Behörden aus 14 Ländern, darunter Deutschland, haben das weltweit agierende Datenleak-Forum LeakBase abgeschaltet, die zugehörigen Domains beschlagnahmt und mehrere Personen festgenommen. Das teilte die europäische Polizeibehörde Europol mit, die die Aktion leitete. Mit mehr als 142.000 Mitgliedern gilt die LeakBase-Datenbank als eines der weltweit größten Online-Foren für Cyberkriminelle zum Kauf und Verkauf gestohlener Daten und Tools für Cyberangriffe.

Das seit 2021 aktive und öffentlich zugängliche englischsprachige Forum verfügte nach Angaben der Ermittler über ein riesiges und ständig aktualisiertes Archiv gestohlener Datenbanken mit Hunderten Millionen Zugangsdaten und ermöglichte es Usern, Informationen aus diesen gestohlenen Datenbanken zu verkaufen. Angeboten wurden Kredit- und Debitkartennummern, Bankverbindungsdaten, Benutzernamen und zugehörige Passwörter, sensible Geschäfts- und personenbezogene Daten, die zum Teil bei aufsehenerregenden Cyberangriffen erbeutet wurden.

„Die Zerschlagung dieses Online-Forums stört eine wichtige internationale Plattform, die Cyberkriminelle nutzen, um sensible persönliche Daten, Bank- und Kontodaten zu erlangen und damit Profit zu machen“, sagte der stellvertretende Generalstaatsanwalt A. Tysen Duva von der Strafabteilung des US-Justizministeriums, das ebenfalls in die Ermittlungen involviert war.

Vorgehen in zahlreichen Ländern

Am 3. März führten die Strafverfolgungsbehörden nach eigenen Angaben in mehreren Ländern rund einhundert koordinierte Maßnahmen durch, darunter gegen 37 der aktivsten Nutzer der Plattform. Sie vollstreckten Durchsuchungsbefehle, nahmen Festnahmen vor und befragten Personen in den Vereinigten Staaten, Australien, Belgien, Polen, Portugal, Rumänien, Spanien und dem Vereinigten Königreich. Beamte aus Kanada, Deutschland, Griechenland, dem Kosovo, Malaysia und den Niederlanden unterstützen die Ermittlungen.

Im Rahmen der Operation beschlagnahmten die Behörden die Domain sowie die Datenbank des Forums. Dies ermöglichte die Entanonymisierung mehrerer Nutzer, die glaubten, anonym zu agieren, erklärte Europol in einer Mitteilung. Die Strafverfolgungsbehörden hätten über dieselben Online-Kanäle, die für kriminelle Aktivitäten genutzt wurden, direkten Kontakt zu mehreren Verdächtigen aufgenommen.

„Diese Operation beweist, dass kein Winkel des Internets vor der internationalen Strafverfolgung sicher ist“, sagte Edvardas Šileris, Leiter des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität bei Europol. „Was als dubioser Marktplatz für gestohlene Daten begann, wurde nun zerschlagen, und diejenigen, die sich hinter Anonymität versteckt wähnten, werden identifiziert und zur Rechenschaft gezogen. Dies ist eine klare Botschaft an Cyberkriminelle weltweit: Wer mit gestohlenen Daten anderer handelt, wird von den Strafverfolgungsbehörden gefunden und vor Gericht gestellt.“

(akn)

Eine von Europol koordinierte internationale Strafverfolgungsaktion hat die Phishing-Plattform Tycoon2FA außer Gefecht gesetzt. Dabei wurden 330 Domains, die die Kerninfrastruktur des kriminellen Dienstes bildeten, darunter Phishing-Seiten und Kontrollpanels, abgeschaltet, heißt es in einer von der europäischen Polizeibehörde veröffentlichten Mitteilung. Die Aktion wurde von Strafverfolgungsbehörden in Lettland, Litauen, Portugal, Polen, Spanien und Großbritannien sowie Akteuren des Privatsektors, darunter Cloudflare, Coinbase oder Trend Micro, in enger Zusammenarbeit unter der Koordination des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität (EC3) von Europol durchgeführt.

