Wer die Daten erstehen will, muss sich einfach auf Bestvalid.cc registrieren und sich dann einloggen. Die Seite mit dem Domaincode der Cocos Islands scheint sogar einen eigenen Kundenservice anzubieten. Ein Reporter von The Times brauchte nur seine Bitcoin-Brieftasche herauszuholen und konnte auf diese Weise ein ganzes Paket an Informationen über eine bestimmte Kundin einkaufen, inklusive Informationen über ihre Bankkarten, Adresse und Handynummer.
Immer wieder warnen Sicherheitsforscher davor, dass schlecht geschützte sensible Daten auf offenen Plattformen im Internet auftauchen. So machte der Programmierer Mark Burnett aus Utah im vergangen Jahr Schlagzeilen, als er zehn Millionen Zugangscodes ins Netz stellte.
Solche Daten finden sich in online verfügbaren Datenbanken auf Websites wie Pastebin, Webcache oder Siph0n. Auch Foren sind eine gute Quelle: Crackingcore, passwordcastle oder Greyhat-Hacker-Foren etwa. Auf all diesen Seiten findet sich der Müll des Internets. Und dieser Müll besteht zu einem großen Teil aus Passwörtern und sensiblen Informationen.
„Das ist ursprünglich illegales Material“, sagte Burnett im Gespräch mit WIRED. Es gelange auf die Seiten, weil die Zahl an Hackerangriffen auf Firmen- und Privatcomputer so stark angewachsen sei. „Bei den meisten dieser Angriffe geht es nicht um politischen oder wirtschaftlichen Schaden“, sagte der Programmierer. Es gehe um den „Show Off“. Junge Programmierer oder alteingesessene Hacker brechen in ein System ein und stehlen die Daten nur, um zu beweisen, dass sie da waren. Danach werden die Passwörter zur wertlosen Beute.
Inwiefern die gestohlenen britischen Kreditkartendaten in Verbindung mit einem koordinierten Datendiebstahl stehen, lässt sich nicht sagen. Betroffen sind unter anderem die Banken Barclays, Nationwide und Natwest. Es ist auffällig, dass die Website die Daten als „Produkt“ im offenen Web zum Verkauf anbietet und nicht im Schutz des Dark Webs. Gerade in Verbindung mit massenhaften Pannen bei der Sicherung von Kundendaten aus den vergangenen Jahren, wird es jedenfalls nicht der letzte Vorfall gewesen sein, bei dem sensible Informationen für jeden zugänglich online auftauchen.
