Kategorien
dieBasis OpTinfoil

#dieBasis und ihr DirectoryIndex

Kein Hack, keine Infiltration, nur ein offener Server hat zu dem Leak geführt.

Hach ja, dieBasis: Schwurbel, Schwurbel. Von Infiltration ist die Rede, vom Eindringen in Systeme. Von widerrechtlich. Von geklauten Passwörtern. Von strafbar und blabla.

Nein, Quark, die Partei hat die Daten quasi öffentlich zur Verfügung gestellt. Das ist Fakt. Wir haben weder gehackt, noch infiltiert. Wir haben keine Passworte gebruteforced oder geklaut. Wir sind nicht in irgendwelche Systeme eingedrungen. Mussten wir nicht.

Wir haben im Browser den Server angeschaut, Ordnernamen im Prinzip geraten und gängige Verzeichnisnamen aufgerufen. Nicht nur beim Ordnernamen „download“ hatten wir einen offenen DirectoryIndex, aber der war am profitabelsten. Und er war durch nichts geschützt, weder durch eine .htaccess noch sonst irgendwie. Zunächst sahen wir dessen Struktur wie oben im Bild, lauter Unterordner. Wir konnten uns dort hindurchklicken. Und wurden weiter fündig.

„This is juicy“, schrieb einer der Anons dazu. Und das war es.

Möglich wurde dies, weil der Serverbetreiber die Anzeige des Directory-Index erlaubte, also des Verzeichnisinhalts, etwas, über das wir uns zwar freuen, es aber bei einem Live-System als grob fahrlässig einstufen. Es ist eine Zeile in der Serverkonfiguration, das zu verhindern, nicht schwer. Tut man das nicht, ermöglicht man es Dritten wie uns, die Verzeichnisse und Dateien so zu sehen, wie es an jedem Windowsrechner im Explorer mit den Daten auf der eigenen Festplatte möglich ist.

Theoretisch – und das sagen wir jetzt einmal ganz deutlich – hatte der Googlebot ebensolchen Zugriff wie wir und theoretisch hätten die Daten auch bei Google in den Suchmaschinen-Ergebnissen auftauchen können.

Da die Daten öffentlich herumlagen und dauernd neue erschienen, haben wir uns dazu entschlossen, einen Cronjob einzurichten, der ein Programm namens rclone dazu animiert, in regelmäßigen Abständen die Daten auf einen unserer Leakserver zu transferieren. Ganz ohne Hack. Zurücklehnen und andere Dinge tun.

Das ist Pfusch, Unfähigkeit und Dummheit auf Seiten des Serverbetreibers. Und es verstößt gegen die DSGVO.

Die DSGVO sagt ganz klar in Artikel 5 , Absatz 1 Buchstabe f:

Peronenbezogene Daten müssen
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Das regelt also, wie man mit personenbezogenen Daten umgehen muss. Technische und organisatorische Maßnahmen. Dazu gehört das Abschalten des DirectoryIndex, Verschlüsselung.

Security through obfuscation, Sicherheit durch Verschleierung, ist keine geeignete Maßnahme.

Eine Serverkonfiguration, die es außenstehenden Dritten erlaubt, einfach im Browser durch die gesamte Ordnerstruktur zu klicken, ist ganz klar ein Verstoß gegen diesen Artikel 5.

Was Verarbeitung ist und wie sich personenbezogene Daten definiert steht in Artikel 4 der DSGVO:

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

https://dsgvo-gesetz.de/art-4-dsgvo/

Mit dem Betreiber des Servers wurde hoffentlich eine umfassende Vereinbarung zur Auftragsverarbeitung personenbezogener Daten nach Artikel 28 DSGVO geschlossen und in der Beschreibung der technischen und organisatorischen Maßnahmen (TOM) ist beschrieben, wie er die Daten der Partei schützt?

Ansonsten bleibt der Partei nur noch schnelles Handeln. In der DSGVO ist geregelt:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. 2Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

https://dsgvo-gesetz.de/art-33-dsgvo/

Denn das mit dem Risiko für die Rechte und Freiheit – nun, hey, Anonymous hat die Daten. 72 Stunden.

Also, liebe dieBasis, bevor ihr euch einen in Bezug auf Strafbarkeit unseres Handelns aus dem Kreuz leiert, nutzt lieber die verbliebene Zeit für ein offenes Gespräch mit der Datenschutzbehörde und die Suche nach einem neuen Admin.

Ihr habt in Euren Reihen einen Anwalt für IT-Recht. Den solltet ihr dringend Konsultieren, bevor ihr Leute wie Haintz irgendwas sagen lasst. Beginnt mit H, der Nachname, Mitgliedsnummer 20000002, Kanzlei in Berlin, einer eurer Gründer.

Wenn ihr die Nummer braucht, meldet euch.

Und ja, wer den Schaden hat, braucht für den Spott nicht zu sorgen. Aber wer Schaden hat, den Spott nicht versteht und auf Angriff schaltet, der sollte nicht in einer politischen Partei aktiv sein.