Chinesische Behörden haben insgesamt 22 Mitarbeiter von lizensierten Apple-Vertragspartnern festgenommen, die sich offenbar eine goldene Nase mit dem Verkauf von Nutzerdaten verdient haben. Die Männer sollen über 6,5 Millionen Euro (50 Millionen Yuan) eingenommen haben, indem sie persönlichen Daten wie Apple IDs, E-Mails, Telefonnummern und Wohnadressen auf dem Schwarzmarkt verhökerten.
Das Sammeln der Daten konnte erfolgen, weil die Gruppe Zugriff auf eigentlich geschützte interne Server von Apple hatte. Für einen einzelnen Stammsatz erhielten die Beschuldigten nach den bisher vorliegenden Daten zwischen 1,50 und 2,50 Dollar, abhängig von den darin tatsächlich enthaltenen Daten. Rein rechnerisch könnte es sich also um Daten von drei bis vier Millionen Kunden handeln, die von dem Hack betroffen sind. In anderen Quellen wird davon berichtet, dass für einzelne Datensätze bis zu 180 Yuan, also umgerechnet 23 Euro bezahlt wurden.
Ein erheblicher Teil der Festgenommenen soll für Apple in in den chinesischen Provinzen Guangdong, Jiangsu, Zhejiang und Fujian das Direktmarketing abgewickelt haben, war also direkt oder indirekt für den Vertrieb von iPhones und anderen geräten zuständig. Den Festnahmen gingen monatelange Ermittlungen voraus. Ob Apple mit den Behörden zusammengearbeitet hat und in die Ermittlungen involviert war wurde nicht bekannt, eine Stellungnahme des Unternehmens zu den Festnahmen liegt bisher nicht vor.
Offen bleibt bis zum jetzigen Zeitpunkt auch, ob es sich nur um Daten von chinesischen Apple-Kunden handelt. Die chinesischen Behörden haben bisher keine Details zu den abgefragten Servern vorgelegt, so dass der tatsächliche Umfang der gestohlenen Daten nicht genau abgeschätzt werden kann.
Ein Risiko für eigentlich nicht betroffene Kunden bleibt. Selbstverständlich könnten z.B. die Käufer der Datensätze die vorliegenden Daten nutzen, um einem anderen Nutzer eine falsche, aber täuschend echt wirkende Identität vorzugaukeln. Vergleichbare Daten werden in der Regel für groß angelegte Phishing-Attacken genutzt, mit denen dann in einer Art Schneeballsystem weitere Nutzerdaten gesammelt werden.
Die Beauftragung von lizensierten Vertriebs- und Servicepartnern gilt allgemein als potentielles Sicherheitsrisiko. Zum einen können – wie im vorliegenden Fall – kriminelle Mitarbeiter Zugriff auf interne Daten des Unternehmens erhalten, die zwingend zur Abwicklung von Aufträgen benötigt werden. Eigentlich sollte es dann Sicherheitsmechanismen geben, mit denen in Umfang und Art verdächtige Abfragen aufgedeckt werden könnten. Zum anderen könte ein beauftragter externer Dienstleister selbst Opfer eines Hacker-Angriffs werden, ungeschützte Systeme betreiben oder andere Lücken aufweisen, in die das beauftragende Unternehmen keinen Einblick hat.
Vor einigen Wochen wurde auf verschiedenen “fabrikneuen” Android-Smartphones unterschiedlicher Hersteller vorinstallierte Malware, Adware und Ransomware gefunden. In diesem Zusammenhang kam der Verdacht auf, dass diese Smartphones “irgendwo” auf dem Vertriebsweg infiziert wurden.
via scmp.com
