Hier sind vier große Fragen zum massiven Leck der Polizei in Shanghai

Platzhalter beim Laden von Artikelaktionen

Guten Morgen und einen schönen Mittwoch! Stellen Sie sicher, dass Sie morgen einschalten, wenn unser geschätzter Kollege Joe Menn den Newsletter leitet – Sie werden ihn nicht verpassen wollen.

Unten: Vorsitzender der Federal Trade Commission Lina Khan steht unter Druck, Berichte zu untersuchen, denen zufolge US-Benutzerdaten auf TikTok wiederholt in China abgerufen wurden, und Marriott räumt ein, dass einer seiner Computer verletzt wurde.

Wir lernen immer noch die Details des Lecks der chinesischen Polizei. Hier sind einige Schlüsselfragen.

Ein potenziell massiver durchgesickert von Daten der Polizei in Chinas bevölkerungsreichster Stadt verstärkt die Besorgnis, dass sensible Informationen über eine Milliarde chinesischer Bürger – ja, a Billion – entlarvt werden könnten.

Die Daten umfassen persönliche Informationen wie Telefonnummern und Geburtstage. Aber was vielleicht am beunruhigendsten ist, es enthält Berichte über Verbrechen wie häusliche Gewalt und Daten von 1995 bis 2019, so das Wall Street Journal gemeldet.

Milliarden von Datensätzen könnten das Leck zu einem der größten aller Zeiten machen. Aber viel ist noch nicht über den Vorfall bekannt, der mehr Fragen als Antworten aufwirft. Hier sind vier der größten Fragen zum Leak:

Das Leck hat lückenhafte Ursprünge, da ein pseudonymer Benutzer die Daten am Donnerstag erstmals in einem Hackerforum beworben hat. Sie haben eine, wie sie es nennen, „Probe“ von mehreren hunderttausend Datensätzen aus der Datenbank freigegeben.

Bisher scheint es, dass zumindest einige dieser Daten überprüft werden. Das Wall Street Journal und New York Times separat genannte Personen, deren Daten im Leak enthalten waren. Neun Personen, die die beiden Verkaufsstellen anriefen, bestätigten, dass die Details über sie in dem Leck korrekt waren.

Hier ist mehr vom Reporter des Wall Street Journal Karen Hao:

Aber die chinesischen Behörden haben das angebliche Leck nicht öffentlich kommentiert oder bestätigt. Die Polizei von Shanghai und die chinesische Internetregulierungsbehörde antworteten nicht auf die Bitte des Wall Street Journal um Stellungnahme.

Eine solche „Funkstille“ ist nach Datenschutzverletzungen ungewöhnlich, aber vielleicht weniger ungewöhnlich für die chinesische Polizei, die nicht auf die gleiche Weise kommuniziert wie westliche Unternehmen. Troja-Jagdder Gründer von Have I Been Pwned, a Webseite Damit können die Leute überprüfen, ob ihre Daten bei Datenschutzverletzungen offengelegt wurden, sagte mir.

Das Leck kommt, als chinesische Aufsichtsbehörden die Datensicherheitspraktiken chinesischer Technologieunternehmen untersuchen, die sie angeblich haben gesammelt Funde von Informationen über chinesische Benutzer. Es wird auch kritisiert, dass die chinesischen Behörden riesige Mengen an Daten über chinesische Bürger überwachen und anhäufen, um sie aufzuspüren und Verbrechen vorherzusagen, so die New York Times gemeldet Im vergangenen Monat.

Die Daten werden für 10 Bitcoin (rund 200.000 US-Dollar) zum Verkauf angeboten. Es ist nicht klar, wie viele Leute sich an den Verkäufer „ChinaDan“ gewandt haben, um den riesigen Datenschatz zu kaufen.

Es ist auch nicht klar, wie weit die Daten vor Donnerstag verbreitet waren, und es ist nicht klar, wie viele Personen bereits Zugriff auf die Daten hatten.

Die Datenbank war monatelang online zugänglich, bevor sie von Sicherheitsforschern ins öffentliche Rampenlicht gerückt wurde gesagt CNN‘s Yong Xiong, Hannah Ritchie und Nectar Gan.

  • Das könnte das Leck noch verheerender machen. Wenn es tatsächlich “über einen langen Zeitraum freigelegt war, müssten Sie davon ausgehen, dass andere Leute es gefunden haben”, sagte Hunt zu mir.

