Kategorien
dieBasis OpTinfoil

#dieBasis und ihr DirectoryIndex

Kein Hack, keine Infiltration, nur ein offener Server hat zu dem Leak geführt.

Hach ja, dieBasis: Schwurbel, Schwurbel. Von Infiltration ist die Rede, vom Eindringen in Systeme. Von widerrechtlich. Von geklauten Passwörtern. Von strafbar und blabla.

Nein, Quark, die Partei hat die Daten quasi öffentlich zur Verfügung gestellt. Das ist Fakt. Wir haben weder gehackt, noch infiltiert. Wir haben keine Passworte gebruteforced oder geklaut. Wir sind nicht in irgendwelche Systeme eingedrungen. Mussten wir nicht.

Wir haben im Browser den Server angeschaut, Ordnernamen im Prinzip geraten und gängige Verzeichnisnamen aufgerufen. Nicht nur beim Ordnernamen „download“ hatten wir einen offenen DirectoryIndex, aber der war am profitabelsten. Und er war durch nichts geschützt, weder durch eine .htaccess noch sonst irgendwie. Zunächst sahen wir dessen Struktur wie oben im Bild, lauter Unterordner. Wir konnten uns dort hindurchklicken. Und wurden weiter fündig.

„This is juicy“, schrieb einer der Anons dazu. Und das war es.

Möglich wurde dies, weil der Serverbetreiber die Anzeige des Directory-Index erlaubte, also des Verzeichnisinhalts, etwas, über das wir uns zwar freuen, es aber bei einem Live-System als grob fahrlässig einstufen. Es ist eine Zeile in der Serverkonfiguration, das zu verhindern, nicht schwer. Tut man das nicht, ermöglicht man es Dritten wie uns, die Verzeichnisse und Dateien so zu sehen, wie es an jedem Windowsrechner im Explorer mit den Daten auf der eigenen Festplatte möglich ist.

Theoretisch – und das sagen wir jetzt einmal ganz deutlich – hatte der Googlebot ebensolchen Zugriff wie wir und theoretisch hätten die Daten auch bei Google in den Suchmaschinen-Ergebnissen auftauchen können.

Da die Daten öffentlich herumlagen und dauernd neue erschienen, haben wir uns dazu entschlossen, einen Cronjob einzurichten, der ein Programm namens rclone dazu animiert, in regelmäßigen Abständen die Daten auf einen unserer Leakserver zu transferieren. Ganz ohne Hack. Zurücklehnen und andere Dinge tun.

Das ist Pfusch, Unfähigkeit und Dummheit auf Seiten des Serverbetreibers. Und es verstößt gegen die DSGVO.

Die DSGVO sagt ganz klar in Artikel 5 , Absatz 1 Buchstabe f:

Peronenbezogene Daten müssen
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Das regelt also, wie man mit personenbezogenen Daten umgehen muss. Technische und organisatorische Maßnahmen. Dazu gehört das Abschalten des DirectoryIndex, Verschlüsselung.

Security through obfuscation, Sicherheit durch Verschleierung, ist keine geeignete Maßnahme.

Eine Serverkonfiguration, die es außenstehenden Dritten erlaubt, einfach im Browser durch die gesamte Ordnerstruktur zu klicken, ist ganz klar ein Verstoß gegen diesen Artikel 5.

Was Verarbeitung ist und wie sich personenbezogene Daten definiert steht in Artikel 4 der DSGVO:

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

https://dsgvo-gesetz.de/art-4-dsgvo/

Mit dem Betreiber des Servers wurde hoffentlich eine umfassende Vereinbarung zur Auftragsverarbeitung personenbezogener Daten nach Artikel 28 DSGVO geschlossen und in der Beschreibung der technischen und organisatorischen Maßnahmen (TOM) ist beschrieben, wie er die Daten der Partei schützt?

Ansonsten bleibt der Partei nur noch schnelles Handeln. In der DSGVO ist geregelt:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. 2Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

https://dsgvo-gesetz.de/art-33-dsgvo/

Denn das mit dem Risiko für die Rechte und Freiheit – nun, hey, Anonymous hat die Daten. 72 Stunden.

Also, liebe dieBasis, bevor ihr euch einen in Bezug auf Strafbarkeit unseres Handelns aus dem Kreuz leiert, nutzt lieber die verbliebene Zeit für ein offenes Gespräch mit der Datenschutzbehörde und die Suche nach einem neuen Admin.

