Welche Maßnahmen sollten wir ergreifen, um Datenlecks zu verhindern?
Geschrieben von: Certik
In der heutigen Gesellschaft ist das Internet, egal ob wir arbeiten oder leben, seit langem untrennbar mit dem Leben der Menschen verbunden. Sie müssen kein Portemonnaie mitbringen, aber Sie müssen Ihr Mobiltelefon mitnehmen, wenn Sie ausgehen. Es gibt keine physische Karte als Zahlungsmittel und selbst Straßenbettler haben begonnen, das Internet zu nutzen, um Geld zu überweisen und einzusammeln QR-Codes.
Es ist nicht schwer, sich vorzustellen, dass die meisten Bedrohungen, denen Einzelpersonen, Unternehmen, Organisationen und ihre Kunden derzeit ausgesetzt sind, tatsächlich von Schwachstellen und Angriffen im Netzwerk ausgehen. Heutzutage sind der Datenschutz und die Privatsphäre, die den Menschen am Herzen liegen, äußerst wichtig geworden. Jedes Jahr kommt es zu unzähligen Verlusten sensibler Daten aufgrund von Sicherheitslücken.
In der Geschichte von Web3.0 kam es zu zahlreichen schwerwiegenden Sicherheitsvorfällen, die vom Verlust privater Schlüssel zentralisierter Börsen bis zum Diebstahl persönlicher Daten von Anlegern reichten. Und diese Daten könnten jahrelang in Online-Hacking-Foren und Darknet-Marktplätzen existieren, was bedeutet, dass ein Datenverstoß die betroffenen Benutzer für lange Zeit einem Risiko aussetzen würde.
Die CertiK-Analyse untersuchte 74 Sicherheitsvorfälle, die in zentralisierten Web 3.0-Einheiten auftraten. 23 dieser Vorfälle führten zu einem langfristig hohen Risiko eines Datenverlusts, und von diesen 23 Vorfällen wurde festgestellt, dass 10 Pakete immer noch in Darknet-Foren zum Kauf verfügbar waren.
Eine Reihe von Strafverfolgungskampagnen gegen Hacker-Foren können die Extraktion bestimmter Daten verhindern, aber solche Maßnahmen sind letztlich nur palliativ.
Dieser Artikel führt Sie durch die Klassifizierung von Web3.0-Datenleckvorfällen und durch die Maßnahmen, die wir zum Schutz unserer Datensicherheit ergreifen sollten.
Hintergrund
Hacking, Exploits, Ransomware und alle Cybersicherheitsbedrohungen nehmen an Größe und Schwere zu. Das Web 3.0-Ökosystem ist insofern einzigartig, als es böswilligen Akteuren eine Vielzahl von Angriffsvektoren bietet, die in anderen Technologien nicht zu finden sind, darunter Schwachstellen in Smart Contracts und neuartige Phishing-Techniken.
Allerdings ist die Geschichte der Sicherheitsvorfälle im Web 3.0 eng mit der Situation in anderen Branchen verknüpft. In Nicht-Web 3.0-Bereichen fehlen die gleichen Arten von Sicherheitslücken, die zentralisierte Projekte und Unternehmen nicht beheben können.
Wir wollten einen genaueren Blick auf den Verlauf von Cybersicherheitsvorfällen im Vergleich zu den Web 3.0-Zielen werfen und beurteilen, ob vergangene Vorfälle heute ein anhaltendes Risiko für Community-Mitglieder darstellen.
Dazu ist eine sorgfältige Analyse erforderlich, wie sich die Sicherheitsvorfälle in diesem Bericht von den Schwachstellen unterscheiden, die durch die Ausnutzung intelligenter Vertragsprotokolle verursacht werden.