3. Wer steckt hinter dem Leak?

Ursprünge, Herkunft und Abfolge der Ereignisse, die zur Donnerstagspost führten, sind verschwommen. „ChinaDan“ hat sich nicht öffentlich dazu geäußert, wann sie die Daten erhalten haben, ob sie weiterhin versuchen wollen, sie zu verkaufen, und ob sie sie an irgendjemanden verkauft haben. Sie antworteten nicht auf eine Bitte um Stellungnahme zu diesen Themen.

Es ist auch nicht klar, ob sie alleine handeln, Teil einer größeren Operation sind oder von einer Regierung oder einem anderen Geldgeber gesponsert werden.

Das Leck wäre ein massiver Fehler, wenn es legitim ist und es tatsächlich getan hat ungesichert binden für mehr als ein Jahr. Es könnte auch zu realen Schäden führen, wenn besonders sensible Informationen wie Berichte über sexuelle Übergriffe und Missbrauch an die Öffentlichkeit gelangen.

  • Einige der Daten besagten, ob die im Datensatz enthaltenen Personen vom chinesischen Ministerium für öffentliche Sicherheit, der New York Times, als „Schlüsselperson“ bezeichnet wurden gemeldet. Zu dieser schwarzen Liste gehörten zuvor Menschen mit psychischen Erkrankungen, Menschen, die Drogen konsumieren, und politische Unruhestifter gemeldet. China benachrichtigt die Personen nicht, wenn sie der Liste hinzugefügt wurden.

Obwohl sie das Leck nicht anerkannt haben, haben die chinesischen Behörden es anscheinend zur Kenntnis genommen. Sie haben beliebte Hashtags wie „Datenleck“, „Verletzung der nationalen Sicherheitsdatenbank von Shanghai“ und „1-Milliarde-Bürgeraufzeichnungen-Leck“ auf Weibo, einem Twitter-ähnlichen Social-Media-Netzwerk, blockiert. die Financial Times‘s Ryan McMorrow und Gloria Li Bericht. Ein Benutzer sagte, er sei sogar eingeladen worden, einen viralen Beitrag über das Leck mit den örtlichen Behörden zu diskutieren, berichten McMorrow und Li.

Die Intel-Chefs des Senats fordern die FTC auf, die „Täuschung“ der Datensicherheit durch TikTok zu untersuchen

Gestern riefen die Führer des Geheimdienstausschusses des Senats den Vorsitzenden der Federal Trade Commission an Lina Khan zu untersuchen Berichte dass in China wiederholt auf US-Benutzerdaten auf TikTok zugegriffen wurde, eine Enthüllung, die Sicherheitsbedenken bezüglich der beliebten Video-Sharing-App neu entfachte, stellt mein Kollege Cristiano Lima von The Technology 202 fest. US-Gesetzgeber haben seit langem ihre Besorgnis über die Aussicht geäußert, dass chinesische Regierungsbeamte über die App, die dem in Peking ansässigen Technologieriesen ByteDance gehört, Informationen über US-Benutzer erhalten oder beschlagnahmen.

Fleisch Mark R. Warner (D-Va.) und stellvertretender Vorsitzender Marco Rubio (R-Fla.) forderte die Agentur auf, das Unternehmen „auf der Grundlage offensichtlicher Täuschung durch TikTok“ in Bezug auf seine Praktiken zu untersuchen. Die Senatoren schrieb dass jüngste Berichte „suggerieren, dass TikTok auch seine Corporate-Governance-Praktiken falsch dargestellt hat, auch gegenüber Kongressausschüssen wie unserem“. Die FTC lehnte eine Stellungnahme ab.

„Zwei Jahre lang haben wir offen über unsere Arbeit gesprochen, um den Zugriff auf Benutzerdaten in allen Regionen einzuschränken, und in unserem Brief an die Senatoren letzte Woche haben wir deutlich gemacht, dass wir durch unsere Arbeit mit Oracle Fortschritte bei der noch stärkeren Beschränkung des Zugriffs gemacht haben“, sagte TikTok Sprecher Brooke Oberwetter. „Wie wir wiederholt gesagt haben, hat TikTok niemals US-Benutzerdaten an die chinesische Regierung weitergegeben, und wir würden dies auch nicht tun, wenn wir darum gebeten würden.“

Letzte Woche beschrieb eine Gruppe republikanischer Senatoren die jüngsten Enthüllungen und bat das Unternehmen in einem separaten Brief um Antworten. Als Antwort bestätigte TikTok gegenüber dem Gesetzgeber, dass Mitarbeiter in China auf US-Benutzerdaten zugreifen können, nachdem sie Sicherheitsprotokolle gelöscht haben, Bloomberg News gemeldet. In einem seltenen Interview am Sonntag auf CNN, TikToks Leiter der öffentlichen Politik für Amerika Michael Beckermann sagte, das Unternehmen habe „niemals Informationen mit der chinesischen Regierung geteilt, und wir würden es auch nicht tun“.

