2 Punkte von GN⁺ 2023-08-29 | 1 Kommentare | Auf WhatsApp teilen
  • Studierende, die die auf dem Stanford-Campus beliebte anonyme Social-App Fizz in guter Absicht überprüften, entdeckten vollständigen Lese-/Schreibzugriff auf die Datenbank sowie nicht anonymisierte Nutzer- und Beitragsinformationen
  • Die Forschenden schickten einen Vulnerability-Disclosure-Bericht und Vorschläge zur Behebung und stimmten auch einer Veröffentlichungsfrist zu, damit Fizz Zeit zum Beheben hatte, doch danach schlug die Reaktion in rechtliche Drohungen um
  • Fizz forderte, die Entdeckungen nicht offenzulegen, und verwies auf Verstöße gegen Bundesstaats- und Bundesrecht, zivil- und strafrechtliche Haftung sowie die Möglichkeit von 20 Jahren Gefängnis
  • Die Forschenden erhielten kostenlose rechtliche Vertretung von Kurt Opsahl und Andrew Crocker von der Electronic Frontier Foundation und gaben dem Schweigeverlangen nicht nach
  • Selbst bei gutgläubiger Sicherheitsforschung ist es sicherer, Ziel, Umfang und Handlungsprotokolle festzuhalten, das Speichern oder Abfließen von Daten sowie die Manipulation von Accounts zu vermeiden und auf rechtliche Drohungen nicht allein zu reagieren

Sicherheitsprobleme, die in Fizz gefunden wurden

  • Die anonyme Social-Media-App des Stanford-Studenten-Startups Fizz gewann auf dem Campus an Popularität, und die App warb mit Formulierungen, die nahe an „100% secure“ lagen
  • Da es ein Ort war, an dem Nutzer sensible Geschichten veröffentlichten, wollten Studierende mit Interesse an Sicherheit prüfen, ob diese Informationen tatsächlich sicher waren
  • Innerhalb weniger Stunden war vollständiger Lese-/Schreibzugriff auf die Fizz-Datenbank möglich
    • In der Datenbank waren Nutzer- und Beitragsinformationen gespeichert
    • Diese Informationen waren nicht vollständig anonymisiert
  • Die Forschenden kamen zu dem Schluss, dass es bei Fizz kaum Sicherheitsvorkehrungen gab

Von verantwortungsvoller Offenlegung zu rechtlichen Drohungen

  • Die Forschenden fassten ihre Entdeckungen in einem Vulnerability-Disclosure-Bericht zusammen und schickten ihn per E-Mail an Fizz
  • Der Bericht enthielt die gefundenen Probleme und Vorschläge zur Behebung, und sie stimmten vorab zu, bis zu einem bestimmten Veröffentlichungsaufschub nicht öffentlich darüber zu sprechen, damit Fizz Zeit für Korrekturen hatte
  • Fizz bedankte sich zunächst für den Bericht und antwortete, dass die Behebung der Probleme oberste Priorität habe, und schickte über mehrere Wochen einige Updates
  • Danach änderte sich der Ton, und das Unternehmen schickte den Forschenden Drohungen, in denen Verstöße gegen Bundesstaats- und Bundesrecht sowie zivil- und strafrechtliche Haftung erwähnt wurden
    • Zu den Drohungen gehörte sogar die Möglichkeit von 20 Jahren Gefängnis
    • Im Kern ging es um die Forderung, die Entdeckungen nicht offenzulegen
    • Die Struktur war: Wenn sie dem Schweigen zustimmten, werde man keine rechtlichen Schritte einleiten; die Frist für eine Antwort betrug 5 Tage
  • Die Forschenden verstanden dies als Versuch, ihnen Angst zu machen und sie zum Schweigen zu bringen

Rechtliche Unterstützung durch die EFF und die Lösung

  • Die Forschenden baten ihr Netzwerk um Hilfe und wurden innerhalb weniger Tage mit Kurt Opsahl und Andrew Crocker von der Electronic Frontier Foundation in Kontakt gebracht
  • Die beiden erklärten sich bereit, die Forschenden kostenlos zu vertreten, und diese erläuterten den Anwälten den Offenlegungsprozess und die zugehörigen Dokumente
  • Nach rechtlicher Beratung beschlossen die Forschenden, den Drohungen von Fizz nicht nachzugeben
  • Kurt und Andrew verfassten eine Antwort an Fizz, und anschließend bat das Fizz-Team um ein Treffen
  • Beide Seiten lösten die Situation einvernehmlich, und die Forschenden setzten Fizz unter Druck, das Problem proaktiv gegenüber den Nutzern offenzulegen
  • Fizz informierte seine Nutzer schließlich über das Problem