Wir haben seit 2011 viele Vorfälle gegen Web3.0-Unternehmen untersucht und sie lassen sich grob in zwei Kategorien einteilen:
- Protocol Malicious Exploitation: Ereignisse, die intelligente Vertragscodes verwenden, um wirtschaftliche Vorteile zu erzielen
- Schwachstelle: Ein Vorfall, bei dem ein Angreifer das interne Netzwerk einer Zielorganisation kompromittiert und die erlangten Privilegien nutzt, um Unternehmensdaten oder Gelder zu stehlen
Es gibt mehrere wichtige Unterschiede zwischen den beiden Kategorien hinsichtlich des kurzfristigen und langfristigen Risikos.
Bösartige Protokoll-Exploits treten innerhalb eines bestimmten Zeitrahmens auf, beginnend mit der Ausführung des Exploits durch den Angreifer und enden, wenn alle verfügbaren Mittel erschöpft sind, kein Benzin mehr vorhanden ist oder das Zielprojekt beendet wird. Einige dieser Veranstaltungen können Stunden oder Tage dauern, wobei die Verhandlungen nach der Veranstaltung diesen Zeitrahmen noch weiter verlängern, und es gab auch Fälle, in denen Projekte unmittelbar danach eingestellt wurden. Der Schlüssel liegt jedoch darin, dass diese Angriffe klare Start- und Endknoten haben.
Schwachstellen hingegen gelten als anhaltende Vorfälle (der Angreifer verschafft sich Zugriff auf das Netzwerk und bleibt dort für längere Zeit). Unter einem Verstoß versteht man in der Regel die Exfiltration von Daten, die bei einem Angriff ausgenutzt oder anschließend im Darknet oder in Online-Foren verkauft werden.
Netzwerkverstöße können auch zu erheblichen finanziellen Verlusten führen. Die meisten Web 3.0-Organisationen sind Finanzinstitute mit einem hohen Geldfluss, was sie zu einem natürlichen Ziel für Hacker macht.
Datenschutzverletzungen können verheerende Folgen haben und das Risiko kann jahrelang anhalten – insbesondere, wenn personenbezogene Daten (PII) während der Datenschutzverletzung verloren gehen.
Vor diesem Hintergrund haben wir eine Stichprobe von 74 vergangenen Vorfällen gesammelt, die wir als Verstöße einstufen, die ein anhaltendes Risiko für Community-Mitglieder darstellen (umfasst nur Vorfälle, bei denen das interne Netzwerk eines Unternehmens kompromittiert wurde, und enthält keine Daten zur Protokollausnutzung).
Wir halten es für notwendig, zwischen Vorfällen, bei denen sensible Daten verloren gehen, und Vorfällen, bei denen nur Gelder verloren gehen, zu unterscheiden. Um das anhaltende Risiko dieser Verstöße besser einschätzen zu können, werden wir Verstöße hervorheben, deren Daten noch zum Verkauf oder frei verfügbar im Darknet oder anderen Bereichen des Clearnets verfügbar sind, und unsere Gedanken zur Zugänglichkeit dieser Plattformen darlegen.
Datenschutzverletzung und Geldverlust
Um das mit diesen Ereignissen verbundene anhaltende Risiko einzuschätzen, haben wir sie in die folgenden definierten Ereignisse eingeteilt:
- Datenverlustereignisse, die theoretisch abrufbar sind, einschließlich PII und interner Datenbanken usw.
- Im Falle eines Geld- oder Datenverlusts und wenn die Daten nicht mehr wiederhergestellt werden können.
Die zweite Kategorie unwiederbringlicher Datenverluste besteht hauptsächlich aus Verstößen, die lediglich zum Verlust von Geldern oder privaten Schlüsseln führen. In solchen Fällen sind verlorene Gelder in der Regel unwiederbringlich.
