Impfdaten, geschwärzt
Impfdaten, geschwärzt
Bildquelle: BF

Hacker verschenkt Impfdaten von fast 2 Millionen Türken

Bei BreachForums verschenkt jemand eine illegal kopierte Datenbank mit türkischen Impfdaten. Der Hacker nutzte eine Sicherheitslücke aus.

Tanaka stellte bei BreachForums (BF) den Downloadlink für eine Datenbank mit unzähligen türkischen Bürgern mit samt ihren Impfdaten online. Manche Forumsmitglieder spekulierten, dass die Informationen aus dem e-Nabız (e-Pulse)-Leck von 2021 stammten. Darin war das türkische Gesundheitsministerium verwickelt.

Doch die Untersuchungen der Kollegen von Vpnmentor brachten zutage, dass dies kein alter Hack ist. Der Täter hat die Datenbank vermutlich am 4. April 2023 kopieren können. Die Datenbank umfasst Impfdaten aus den Jahren 2015 bis 2023. Zum Erhalt des Archivs, das der Nutzer beim Sharehoster Pixeldrain.com gepeichert hat, müssen die anderen Teilnehmer nicht einmal etwas bezahlen. Eine genaue Prüfung des Datensatzes ergab, dass dieser wahrscheinlich von einem Online-Server unter Ausnutzung einer Sicherheitslücke zur Offenlegung von Informationen gesammelt wurde.

Dar Leak im SQL-Format wurde jetzt bekannt, doch bei BF hat der Hacker die Informationen schon am 10. September veröffentlicht. Man fand Details zu 5,3 Millionen Impfstoffdosen, die landesweit verteilt wurden, mit Datensätzen von Krankenhäusern aus verschiedenen Städten innerhalb der Türkei.

Impfdaten-Leak gefährdet 70% aller türkischen Ärzte

Zu den durchgesickerten Informationen gehören:

  • Impfstofftypen, die die Einzelpersonen erhalten haben
  • Anzahl der Dosen bestimmter Impfungen im ganzen Land
  • sonstige Daten der Impfungen
  • Krankenhäuser, in denen die Impfungen durchgeführt wurden
  • Geburtsdaten der Geimpften
  • Teilweise türkische Identifikationsnummern der Patienten (kurz TCKNs)
  • Vollständige TCKNs, also die ID-Nummern der Ärzte
  • Sonstige Angaben zur Impfung und zur Lieferkette
  • Die TCKNs der Patienten waren teilweise geschwärzt, während die TCKNs der Ärzte in voller Länge vorliegen. Dies könnte darauf hindeuten, dass die Daten möglicherweise von einer Online-Plattform oder einem Dienst, der von türkischen Gesundheitsdienstleistern oder dem Gesundheitsministerium genutzt wird, abgeschöpft worden sind. Insgesamt waren 125.000 TCKNs für Ärzte aufgelistet. In Anbetracht der Tatsache, dass es in der Türkei im Jahr 2021 mehr als 183.000 Ärzte gab, deutet dies darauf hin, dass durch die Sicherheitsverletzung die personenbezogenen Daten von rund 70 % der Ärzte im Land offengelegt worden sein könnten.

Außerdem stellte man bei der Untersuchung des Lecks fest, dass die Datenzeilen nur Impfstoff-IDs enthielten, die mit „123“ beginnen. Daher kann man davon ausgehen, dass der Hacker Tanaka die Informationen durch die Abfrage bestimmter ID-Nummern gesammelt hat. Auf der Plattform oder dem Server, den man kompromittiert hat, dürften zahlreiche weitere unveröffentlichte Daten vorhanden sein, die man mit der gleichen Methode erhalten kann oder konnte. Das hängt natürlich davon ab, ob der Bug noch existiert.

Impfdaten, Hack, Breachforums, Pixeldrain

Gesundheitsministerium stellt sich stumm

Auf die Meldung an das türkische Gesundheitsministerium erfolgte bis heute keine Antwort. Ob man die ausgenutzte Schwachstelle bereits gepatcht hat, ist unklar. Während sich Namen und andere personenbezogene Daten nicht bei den Impfdaten finden lassen, so ergeben sich aufgrund der bestehenden Daten für Cyberkriminelle weitere Möglichkeiten.

Mithilfe der offen gelegten nationalen ID-Nummern und Geburtsdaten kann man diese mit öffentlichen Aufzeichnungen oder anderen potenziellen Datensätzen abgleichen. Dies könnte Hackern einen vollständigen Satz von Informationen liefern, die sie für verschiedene betrügerische Aktivitäten wie beispielsweise Identitätsdiebstahl, Phishing etc. nutzen könnten.

Impfdaten ermöglichen Hacker zahlreiche Straftaten

BreachForums

Man könnte auch versuchen, mithilfe der Daten gefälschte Finanztransaktionen durchzuführen. Alle von den Banken dafür verlangte Daten wären nach einem Abgleich mit anderen Datenbanken bereits vorhanden. Hacker könnten auch die TCKNs von Ärzten ausnutzen, um Patienten zu betrügen, damit sie für gefälschte verschreibungspflichtige Medikamente oder medizinische Dienstleistungen bezahlen. Die Informationen könnte man auch dafür nutzen, um Rezepte zu fälschen und vieles mehr.

Zudem besteht die Gefahr, dass Dritte die Identität samt Anschrift von Ärzten veröffentlichen werden. Da auch die Ärzte in der Türkei zunehmend von körperlicher Gewalt bedroht sind, könnte man dies versuchen als Druckmittel einzusetzen. Oder aber ehemalige Patienten bedrohen die Ärzte nach der Offenlegung ihrer Anschrift.

Weitere Datenleaks aus der Türkei verfügbar

GSM-Nummern, Hack, BreachForums
135 Mio. GSM-Nummern verfügbar.

Doch aus der Türkei existieren bei BreachedForums nicht nur die Impfdaten. Ein anderer Hacker veröffentlichte einen offenbar mit Schadsoftware verseuchten Datensatz einer Schule der Stadt Kayseri.

Darin enthalten sind der Name der Schüler, ihre Klasse, Geschlecht, Schuljahr, ihr Mobiltelefon, Telefonnummer der Eltern, Adresse, letzter Schulabschluss, Geburtsdatum und vieles mehr. Alles Daten, die man hervorragend für Identitätsdiebstahl und diverse andere kriminelle Vorhaben einsetzen könnte.

Ein anderer Hacker bietet seit dem 2. Oktober 60.000 türkische Ausweisdokumente und 135 Millionen GSM-Nummern türkischer Teilnehmer des dortigen Mobilfunknetzes an. Diese kosten bei BreachForums 8 Credits, das ist die hauseigene Währung des Hackerforums.

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.