Ihr habt in Euren Reihen einen Anwalt für IT-Recht. Den solltet ihr dringend Konsultieren, bevor ihr Leute wie Haintz irgendwas sagen lasst. Beginnt mit H, der Nachname, Mitgliedsnummer 20000002, Kanzlei in Berlin, einer eurer Gründer.

Wenn ihr die Nummer braucht, meldet euch.

Und ja, wer den Schaden hat, braucht für den Spott nicht zu sorgen. Aber wer Schaden hat, den Spott nicht versteht und auf Angriff schaltet, der sollte nicht in einer politischen Partei aktiv sein.

32 Antworten auf „#dieBasis und ihr DirectoryIndex“

Tick Tack, die Zeit läuft liebe Basis 😘

Das löst mehr Glücksgefühle in mir aus, als mir lieb ist, danke für eure Arbeit

Ihr habt die beste Werbung gemacht, so was schwachsinniges. Warum macht ihr nicht was gescheites? Blödmänner. Pupertäre Auftragsarbeit ohne Wirkung oder was glaubt Ihr, was sowas bewirkt? Dass Lars Wienand euch da für dankt? Mann oh mann, selbst fürs solche Sachen noch zu blöd.

Schnullipulli, deine eigenen Mit-Mitglieder bedanken sich per Mail und schreiben uns, wir hätten Zweifel geweckt. Das sind die, die ihr jetzt verliert. Du scheinst allerdings zur Kategorie „Ich kann nichts zur Schwarmintelligenz beitragen“ zu gehören.

Hast du dich eigentlich mal gefragt, warum die Partei dieBasis auf Facebook jeden kritischen Kommentar zum Leak löscht? Hast du dich mal gefragt, was passiert wäre, wenn Google die Daten ausgelesen hätte? Hast du dich mal irgendwas gefragt oder kannst du nur dumm rumpampen?

Tut das eigentlich doll weh?

Tja, wenn die Datensicherheit nach den Mondphasen ausgependelt wird und nur zur Lichtphase ausgelesen werden kann , ja dann……
….sind Semi-Professionelle am Werk
darauf einen Trommelwirbel und ein freudig geschmettertes: etwas Datensicherheit darfs sein, da sagt der Admin niemals nein lalalalallllaal
Sorry, brach so aus mir raus 🥳

Gebt doch bitte bekannte Unternehmer*Innen, Rechtsanwälte usw. An die Örtliche Presse weiter. Ihr habt da echt ordentlich was in der Hand um die Querdenker Szene zu zerstören.

Gut Ding will Weile haben. Einige werden wir selbst veröffentlichen.

Die Presse dürfte solche Namen aus unserem Leak nicht unbedingt veröffentlichen, weil sie sich dann ggf. strafbar machen.
Wir dürfen das.

Einige Pressevertreter hatten bereits Zugang, wie Der Tagesspiegel und T-Online und weitere, damit sie den Leak verifizieren können.

Und das taten sie.

https://www.tagesspiegel.de/politik/gigantisches-leck-persoenliche-daten-von-tausenden-querdenkern-geleaked/27110834.html

Also jetzt passt mal auf: ihr seid nicht unsichtbar. Ihr macht einen Fehler und aus ist. Glaubt ihr, weil ihr Pickelgesichter sowas raushaut, habt Ihr Freunde bei diesem Regime? Oder seid Ihr Auftragnehmer vom IM? Und was habt Ihr enthüllt? Dass jemand 3 EURO bezahlt anstatt 20 EUR? Oh Mann, seid Ihr grad von der Schulbank gekommen?

Wir sind unsichtbar. Und jetzt geh spielen. Oder schwimmen. Oder irgendwas, was dir in deinem Zustand leicht fällt. Sowas wie Herzchen in angehauchte Scheiben schmieren oder sowas.

Es wäre sogar dem Googlebot gelungen, früher oder später. Aber das ist das, was die Parteimeckerer nicht verstehen werden.

Zu unserer Zeit haben wir derartige Probleme zunächst dem Betreiber mitgeteilt und ihm die Chance gegeben seine Fehler zu beheben, bevor die Öffentlichkeit informiert wurde. Ethic my friend, ethic.

Hohlfritten bei der Arbeit.
Querdenken Gedöns wie man es gewöhnt ist.
Der Quersumpf kann weg.