Zu den ungewöhnlichen Ereignissen zählen solche, bei denen die gestohlenen Daten nie freigegeben, zurückgegeben oder für andere Zwecke verwendet wurden. Beispielsweise wurde im Juni 2020 die japanische Zentralbörse Coincheck angegriffen und die PII von mehr als 200 Kunden fielen in die Hände der Angreifer. Die Angreifer manipulierten das Netzwerk von Coincheck und versendeten dann Phishing-E-Mails von der internen E-Mail-Adresse des Unternehmens, in denen sie personenbezogene Daten von Kunden forderten. Bei diesem Vorfall ging jedoch keine bestimmte Datenbank verloren, und es handelte sich lediglich um die Daten der Kunden, die auf die E-Mails geantwortet hatten.
Bei einem weiteren Vorfall im Juni 2020 kam es auch bei der kanadischen Zentralbörse Coinsquare zu einem Verstoß, bei dem 5.000 E-Mail-Adressen, Telefonnummern und Privatadressen durchsickerten und verloren gingen.
Nachdem sie zwischen Coinsquare hin und her gesprungen waren, sagten die Angreifer, dass sie die Daten für SIM-Swapping-Angriffe verwenden würden, aber nicht versuchen würden, sie zu verkaufen, um „länger zu fischen“. Diese Art von Ereignis wird auch als zweite Art irreparabler Ereignisse klassifiziert.
Von den 74 von uns identifizierten Vorfällen konnten 23 als datenabrufbare Vorfälle klassifiziert werden, also etwa 31 %. Bei den verbleibenden 51 Vorfällen handelte es sich entweder um die oben beschriebenen anormalen Vorfälle oder um solche, die lediglich zu einem Verlust von Geldern führten.
Grafik: Abrufbare vs. nicht abrufbare Daten für Ereignisse zwischen 2011 und 2023 (Quelle: CertiK)
Wir können einige Punkte erkennen:
① Datenereignisse, bei denen eine hohe Wahrscheinlichkeit besteht, dass sie abgerufen oder wiederhergestellt werden, haben nach 2019 deutlich zugenommen. Dies ist direkt proportional zur Zunahme von Hacking-Angriffen und Datenlecks in verschiedenen Branchen während der Epidemie.
② Das Wachstum staatlicher Hilfen in diesem Zeitraum, von denen einige in das Web3.0-Ökosystem geflossen sind, gepaart mit dem Bullenmarkt im Jahr 2021 könnte Angreifern mehr Möglichkeiten bieten, Ransomware und Daten zu verkaufen.
**Wo sind die gestohlenen Daten geblieben? **
Darknet und Telegram
Verlorene Daten werden oft verkauft oder im Dark Web (.onion-Sites) oder im Clear Net abgelegt. Wenn davon ausgegangen wird, dass die Daten einen gewissen wirtschaftlichen Wert haben (personenbezogene Daten und andere für Betrug genutzte Daten), werden sie häufig auf Darknet-Märkten oder sogar auf Telegram-Kanälen auftauchen. Werden die Forderungen des Angreifers (Ransomware) nicht erfüllt, werden die Daten einfach auf Paste-Sites oder Hacker-Foren abgelegt.
**Wo die Daten landen, bestimmt das langfristige Risiko, das sie für ihren ursprünglichen Eigentümer darstellen. **
Im Vergleich zu Daten, die nur im Dark Web erworben werden können, besteht bei Daten, die zu sehr geringen oder kostenlosen Kosten in Hacker-Foren abgelegt werden, ein höheres Risiko der Datenlecks.
Die kontinuierliche Zugänglichkeit solcher Websites „reduziert“ auch das langfristige Risiko einer Datenschutzverletzung eines Opfers. Im Folgenden werfen wir einen genaueren Blick auf die Verkäufe von Web 3.0-Daten an diesen Standorten.
Online Forum
Im Laufe der Jahre sind Online-Hacking-Foren entstanden. Angesichts der Zunahme der Vorfälle abrufbarer Daten nach 2019 verdienen nur wenige Foren in diesem Zusammenhang als Fallstudien betrachtet zu werden. Zu diesen Foren gehören das Raid-Forum, das Breach-Forum und das Dread-Forum.