Tycoon 2FA war mindestens seit August 2023 aktiv und zählte laut Europol zu den größten Phishing-Operationen weltweit. Die Plattform wurde demnach von Tausenden Cyberkriminellen genutzt, um die Zwei-Faktor-Authentifizierung (2FA) zu umgehen und ihnen unbemerkten Zugriff auf E-Mail- und Cloud-basierte Dienste zu ermöglichen. „Die Plattform generierte monatlich zig Millionen Phishing-E-Mails und ermöglichte den unbefugten Zugriff auf fast 100.000 Organisationen weltweit, darunter Schulen, Krankenhäuser und öffentliche Einrichtungen“, schreibt Europol.

Niedrige Einstiegsschwelle für Cyberkriminelle

Laut dem Tech-Portal Bleeding Computer wurden Tycoon2FA-Abos über den Telegram-Messenger zehn Tage Zugriff für 120 US-Dollar angeboten. Dies habe die Hürde, ausgeklügelte Angriffe zur Umgehung der MFA in großem Umfang durchzuführen, für weniger erfahrene Kriminelle deutlich gesenkt, so das Portal weiter.

„Die Plattform von Tycoon2FA ermöglichte es Angreifern, sich als vertrauenswürdige Marken auszugeben, indem sie Anmeldeseiten für Dienste wie Microsoft 365, OneDrive, Outlook, SharePoint und Gmail imitierten. Sie erlaubte es Angreifern außerdem, sich dauerhaft einzunisten und auf sensible Informationen zuzugreifen, selbst nachdem Passwörter zurückgesetzt wurden, sofern aktive Sitzungen und Token nicht explizit widerrufen wurden“, erklärte Microsoft am Mittwoch in einem Blogeintrag. „Dies funktionierte, indem während des Authentifizierungsprozesses generierte Sitzungs-Cookies abgefangen und gleichzeitig die Benutzerdaten erfasst wurden. Die 2FA-Codes wurden anschließend über die Proxy-Server von Tycoon2FA an den Authentifizierungsdienst weitergeleitet.“

Die Ermittlungen begannen, nachdem Trend Micro Informationen bereitgestellt hatte. Diese Informationen verbreitete Europol über seine EC3-Beratungsgruppen und operativen Netzwerke. Dies wiederum habe die Entwicklung einer koordinierten Einsatzstrategie ermöglicht, so das Europäische Polizeiamt. Später arbeiteten Microsoft und Trend Micro eng mit den Strafverfolgungsbehörden zusammen und stellten technisches Fachwissen sowie Infrastrukturanalysen bereit.

(akn)

Auf den ersten Blick sind die „Smart Glasses“ von Meta nur markante Brillen mit breitem Rand; auf den zweiten Blick wird eine Kamera-Linse sichtbar. Recherchen schwedischer Zeitungen zeigen nun, wie tief die neue Überwachungsbrille von Meta in Privatsphäre und Datenschutz eingreift. Wenn viele Menschen solche Brillen tragen, droht die kommerzielle Totalerfassung von privaten und öffentlichen Räumen; bald könnte Meta die Brille zusätzlich mit Gesichtserkennung aufrüsten.

Vermarktet wird die im September 2025 von Meta-Chef Mark Zuckerberg wie eine Sensation vorgestellte Überwachungsbrille als stylischer Allround-Assistent, der den Alltag erleichtern soll. Dabei greift das Gerät massiv in die Privatsphäre der Nutzenden ein, wie Recherchen der schwedischen Zeitungen Svenska Dagbladet und Göteborgs-Posten zeigen. Sie haben hinter die Kulissen des Gadgets geschaut und dabei Erstaunliches herausgefunden. Demnach fließt ein „versteckter Strom privatsphärenrelevanter Daten“ direkt in die Systeme des Tech-Konzerns und von dort auf Bildschirme von Datenarbeiter:innen.

Menschen in Nairobi berichten von gefilmten Toilettengängen

Über Meta gelangen die Daten demnach zum Dienstleister Sama, der für den US-Konzern arbeitet. Dort schulen Menschen „Künstliche Intelligenz“. Das heißt, sie benennen in mitunter 10-Stunden-Schichten gefilmte Gegenstände, damit die Software besser Objekte erkennen kann, etwa Blumen, Straßenschilder, Laternen, Autos und so weiter. Was Tech-Konzerne oftmals als technische und digitale Revolution verkaufen, basiert also auf der mühevollen Arbeit von Menschen in Niedriglohnländern. Der Clou: Auch Aufnahmen der „Smart Glasses“ landen offenbar bei Sama, wie die schwedischen Zeitungen berichten.

