Medienberichten zufolge stand eine Datenbank mit 800 Millionen Datensätzen, bestehend aus Fotos von Gesichtern und Nummernschildern, bis in den August offen zugreifbar im Netz. Die Daten stammten demnach von Überwachungskameras des chinesischen Herstellers Xinai Electronics.
Die Systeme des Herstellers sollen Zugangskontrollen von Personen und Fahrzeugen etwa zum Arbeitsplatz, Parkhäusern, Schulen oder Baustellen bieten. Wie Techcrunch berichtet, will das Unternehmen nicht nur Zutrittskontrollen damit umsetzen, sondern damit auch die Überwachung der Anwesenheit von Mitarbeitern etwa für Gehaltsabrechnungszwecke ermöglichen. Die Cloud-Systeme zum Scannen von Kfz-Kennzeichen sollen hingegen etwa Parkhausbetreibern ermöglichen, Parkgebühren ohne Personal vor Ort zu erheben.
“Daten auf Unternehmensservern sicher”
Xinai betreibt dazu ein weitreichendes Netz von Kameras in ganz China. Damit sammelte das Unternehmen Millionen Fotos von Gesichtern und Nummernschildern. Auf der Firmenwebseite behauptet Xinai, die Daten seien sicher auf den eigenen Servern abgelegt. Das entpuppte sich nun offenbar als leeres Versprechen.
Der IT-Sicherheitsforscher Anurag Sen fand die ungeschützte Datenbank auf einem vom Unternehmen Alibaba in China gehosteten Server. Sen zufolge enthielt die Datenbank eine große Fülle an Informationen und wuchs rapide von Tag zu Tag an. Bis sie schließlich mehrere Hundert Millionen von Datensätzen und vollständige Webadressen von Bilddateien enthielt, die auf mehreren Domains gehostet wurden, die zu Xinai gehörten. Weder die Datenbank noch die gehosteten Bilddateien seien durch Passwörter geschützt gewesen und konnten von jedem, der wusste, wo er suchen musste, über den Webbrowser aufgerufen werden.
Weiter enthielt die Datenbank Links zu hochauflösenden Fotos von Gesichtern. So etwa von Bauarbeitern beim Betreten von Baustellen, von Bürobesuchern beim Einchecken, sowie zu anderen persönlichen Informationen wie Name, Alter und Geschlecht der Person und zu den Einwohner-ID-Nummern. Zudem enthielt sie Aufzeichnungen von Fahrzeugkennzeichen, die von den Kameras in Parkhäusern, Einfahrten und anderen Büroeingängen erfasst wurden.
Mehrere Entdecker der Datenbank
Wie Techcrunch ausführt, war Sen nicht der Einzige, der die Datenbank entdeckt hat. In einer undatierten Lösegeldforderung behauptete ein Erpresser, er habe den Inhalt der Datenbank gestohlen und würde die Daten im Austausch gegen einige hundert Dollar in Kryptowährung wiederherstellen. Es sei nicht bekannt, ob der Erpresser Daten gestohlen oder gelöscht hat. Die in der Lösegeldforderung angegebene Blockchain-Adresse habe jedoch keine Gelder erhalten.
Mitte August sei die Datenbank verschwunden und nicht mehr zugreifbar gewesen. Zwar gilt seit dem 1. Novermber 2021 ein Datenschutzgesetz in China, das etwa vorsieht, vor der Erhebung und Verarbeitung von Daten durch Unternehmen die Einwilligung von Nutzern einzuholen. Doch staatliche Stellen bleiben außen vor. Offensichtlich dämmt es die Datensammelwut auch nicht ein.
So wurde etwa vor rund zwei Monaten bekannt, dass die Shanghaier Polizei sich rund eine Milliarde Datensätze hat stehlen lassen. Es bleibt abzuwarten, ob die jungen Datenschutzgesetze hier künftig zu Besserungen für die chinesische Bevölkerung führen.