Mehrere Verstöße haben das Raid-Forum zu einem der bevorzugten Foren für die Weitergabe und den Verkauf verletzter Daten gemacht. Das Raid Forum startete 2015 und läuft seit Jahren im Clear Net. Im Jahr 2022 wurde die Domain „Raid Forum“ jedoch von US-Strafverfolgungsbehörden in Zusammenarbeit mit Europol beschlagnahmt.
Bild: US-amerikanische und europäische Strafverfolgungsbehörden entfernen Hinweis auf der Raid-Forum-Website
Das 2015 gegründete Dread Forum scheint bis Ende 2022 aktiv zu sein, obwohl es in den sozialen Medien zahlreiche Hinweise darauf gibt, dass es inzwischen ebenfalls nicht mehr existieren könnte. Wir haben versucht, auf die Darknet- (.onion) und IP2-Versionen dieses Forums zuzugreifen, aber auch diese scheinen nicht verfügbar zu sein.
Das Breach-Forum ging live, unmittelbar nachdem das Raid-Forum geschlossen wurde.
Die Breach-Foren bieten eine angemessene Bleibe für Benutzer, die durch die Schließung der Raid-Foren „verdrängt“ wurden.
Es verfügt über eine ähnliche Benutzeroberfläche wie Raid Forum, ein Bewertungssystem für die Reputation von Mitgliedern, und weist eine hohe Aktivität auf, wobei die Benutzer 60 % der ursprünglichen Benutzerbasis von Raid Forum erreichen (ungefähr 550.000 Benutzer). Nur ein Jahr später, im März 2023, verhaftete das FBI Conor Brian Fitzpatrick, der das Forum Breach leitete, und nach einer Welle interner Dramen über die Neuausrichtung der Website brach die Website zusammen.
Weniger als eine Woche nach dem Zusammenbruch des Breach-Forums tauchte ein weiterer Ersatz auf, der angeblich von einem selbsternannten ehemaligen anonymen Hacker namens Pirata (@_pirate18) betrieben wird. Aber es hat nur 161 Mitglieder, was bedeutet, dass der Ersatz dieses Mal nicht in der Lage war, die alten Spieler des Forums aufzunehmen.
Während dieser Pause (in den letzten Märzwochen) sind viele andere Foren entstanden. Einige dieser Foren wurden als typisch anstößige Foren entfernt, sodass man davon ausgehen kann, dass es sich beim Rest möglicherweise um Tarnung durch die Strafverfolgungsbehörden handelt.
Bild: Liste der VX-Underground-Foren nach Schließung des Breach-Forums (Quelle: Twitter)
Wir können nur bestätigen, dass in einem der Foren einige Web3.0-Daten vorhanden sind.
Berichten zufolge hat das ARES-Forum einige Aktivitäten aus anderen geschlossenen Foren aufgenommen, es ist jedoch nicht klar, wie viel. Das Forum, das angeblich mit Ransomware-Gruppen und anderen böswilligen Akteuren verbunden ist, betreibt auch einen öffentlichen Telegram-Kanal, der in seinem gesperrten VIP-Verkaufskanal für den Verkauf von Daten wirbt. Der Kanal ging am 6. März online und schaltete Hunderte von Anzeigen (einschließlich Beiträgen in zwei zentralisierten börsenbezogenen Datenbanken).
Bild: Anzeige des Telegram Centralized Exchange Data-Kanals im ARES-Forum (Quelle: Telegram)
Insgesamt funktioniert die Community des Hacking- und Daten-Dumping-Forums derzeit eher chaotisch. Da es keinen klaren Ersatz für traditionelle Foren gibt und internationale Strafverfolgungsbehörden ihr Vorgehen gegen diese Gruppen verstärken, ist es fast sicher, dass Foren in naher Zukunft nicht Schauplatz größerer Datenverstöße (einschließlich Web 3.0) sein werden. Bevorzugter Weg**.