Die Journalist:innen haben mit mehr als 30 solcher Datenarbeiter:innen in Nairobi, Kenia gesprochen. Einige von ihnen sind mit Echtzeit-Daten beschäftigt, die offenbar auch durch die Überwachungsbrillen zu ihnen gelangen. Im Artikel des Svenska Dagbladet heißt es über die Mitarbeitenden von Sama:

Sie erzählen uns von sehr privaten Videoclips, die offenbar direkt aus westlichen Haushalten stammen und Menschen zeigen, die die Brille in ihrem Alltag nutzen. Mehrere beschreiben Videomaterial, das Toilettengänge, Sex und andere intime Momente zeigt.

Zum Beispiel hätten Brillen auf dem Nachtisch gelegen, während sich jemand umzieht. In einem anderen Fall habe jemand die Brille getragen, als eine Person nackt aus dem Badezimmer kam. Wohnzimmer seien ebenso zu sehen gewesen wie Bankkarten – oder Nutzer:innen, die gerade einen Porno schauen. Die Datenarbeiter:innen sollen auch private Chats gesehen haben, berichtet das Svenska Dagbladet.

Im Artikel kommt ein anonymer Mitarbeiter von Sama zu Wort. Auf die Frage, ob es sich anfühle, als würde man direkt in das Leben der Menschen schauen, sagt er:

Wenn man diese Videos sieht, fühlt es sich so an. Aber da es ein Job ist, muss man es tun. Man versteht, dass man das Privatleben von jemandem betrachtet, aber gleichzeitig wird von einem erwartet, dass man einfach seine Arbeit macht. Man soll keine Fragen stellen. Wenn man anfängt, Fragen zu stellen, ist man weg.

Volle Funktionen nur mit Datenweitergabe

Die Journalist:innen haben die Brillen auch technisch getestet. Beim Kauf hätten sie erfahren, dass sich die Brillen auch lokal per App nutzen ließen. Doch ohne Internetverbindung habe die KI-Funktion der Brille nicht funktioniert. Bei der Analyse des Netzwerkverkehrs stellten die Recherchierenden fest: Das mit der Brille verbundene Telefon habe häufig Kontakt zu Meta-Servern in Schweden und Dänemark.

Dem Artikel zufolge spiegele sich das auch in den Datenschutzbestimmungen wieder, die Nutzer:innen der Brille bestätigen müssen. Damit der KI-Assistent funktioniert, müssten Sprache, Text, Bilder und manchmal auch Videos verarbeitet und möglicherweise weitergegeben werden. „Diese Datenverarbeitung erfolgt automatisch und kann nicht deaktiviert werden“, heißt es in dem Bericht weiter. Auch in die Überprüfung aufgezeichneter Inhalten durch Menschen müssten Nutzer:innen einwilligen, um die Brille verwenden zu können.

„Transparenz und Rechtsgrundlage fehlen“

Kleanthi Sardeli ist Juristin bei der Wiener Datenschutz-Organisation None Of Your Business (NOYB). Sie kommentiert die Datenverarbeitung gegenüber dem Svenska Dagbladet: „Wenn dies in Europa geschieht, fehlen sowohl die Transparenz als auch die Rechtsgrundlage für die Verarbeitung.“ NOYB zufolge ist eine ausdrückliche Zustimmung erforderlich, wenn Daten zum Trainieren künstlicher Intelligenz verwendet werden.

Auch die schwedische Datenschutzbehörde IMY kritisiert gegenüber der Zeitung die Datenverarbeitung. „Der Nutzer hat wirklich keine Ahnung, was hinter den Kulissen vor sich geht“, sagt Petter Flink, ein IT-Spezialist der IMY.

Meta habe auf viele konkrete Fragen des Svenska Dagbladet zur Datenverarbeitung nicht konkret geantwortet, sondern auf die KI- und Datenschutzrichtlinien verwiesen: „Wenn Live-KI verwendet wird, verarbeiten wir diese Medien gemäß den Nutzungsbedingungen und Datenschutzrichtlinien von Meta AI.“ Das Subunternehmen Sama hat auf die Fragen der Journalist:innen nicht geantwortet.