Die US-Regierung stellt Algorithmen vor, die Quantencomputern standhalten sollen

Das Nationale Institut für Standards und Technologie angekündigt die ersten vier Verschlüsselungsalgorithmen, die es im Rahmen eines Wettbewerbs gibt. Dieser Newsletter findet inmitten eines Rennens um die Suche nach Verschlüsselungsalgorithmen statt, die einer Generation von Quantencomputern standhalten können, die in 15 bis 20 Jahren erwartet wird gemeldet Im April.

Quantencomputer werden mehr Feuerkraft haben als aktuelle Computer, was es ihnen leicht macht, eine aktuelle Generation von Verschlüsselungen zu knacken, die Kommunikation wie E-Mails auf ihrem Weg von Ort zu Ort geheim halten. Die neuen Algorithmen „stützen sich auf mathematische Probleme, die sowohl herkömmliche als auch Quantencomputer nur schwer lösen können, und schützen so die Privatsphäre jetzt und in Zukunft“, sagte NIST.

Es ist jedoch nicht das Ende des Weges. NIST plant noch, vier weitere Algorithmen anzukündigen. Es erwartet, dass die Algorithmen in einen neuen Standard für die Post-Quanten-Verschlüsselung aufgenommen werden, der in etwa zwei Jahren fertiggestellt sein wird, sagt NIST. Auch die Industrie muss den Standard übernehmen, ein Prozess, der Jahre dauern könnte, wie dieser Newsletter zuvor berichtete.

Hacker haben Marriott kurzzeitig verletzt, sagt Hotelgigant

Die Hacker sagen, sie seien „eine internationale Gruppe, die seit ungefähr fünf Jahren arbeitet“ und haben Kreditkarten-, Mitarbeiter- und Gästeinformationen im Wert von rund 20 Gigabyte von einem Mitarbeiter in einem Hotel in der Nähe des internationalen Flughafens Baltimore-Washington gestohlen. CyberScoop‘s AJ Vicens Berichte. Marriott teilte einer anderen Website, databreaches.net, mit, dass es 300 bis 400 Personen sowie die Aufsichtsbehörden über den Verstoß informieren werde.

Marriott „ist sich eines Bedrohungsakteurs bewusst, der Social Engineering verwendet hat, um einen Mitarbeiter in einem einzelnen Marriott-Hotel dazu zu bringen, Zugriff auf den Computer des Mitarbeiters zu gewähren“, sagte ein Sprecher gegenüber CyberScoop. Ihr Zugriff „erfolgte nur für kurze Zeit an einem Tag. Marriott identifizierte und untersuchte den Vorfall, bevor der Bedrohungsakteur das Unternehmen in einem Erpressungsversuch kontaktierte, den Marriott nicht bezahlte“, sagten sie.

Der Verstoß kommt, als Marriott in einen verwickelt ist Sammelklage über einen Verstoß, den das Unternehmen im Jahr 2018 offengelegt hat. Die Verletzung umfasste mehr als 130 Millionen Datensätze, und US-Beamte machten China dafür verantwortlich.

DoD-Probleme fordern Hacker auf, sich in Netzwerke einzugraben (The Record)

Der Ukraine-Krieg könnte ein Handbuch zur Cyberkriegsführung für chinesische Generäle liefern, die Taiwan im Auge behalten (CyberScoop)

Georgia Grand Jury lädt Sen. Rechtsteam von Graham, Giuliani und Trump (Matthew Brown)

  • Kragen. Candice E. Frostder Kommandeur des Joint Intelligence Operations Center des US Cyber ​​​​Command, spricht bei einem NightDragon-Event am Donnerstag um 16:30 Uhr
  • Britischer Staatsminister für Medien, Daten und digitale Infrastruktur Julia Lopez diskutiert neue britische Datenschutzregeln bei einer Veranstaltung des Atlantic Council am Dienstag um 9 Uhr

Danke fürs Lesen. Bis morgen.

Leave a Comment

Your email address will not be published.