Dark Web – Datenschutzverletzungen auf .onion-Sites
Dark-Web-Märkte und -Foren sind seit langem Orte, an denen Menschen ihre Daten entsorgen oder verkaufen.
Auch gegen diese Ökosysteme kam es zu Razzien seitens der Strafverfolgungsbehörden, allerdings richteten sich diese Razzien eher gegen Märkte, die den Verkauf von Medikamenten erleichtern. Allerdings kommt es selbst in weniger bekannten Märkten offenbar sehr häufig zu Datenverstößen, oder sie werden zumindest beworben. Der Unterschied ist mittlerweile deutlich anders als bei Online-Foren, die ebenfalls Daten speichern, aber pauschal abgeschaltet wurden.
Bild: Ledger-Kundendaten zum Verkauf auf einem Darknet-Markt (Quelle: Digital Thrift Shop)
Zusammenfassend lässt sich sagen, dass 23 der 74 Verstöße in unserer Stichprobe von Datenschutzverstößen Daten betrafen, bei denen eine gewisse Chance bestand, abgerufen zu werden. Von diesen 23 konnten wir 10 aktive Datenverkaufsanzeigen (43 %) finden. Solche Proben sind in unserem vorherigen Diagramm grün hervorgehoben:
Grafik: Bestätigte Fälle von durchgesickerten Daten, die auf Darknet-Märkten verkauft werden, grün hervorgehoben (Quelle: CertiK)
Die gestiegenen bezahlten Datenverkäufe in diesem Diagramm weisen auf mehrere Dinge hin. Erstens haben wir keinen Zugriff auf Datenquellen für Verstöße, die nach 2021 aufgetreten sind.
Aufgrund der Art des Ziels für 2022 besteht eine begründete Möglichkeit, dass Daten möglicherweise in einem Forum aufgetaucht sind, das nicht mehr existiert.
Dies ist jedoch schwer zu beweisen, insbesondere wenn diese Datensätze in keinem der Foren erscheinen, die Raid und Breached ersetzen würden. Zweitens fehlen diese Datensätze auch auf allen Darknet-Märkten, die wir ab 2019 und früher sehen können – wahrscheinlich weil die Marktplätze, von denen wir diese Daten erhalten haben, sehr alt und wenig bekannt sind. Wir können nicht beurteilen, ob diese Daten bei diesen Anbietern tatsächlich noch verfügbar sind, diese Anzeigen jedoch schon.
**Stellen diese Datenschutzverletzungen ein langfristiges Risiko dar? **
Es ist schwierig, das langfristige Risiko zu quantifizieren, aber Sie können das Datenverlustrisiko zumindest mit den nicht datenbezogenen Ereignissen in dieser Stichprobe vergleichen. Beachten Sie, dass wir die Risiken von Nichteinhaltungsereignissen, die nur zu direkten finanziellen Verlusten führen, als geringeres Risiko einstufen können, weil:
Der Verlust tritt sofort ein, wir können die Auswirkungen anhand der verlorenen Fiat- oder Web3.0-Währung messen
Alle dabei verlorenen Daten sind ersetzbar. Im Falle einer Kompromittierung müssen private Schlüssel, Passwörter und privilegierte Netzwerkzugangspunkte geändert werden, um das Problem zu beheben.
Sicherheitsverstöße, bei denen vertrauliche Daten, insbesondere Kundendaten, verloren gehen, stellen auf lange Sicht tatsächlich ein größeres Risiko dar
Ein Großteil dieser Daten wird verkauft oder ist im Dark Web oder Clear Web frei verfügbar, wodurch ihre langfristige Verfügbarkeit verlängert wird.
Persönliche Datenpunkte der Kunden, also Telefonnummern, Vor-/Nachnamen, Adressen und Transaktionsdaten, können nur schwer oder gar nicht geändert werden. Selbst wenn also jemand aufgrund eines Verstoßes seine persönlichen Daten ändert, sind alle Daten anderer an dem Verstoß beteiligter Personen weiterhin gefährdet.
