Nach gemeldetem Datenleck: Softwareentwickler durch Privatdetektiv bedroht
Eigentlich hat der Softwareentwickler Daniel Ilin das Datenleck nur zufällig entdeckt und gleich gemeldet. Dass er einige Monate später ein Schreiben von einer Anwaltskanzlei und Privatdetektive vor der Haustüre haben würde, damit rechnete Ilin nicht im Entferntesten. Dabei wollte er nur die Betroffenen über das Datenleck informieren - doch dann passierten Dinge, die eher an einen schlechten Kriminalfilm erinnern.
Es ist der 22. März 2022: Ilin wird zu der Invite-only-Plattform Beatclub eingeladen, einem von dem US-Musiker Timbaland mitgegründeten Dienst, bei dem Musikproduzenten ihre Instrumentals oder Beats einreichen können. Sie werden anschließend von bekannten Sängern, vorwiegend im US-Raum, begutachtet und im besten Fall für Songs verwendet.
Der Einladung folgend wundert sich Ilin, dass der Abruf der Seite so lange dauert, und wechselt mit der F12-Taste in die Entwicklertools des Browsers, um sich die Netzwerkverbindungen anzeigen zu lassen. Dabei stellt er fest, dass der Server beim Abruf der Liste der Sänger, die aktuell nach Instrumentals suchen, versehentlich die persönlichen Daten aller Nutzer ausgibt, die den Sängern bereits Instrumentals zugeschickt haben.
Die Daten, die er gar nicht rief
Neben den Downloadlinks zu den Instrumentals wird der Künstlername, der volle Name, die E-Mail-Adresse und Telefonnummer sowie das gehashte Passwort der betroffenen Nutzer übertragen. Dazu kommen alle möglichen anderen Informationen, die die Datenbank so hergibt: Links zu Social Media wie Instagram oder Apple Music, der VIP-Status des Mitglieds und so weiter.
Ilins Puls schnellt in die Höhe. Er hat nebenbei eine schwerwiegende Sicherheitslücke entdeckt und die persönlichen Daten von 148 Personen auf dem Bildschirm, darunter namhafte Produzenten und Manager aus der Musikindustrie wie zum Beispiel der Beatclub-CEO Gary Marella. Auf die Daten können auch alle anderen eingeloggten Beatclub-Nutzer zugreifen, über die offen zugängliche API sogar jeder Internetnutzer.
Schnelle Antwort, schneller Fix
Ilin informiert Beatclub per E-Mail über das Datenleck und rät dem Anbieter, die Kunden zu informieren und zu einem Passwortwechsel aufzufordern. Keine 30 Minuten später erhält der 21-Jährige eine Antwort: Beatclub bedankt sich und will sich umgehend um das Problem kümmern.
"Zehn Stunden nach meiner Meldung wurden zumindest die Passwörter nicht mehr über die API ausgegeben," erklärt Ilin Golem.de. Zudem verlangt die API nun einen Authorization-Header - die persönlichen Daten können also nur noch von angemeldeten Nutzern abgerufen werden. Zwei Tage später sei die Lücke komplett behoben gewesen, meint Ilin.
Dann wird es erst einmal ruhig um das Datenleck. Ilin, der auch selbst betroffen ist, wartet auf eine Nachricht von Beatclub, die ihn und die anderen Betroffenen informiert - so wie es die Datenschutzgrundverordnung (DSGVO) eigentlich vorsieht. Immerhin richtet sich der Dienst auch an europäische Nutzer und hat eine entsprechende Datenschutzerklärung. Doch es passiert nichts.
Endlich die Betroffenen informieren
Fast zwei Monate nach der Meldung des Datenlecks hakt Ilin bei Beatclub nach und weist erneut darauf hin, dass die Betroffenen seiner Meinung nach informiert werden müssten. Kurze Zeit später beschließt er, die Nutzer selbst zu informieren, und schickt individuelle E-Mails an alle Betroffenen, die einen Hinweis auf das Datenleck und die Daten der jeweiligen Person als Beweis enthält. Auch der CEO von Beatclub gehört zu den Betroffenen und erhält dementsprechend eine Nachricht.
Der weiß jedoch offensichtlich nichts von einem Datenleck, wirft Ilin die "Verbreitung von Falschinformationen" vor und droht, dass "Beatclubs Anwälte sich mit dir in Verbindung setzen werden."
