank lässt sich wahrscheinlich nie ganz ausschließen, wie zahlreiche ähnliche Fälle der jüngsten Zeit zeigen. Prominentes Beispiel ist etwa die Hotelkette Marriott, deren Kundendaten Ende 2018 Hackern in die Hände fielen. Der Fall zeigt jedoch auch, welche immensen Gefahren vom zentralen Sammeln und Vorhalten von Einwohnerdaten ausgehen. Projekte dieser Art gibt es in zahlreichen Ländern. In Indien etwa sind biometrische Einwohnerdaten mit Finanzinformationen in einem Datenbankprojekt verknüpft – das System wurde prompt gehackt und die Daten gegen Geld angeboten. (tiw)