Frankreich: Datenleck bei Hadopi

An diesem Wochenende wurde ein riesiges Datenleck bei dem Unternehmen Trident Media Guard (TMG) entdeckt. Seit letzten Samstag sind unter anderem tausende IP-Adressen auf einem Server der Firma frei zugänglich.

Im Kampf gegen Urheberrechtsverletzungen im Netz arbeitet die französische Kontrollbehörde Hadopi eng mit TMG zusammen. Die Behörde wurde Ende 2009 eingerichtet, um (mit einem Budget von 12 Millionen Euro in diesem Jahr) gegen illegale Downloads vorzugehen und Nutzern bei wiederholten Verstössen sogar den Internetzugang zu sperren. TMG ist in Frankreich als einzig autorisiertes Unternehmen dafür zuständig, im Auftrag der Rechteinhaber die P2P-Netzwerke zu überwachen und verdächtige IP-Adressen rauszufischen.

Der Blogger und IT-Sicherheitsexperte Olivier Laurelli aka Bluetouff hat am 13. Mai aufgedeckt, dass seit letzten Samstag die von TMG gespeicherten Daten ungeschützt auf einem Server liegen: die Überwachungstechnik, ein Passwort, unzählige IP-Adressen, Listen heruntergeladener Werke und überwachter Filme. Die komplette Liste gibt es hier im Pastebin, sie enthält interessanterweise auch Filme mit englischen Originaltiteln. TMG scheint aber auch vollkommen unnütze Informationen zu speichern, wie z.B. über Michael Jackson-Bildschirmschoner, die wohl durch verdächtige Titel automatisch in die ihre Listen gelangten. Bei den IP-Adressen handelt es sich in den meisten Fällen um ausländische (schwedische, italienische, amerikanische…) Adressen.

In einer heutigen Pressemitteilung erklärte TMG, dass die Daten nicht sonderlich geschützt wurden, da es sich um einen Testserver handelt, auf dem keinelei vertrauliche Informationen liegt. Laurelli bestätigt jedoch, dass er auf dem Server ausser den IP-Adressen und Hashs auch eine Kopie des Überwachungsprogramms von TMG gefunden hat.

Auch dem Online-Magazin Numerama wurden am Wochenende 5 342 Dateien vom TMG-Server zugespielt, unterzeichnet war die Nachricht mit Anonymous France. Das Magazin konnte in einem kurzen Versuch mittels einer IP-Adresse herausfinden, dass ein Abonnent des französischen Anbieters Orange in Marseille am 14. Mai 2011 um 8:43 Uhr den Animationsfilm Hop heruntergeladen hat.

Jedenfalls waren nicht einmal illegale Aktionen oder technisches Verständnis nötig, es reichte angeblich ein Brower und die IP-Adresse des Servers. Bluetouff bleibt daher skeptisch und spricht von einem „honeypot“ (Honigtopf). Hadopi hingegen nimmt die ganze Sache „sehr ernst“. Heute nachmittag erklärte der Hadopi-Generalsekretär Eric Walter via Twitter, dass die Verbindung zu TMG erst mal auf Eis gelegt wird:

Eine Pause der Three-Strikes-Regelung in Frankreich kommt aber laut Hadopi nicht in Frage, es sei denn die Datenschutzbehörde CNIL widerruft die Zulassung der TMG.

(Crossposting von vasistas?)

6 Ergänzungen

  1. Das Positionieren von Bildern und Text üben wir aber nochmal. ;)
    So unvertraulich finde ich die Daten jetzt nicht gerade und ein wenig Schadenfreude kann ich mir ja doch nicht verkneifen. :]

  2. *hihi*
    Und HADOPI übt das Setzen vom DocumentRoot auch noch.
    Wo doch jeder weiss, da gehört ein „/“ hin. ;-)

  3. Worüber ich immer wieder stolpere, weil ich es nie verstehen kann: Wie will man denn Nutzern den Internetzugang sperren?? Das geht doch letztlich gar nicht. Erst einmal ist es juristisch m. E. nicht durchhaltbar. Zweitens würde sich doch jeder, der sich ein bißchen auskennt (also mehr als ich), sofort wieder einen neuen Zugang besorgen, gerade in Zeiten des mobilen Netzes.

    Also warum läßt man diese moderne Inquisition gewähren und greift sie nicht auch in der Öffentlichkeit an und macht sie jeden Tag lächerlich? Was anderes haben solche selbsternannten Deppen doch gar nicht verdient.

    1. ja, stimmt. aber offenbar interessiert das niemanden in frankreich so richtig. das ganze gedöns ist doch wie ein messer durch die warme butter durch alle instanzen marschiert.

      aber da auch österreich jetzt mit sperren anfängt, dauerts wohl nicht mehr lange, bis wir chinesische verhältnisse haben und die CDSU-hardliner feuchte hosen haben.

  4. die Kopie des überwachungstools würde mich schon interessieren. :D

    alleine aus lernzwecken in der Programmierung.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.