Ilin wendet sich an seinen vorherigen Beatclub-Kontakt und bittet ihn, mit dem CEO zu sprechen. Doch dieser legt schon wenige Minuten später mit einer kurzen E-Mail nach: "Du bist in Berlin, richtig? Ich weiß wo du bist." Das stimmt zwar nicht, denn Ilin wohnt in der Pfalz, mit der Mail soll aber ganz offensichtlich gedroht werden.
Ilin versucht, den CEO zu beruhigen, und erklärt ihm, dass er das Datenleck bereits am 23. März gemeldet habe. "Wenn ich böse Absichten hätte, hätte ich das Datenleck wohl kaum gemeldet," schreibt Ilin und bietet an, zu telefonieren.
Doch darauf geht der Beatclub-CEO nicht weiter ein, dafür klingelt es vier Tage später an Ilins Tür.
Wenn der Privatdetektiv zweimal klingelt
Es ist der 18. Mai, knapp zwei Monate nach der Meldung des Datenlecks. Gegen 8:30 Uhr klingelt eine fremde Person an Ilins Tür. Vor dem verschlafenen Softwareentwickler, der manchmal bis tief in die Nacht arbeitet, steht ein älterer Herr. Er erklärt, er sei im Auftrag von Beatclub hier und wolle über die "Straftat" sprechen. Ilin antwortet, dass er ohne seinen Anwalt nichts sagen werde, und schließt die Tür.
Am nächsten Morgen klingelt wieder eine unbekannte Person an Ilins Tür - diesmal öffnet er jedoch nicht. Kurze Zeit später erhält er einen Anruf von einer ihm nicht bekannten Handynummer. Er geht nicht ran, sucht aber anschließend nach der Nummer im Internet und bekommt von Google einen Infokasten zu einer Privatdetektei mit mehreren Sitzen in Deutschland eingeblendet.
Auf der Webseite werden je nach Region unterschiedliche Kontakte genannt. Das Foto des Kontaktes in seiner Region erinnere ihn an den Mann vor seiner Türe, sagt Ilin. "Ab diesem Moment wusste ich, dass ich es mit Privatdetektiven zu tun habe," sagt der 21-Jährige.
Spätestens als er am Nachmittag einen merkwürdigen Brief ohne Anschrift und Briefmarke in seinem Briefkasten findet, fühlt er sich bedroht. Der Brief ist mit "Simon P." unterzeichnet, seinen Angaben nach Geschäftsführer einer britischen Privatdetektei mit dem Namen Shadow Investigations Services. Das Unternehmen bearbeitet laut seiner Webseite über weitreichende Kontakte zu anderen Detekteien auch internationale Fälle. Vielleicht entstand so der Kontakt zu dem älteren Herrn, der bei Ilin im Namen von Beatclub geklingelt hatte.
Drohbrief vom Privatdetektiv
Auch in dem Schreiben, das auf Englisch und darunter in schlechtem Deutsch verfasst ist, wird der Auftraggeber Beatclub fett hervorgehoben. "Wir möchten klarstellen, dass Beatclub Ihnen sagen möchte, dass wir keine rechtlichen Schritte gegen Sie einleiten wollen, sondern nur das Hacken stoppen wollen," heißt es in dem Schreiben. "Tatsächlich ist Beatclub bereit, in irgendeiner Weise mit Ihnen zusammenzuarbeiten."
Er müsse wissen, dass dies nicht einfach aufhören werde, droht der Detektiv in dem Schreiben. Beatclub sei eine große Firma.
Ilin antwortet der Privatdetektei an ihre @aol.com-E-Mailadresse und deren Auftraggeber Beatclub. "Ich möchte betonen, dass kein 'Hacking' notwendig war, um auf die Daten zuzugreifen," schreibt Ilin. Er habe nur F12 drücken müssen, um sie zu sehen. Das habe auch jeder andere Beatclub-Nutzer tun können.
Auf Nachfrage von Golem.de begründet Beatclub das Vorgehen weiterhin mit dem angeblichen Ausnutzen einer Schwachstelle: "Eine Person, die eine Schwachstelle im Computersystem eines Unternehmens entdeckt, darf die Schwachstelle nicht nutzen, um Daten aus dem Unternehmen für ihre eigenen Zwecke herunterzuladen," erklärt der Plattformbetreiber.
"Beatclub hat einen Ermittler zum Haus der Person geschickt und [wollte] sich schriftlich versichern lassen, dass die Person die Daten gelöscht hat und sie nicht missbrauchen würde," schreibt uns das Unternehmen. Auf die Drohungen und Einschüchterungen wird nicht eingegangen, vielmehr wird Ilin die Verweigerung einer Zusammenarbeit vorgeworfen. Dabei hatte dieser eine solche bereits vor dem Einsatz des Privatdetektives angeboten.
