Hätte Numa wie angekündigt mein Zimmer einfach kostenfrei storniert, als ich meinen Ausweis nicht teilen wollte, wäre ich nie auf anderer Leute Ausweisdaten gestoßen

marx.wtf

numa numa nay – marx.wtf

26 comments

Wow, was für ein Anfängerfehler mit einer fortlaufenden ID zu arbeiten.
Ist mir auch mal bei einem Dienstleister aufgefallen. Da konnte ich auf die Daten von anderen Kunden zugreifen. Schon ein paar Jährchen her.
- Was ist denn das Problem mit einer fortlaufenden ID?
  
  Sofern nicht andweitig geschützt, kannst du einfach immer die ID um eins erhöhen/verringern um auf Daten anderer Nutzer zuzugreifen. Bei zufälligen IDs ist das nicht möglich, bzw. sehr unwahrscheinlich.
  
  Das Problem ist, dass es dadurch trivial ist massiv Daten abzugreifen.
  Wenn ich weiß, dass die IDs fortlaufend sind sage ich meinem Programm einfach "wiederhole mit ID+1". Wären es zufällige Werte müsste ich diese vorher kennen oder ich brauche sehr lange bis ich einen Zufallstreffer lande.
  
  Wenn man darueber daten oeffentlich zugaenglich macht, kann man durch ausprobieren die daten andere leute finden. Normalerweise sollte man dazu uuids benutzen die eine zufaellige reihenfolge von buchstaben und zahlen nutzen die sich nicht erraten lassen, wie z.b. bei youtube: watch?v=f1kWREjS_rU Kann man zwar theoretisch auch durchprobieren, dauert aber extrem lang bis man damit den naechsten treffer findet.
Ein rechtlicher Hinweis, falls es jemand noch nicht weiß. Solche Sachen sind sehr schnell strafbar nach §202 a-d StGB (“Hackerparagrafen”).
Außerdem ist es eine Verarbeitung von personenbezogenen Daten, auch wenn man nur kurz schaut, ob man Zugriff hat. Man muss also auch die DSGVO einhalten.
(Hier ist anscheinend alles korrekt gelaufen.)
- Von den 202 a-d trifft in diesem konkreten Fall für meine Begriffe wenn dann nur a zu, davon Abs. 1:
  Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
  Von "gegen unberechtigten Zugang besonders gesichtert" kann man aber hier ja wohl nicht sprechen...
  (Ich bin kein Jurist. Ich will auch keine Lanze für die Hackerparagraphen brechen, die gehören sehr dringend reformiert)
  
  Ich würde auch sagen, dass diese Daten nicht besonders gesichert waren. Aber man muss aufpassen. So eine Sicherung muss nicht sicher sein. Der original 202 verbietet das Öffnen fremder Briefe, was jedes Kind kann. Mehr als etwa so ein Sicherheitsniveau ist nicht verlangt.
  Hier würde ich keine besondere Sicherung erkennen. Die Daten, die für ihn bestimmt sind, sind nicht gesondert abgelegt, und auch nicht anders gesichert, als die, die für andere sind. Von einer besonderen Sicherung kann also nicht die Rede sein. Aber ich kann nicht einschätzen, wie ein Richter (potenziell technikfern) das sehen würde.
  Was die DSGVO angeht, kann man sich auf "berechtigtes Interesse" berufen. Das Aufdecken von so einer Sicherheitslücke fällt sicher darunter. Allerdings hat er auch noch Daten abgerufen, um einzuschätzen, um wie viele Fälle es geht. Das ist weniger eindeutig. Von dem Framing, das das zuerst wie eine Racheaktion wirken lässt, würde ich abraten.
  
  Ich wäre da auch vorsichtig, zumal die Hürde für "besonders gesichert" in einigen Fällen sehr zugunsten der Unternehmen interpretiert wurde, die die Lücken verbockt hatten (z.B. war dann schon die Veröffentlichung einer Binärdatei anstelle von Quellcode eine "besondere Sicherung", die man nicht hätte umgehen dürfen).
  Im jüngsten "Logbuch Netzpolitik" Podcast kam das Thema aber auch zur Sprache, da beim CCC offenbar gerade so viele Hochzähl-Lücken eingehen, dass sie mit dem Melden dort kaum hinterher kommen.
- Danke Merkel.

26 comments