Die Auswirkungen dieses Verstoßes sind schwer oder gar nicht zu messen. Abhängig von den verlorenen Daten war das Opfer möglicherweise das Ziel mehrerer Betrügereien.
Bei einem Verstoß im Jahr 2014 fanden wir zum Verkauf stehende Daten. Dieser spezielle Datenpunkt ist ein weiterer Beweis für die Schwierigkeit, das langfristige Risiko zu messen. Der Hack im Jahr 2014, der die inzwischen nicht mehr existierende Krypto-Börse BTC-E angriff, die 2017 von US-Strafverfolgungsbehörden beschlagnahmt wurde, birgt tatsächlich ein viel geringeres Risiko im Zusammenhang mit Datenverlust als andere.
Um es klarzustellen: Das Risiko bleibt bestehen, dass diese Daten mit Daten aus neueren Verstößen übereinstimmen, wodurch sich das langfristige Risiko für Personen erhöht, die in diesem Zeitraum am Web 3.0 teilnehmen.
Betrachtet man den gesamten Bereich, stellen Datenverluste nach 2019 (insbesondere Daten, die auf Darknet-Märkten immer noch zum Verkauf verfügbar sind) höchstwahrscheinlich das höchste langfristige Risiko dar. Ab 2022 besteht für die Betroffenen mit ziemlicher Sicherheit ein erhebliches Risiko, dass ihre Daten für betrügerische Aktivitäten verwendet werden könnten (auch wenn diese nicht physisch lokalisiert werden können). Trotz der Schließung vieler Online-Foren sollten wir davon ausgehen, dass alle verlorenen Daten, insbesondere bei den jüngsten Datenschutzverletzungen, wahrscheinlich immer noch irgendwo verfügbar sind und jederzeit wieder auftauchen können.
Am Ende schreiben
Die Realität ist, dass Sicherheitslücken nicht zu 100 % beseitigt werden können. Wenn Daten von einer zentralen Stelle gespeichert und verarbeitet werden, stehen den meisten von einer Datenpanne betroffenen Benutzern nur begrenzte Abhilfemöglichkeiten zur Verfügung.
Wir können das Gefährdungsrisiko jedoch verringern, indem wir die Nutzung zentralisierter Dienste einschränken, einschließlich zentralisierter Börsen. Einzelpersonen sollten nach Möglichkeit auch eine Zwei-Faktor-Authentifizierung verwenden, um unerwünschte Exchange-Wallet-Aktivitäten oder die Verwendung personenbezogener Daten für den Zugriff auf oder die Änderung von Kontodaten zu verhindern.
Abhängig von der Art des Verstoßes könnten wir sogar in Betracht ziehen, einige der durch den Verstoß offengelegten Informationen zu ändern, beispielsweise E-Mail-Adressen oder Telefonnummern.
Und wenn Sie bei einem Web 3.0-Datenverstoß anonym agieren möchten, besteht für Ihre Identität eine zusätzliche Gefahr der Offenlegung.
Es gibt noch weitere Maßnahmen, die Menschen ergreifen können, um Daten und Investitionen zu schützen. Zum Beispiel die Reduzierung des Investitions- und Finanzrisikos durch die Verteilung von Vermögenswerten in selbstverwahrenden Wallets und Hard Wallets.
Selbstverständlich können Daten auch geschützt werden durch:
- Reduzieren Sie die Anzahl zentralisierter Web3-Investmentinstitute oder -Börsen, die Ihre persönlichen Daten mit Ihnen teilen
- Plattformübergreifend Verwenden Sie keine wiederholten Passwörter
- Aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Konten
- Überwachen Sie Websites, die Datenverstöße melden. So erfahren Sie, ob Ihre E-Mail-Adresse an einem Verstoß beteiligt war
- Nutzen Sie Kreditüberwachungsdienste, um versuchten Identitätsdiebstahl und Bankbetrug zu überwachen