Post von Beatclubs Anwalt
Knapp zwei Wochen, nachdem Privatdetektive vor Ilins Tür standen, erhält er eine E-Mail von Beatclubs Anwalt. Ilin möge sein Verhalten als altruistisch wahrnehmen, doch mit dem "Missbrauch" von Beatclubs Kundendaten [Anm.: um diese über das Datenleck zu informieren] habe er eine Linie überschritten und sei zu einem "Threat Actor" geworden. Eine Bezeichnung, die beispielsweise für Schadsoftwaregruppen wie Emotet oder Conti verwendet wird.
Danach gibt sich der Anwalt versöhnlich: Man wolle die Sache aber nicht weiter eskalieren und den Fall gerne abschließen. Ilin soll eine Erklärung unterschreiben, dass er die Kundendaten nicht weitergegeben habe, sie sicher gelöscht habe und sie auch in Zukunft nicht missbräuchlich nutzen werde. Ilin nimmt sich einen Anwalt.
Nicht ohne meinen Anwalt
Ilins Anwalt verlangt von Beatclub, dass weitere falsche Anschuldigungen, Drohungen oder Stalking seitens Beatclub unterlassen werden. Zudem hätte das Unternehmen das Datenleck nach Artikel 33 der DSGVO innerhalb von 72 Stunden an eine zuständige Behörde melden und die Betroffenen hätten informiert werden müssen. In Kalifornien, dem Sitz von Beatclub, bestünden zudem ähnliche Regelungen, denen Beatclub nicht Folge geleistet habe, so der Anwalt.
Ilin habe entgegen der Anschuldigungen nicht rechtswidrig gehandelt, schreibt er weiter. Er habe schließlich nur aus einem Zufall heraus ein Datenleck entdeckt und dieses umgehend gemeldet. Etwaige Daten, die Ilin dadurch erhalten habe, seien gelöscht worden. Selbstverständlich habe Ilin die Daten nicht veröffentlicht oder verkauft.
In einer Stellungnahme an Golem.de erklärt Beatclub hingegen, dass das Unternehmen 24 Betroffene aus der Europäischen Union sowie Großbritannien identfiziert habe und diese "in Übereinstimmung mit der Datenschutzgrundverordnung" über das Datenleck informiert habe. Zudem habe man sie aufgefordert, ihr Passwort zu ändern. Allerdings gehört Ilin selbst zu den Betroffenen aus der EU und hat nie eine Benachrichtigung erhalten.
Solche drastischen Fälle sind selten
Nun hofft Ilin, dass zukünftig keine Privatdetektive mehr vor seiner Tür stehen und er keine weiteren Droh-E-Mails von Beatclub erhält. In Zukunft werde er Sicherheitslücken nicht mehr mit seinem echten Namen melden, sondern über eine Behörde wie das CERT beim BSI oder über die Presse , meint Ilin. Dann gebe es vielleicht keinen Dank, aber immerhin auch kein Stalking und keine Privatdetektive.
Allein ist er mit seinen Erfahrungen jedenfalls nicht. Im vergangenen Jahr zeigte die CDU die Sicherheitsforscherin Lilith Wittmann an, nachdem sie eine Sicherheitslücke in einer App der Partei gemeldet hatte.
Ebenfalls im vergangenen Jahr deckte der Programmierer Hendrik Heinle ein Datenleck bei der Firma Modern Solution auf, die ihn daraufhin kurzerhand anzeigte . Anschließend wurden seine Firma durchsucht und seine Arbeitsgeräte beschlagnahmt. Statt eines Dankeschöns oder einer Entschuldigung trat die Firma später sogar noch mit einem Blogeintrag nach .
"Wichtig ist, dass es sich hierbei um absolute Einzelfälle handelt. Der Großteil der Unternehmen geht zwar nicht gerade verantwortungsbewusst mit Kundendaten und Schwachstellen um, vermeidet es aber immerhin, jene zu verfolgen, die sie ihnen melden," betont Linus Neumann, Sprecher des Chaos Computer Club (CCC). Nur sehr wenige Unternehmen gingen so plump und unklug vor wie in diesem Beispiel.
Der Effekt solcher seltener Aktionen sei aber enorm, sagt Neumann Golem.de. "Immer mehr Menschen melden sich bei uns, weil sie Angst haben, Schwachstellen zu melden. Während wir früher in wenigen Fällen pro Jahr geholfen haben, sind es nun teils mehrere pro Woche," sagt Neumann. Inzwischen übersteige dies das ehrenamtliche Engagement.