Apropos: hat Reitschuster schon gejammert, weil der pöse Hack nicht
im öffentlich rechtlichen breitgetreten wurde.

Nein, diese Frage hebt sich Reitschuster für die Bundespressekonferenz auf.

„Was steht die Bundesregierung dazu, dass ein Hacktivisten Kollektiv … Daten gefunden hat“

Oder so.

Die haben wohl geglaubt, dass mit https alles sicher ist… oh ne, wie peinlich! Mal sehen… 72 Stunden… ob sie’s hinkriegen werden?
Ein paar Leute hat diese Aktion ja immerhin schon zum Aufwachen gebracht, es werden hoffentlich mehr.

Ich kann sehr gut verstehen das so ein mies gesicherter Server geradezu eine Einladung ist zu schauen was alles geht. Hätte ich ebenso gemacht¹
Das Ihr das allerdings veröffentlicht, also die Daten daraus, das ist respektlos und gehört sich nicht.
Wenn Ihr wirklich mal was gutes mit eurem Crackerhobby machen wollt, dann versucht es doch beim Kanzleramt oder der Kripo oder dem BND, denn dort sitzen die Verbrecher deren Handeln nicht nur „Querdenkern“ sondern allen Schaden wird!

¹ Erinnert mich an ein Gespräch auf den Chemnitzer Linuxtagen mit den Vertretern von BMW die ein Linux-gestütztes Fahrzeugsystem präsentierten und ich frage ob es auch richtig abgesichert sei?
Deren Antwort war „Wieso sollte jemand versuchen dieses System zu hacken?“
Meine Antwort war „Nur um zu sehen ob es möglich ist, ganz ohne böse Absicht“ und weiter „Wenn ich kleiner Linux-User das schaffe, zeigt das, das die ´bösen Jungs´ das nicht nur zum probieren benutzen“

aus dem dunklen gegen andere schießen… ganz nach belieben… für wen auch immer… gegen wen auch immer… ohne moral, ohne eigene haltung… da ihr ja angeblich so unsichtbar seid (und scheinbar sogar stolz drauf), gibts keinerlei transparenz… und die leute sollen euch glauben, dass ihr nur „gutes“ wollt (dont be evil, schon mal von gehört?)… ihr glaubt, ihr könnt tun was ihr wollt… ihr könntet wirklich was bewegen… wenn ihr doch ein klein wenig mut hättet.

Wir haben als Kollektiv schon mehr Gutes für Menschen in wirklich unterdrückten Ländern wie Myanmar, Syrien, Ägypten und für deren Meinungsfreiheit getan, als du jemals wirst verstehen können. Schleich di!

Also bei Attolf Hildler im Telegram-Kanal wären so offensichtlich der Linie nicht treue Kommentare, wie sie hier vom Gehirnakrobat ANon mehrfach eingebracht wurden, sofort gelöscht worden.
Ihr gebt dem Oppositionellen jedoch sogar noch Tipps, wie er das Bewegungszentrum seines vakuumiertes Hirnes für Sinnvolles, wie z. B. Körperertüchtigung einsetzen kann.

Chapeau! That makes the difference!

Jede Mensch hat ein Recht darauf, seine Meinung zu äußern. Aber niemand hat das recht zu verlangen, dass diese Meinung akzeptiert wird.

Auch die Ach-so-tolle-Partei löscht kritische Kommentare auf Facebook.

Ach – und weil es gerade hereinkam:

„Die Partei gibt zu, selbst schuld am Datenleck zu sein. […] Am Abend habe die Partei ihre Mitglieder informiert, sagt ihr Medienbeauftragter David Claudio Siber gegenüber netzpolitik.org. Eine Selbstanzeige bei der Datenschutzbehörde sei geplant. […] „Wir sind Anonymous dankbar, dass sie uns den Denkzettel verpasst haben, aber die Mitgliederdaten nicht veröffentlicht wurden“, so Siber.

https://netzpolitik.org/2021/die-basis-corona-protest-partei-stellte-mitgliederdaten-ungeschuetzt-ins-netz/

Füttert die Trolle nicht @AnonLeaks. Gebt ihnen nur ein Seil. Gerade so lang, dass sie sich selbst dran aufhängen können.

Ich kann da auch keinen Hack erkennen. Es wurden keine Sicherheitseinrichtungen überwunden. ¯\_(ツ)_/¯

Kommentare sind geschlossen.