Grundsätze, die Sicherheitsforschende beachten sollten

  • Die Forschung sollte legitim und dokumentiert bleiben
    • Vor der Forschung sollte das Ziel klar sein, und es sollte geprüft werden, ob keine ethischen Grenzen überschritten werden
    • Die Forschenden speicherten keine zugänglichen Daten und ließen keine Daten abfließen
    • Sie manipulierten keine Accounts anderer Personen und verursachten keinen Schaden
    • Alle Arbeiten wurden detailliert dokumentiert, was bei der Erstellung des Vulnerability-Disclosure-Berichts und bei der rechtlichen Reaktion half
  • Besonnenes Handeln ist notwendig
    • Auch bei rechtlichen Drohungen sollte professionell reagiert werden
    • Das Ziel ist, die Situation zu lösen, ohne das Problem zu verschärfen
    • Emotionale E-Mail-Antworten können die Chance auf eine einvernehmliche Lösung beeinträchtigen
  • Man sollte einen Anwalt einschalten

    • Zu versuchen, rechtliche Drohungen allein zu bewältigen, kann ein großer Fehler sein
    • Es wird davon ausgegangen, dass Fizz erwartete, die Forschenden würden aus Naivität den Drohungen nachgeben
    • Nicht jeder kann kostenlose Vertretung durch die EFF erhalten, aber es gibt immer mehr Ressourcen für gutgläubige Sicherheitsforschende, die genutzt werden sollten

1 Kommentare

 
GN⁺ 2023-08-29
Hacker-News-Kommentare
  • Ich bin kein Anwalt, habe aber beruflich Interesse an diesem merkwürdigen Rechtsbereich, und es sieht so aus, als hätte sich der EFF-Stabsanwalt hier ein wenig zu weit aus dem Fenster gelehnt.
    Fizz ist eine Client/Server-Anwendung, vermutlich eine Webapp, und was die Forscher getestet haben, war Software, die auf dem Fizz-Server lief.
    Nachdem sie die Schwachstelle gefunden hatten, nutzten die Forscher die erlangte Datenbankaktivität, um ein Administratorkonto anzulegen, und sie hatten nie eine Erlaubnis für diesen Test erhalten.
    Wenn diese Sachlage stimmt, dann haben sie meines Erachtens, sofern es kein mir unbekanntes kalifornisches Gesetz gibt – und selbst dann wäre das wegen des Vorrangs von Bundesrecht wohl bedeutungslos –, entgegen der Darstellung in der EFF-Antwort ziemlich direkt gegen den CFAA verstoßen.
    Allerdings gibt es mindestens drei Faktoren, die das rechtliche Risiko verringern: Aus der Offenlegung und dem anschließenden Verhalten geht klar hervor, dass es sich um gutgläubige Sicherheitsforschung handelte, was sie als Ziel einer Strafverfolgung unattraktiv macht; es ist unklar, ob überhaupt ein nennenswerter Schaden entstanden ist; und Fizz ist klein und jung, sodass es unwahrscheinlich erscheint, dass die Sache bis zu einem Forensik-Dienstleister oder einer Abrechnung mit der Versicherung ging.
    Außerdem verstieß es, wie die EFF hervorhob, gegen die Regeln der staatlichen Anwaltskammer, dass die Anwälte von Fizz den Forschern mit Strafverfolgung drohten, um wertvolle Zugeständnisse zu erzwingen.
    Hier scheint die gute Seite gewonnen zu haben, aber ich wäre vorsichtig, daraus zu viele allgemeine Lehren abzuleiten. Wäre es nicht Fizz gewesen, sondern die Social-Funktion von Dunder Mifflin Infinity, hätte das Ergebnis deutlich hässlicher ausfallen können.

    • Wie ein Freund anmerkte, war der Ast, auf dem die EFF stand, ziemlich stabil. Denn das DOJ hat eine Grundsatzerklärung veröffentlicht, wonach gutgläubige Sicherheitsforschung nicht strafrechtlich verfolgt werden soll.
      https://www.justice.gov/opa/pr/department-justice-announces-...
    • Wenn es so funktioniert, dass sich durch „unautorisierte Sicherheitsforschung“ leicht fünf- bis sechsstellige Schadenssummen anhäufen können, dann sieht das nach einem Problem des bestehenden Rechts aus.
      Die Höhe des „Schadens“ liegt in den Händen des Geschädigten, und das gibt großen Bürokratien einen verzerrten Anreiz, Ressourcen, die für sie geringfügig, absolut gesehen aber beträchtlich sind, nach Belieben einzusetzen und zu verschwenden, um einem unvollkommenen Akteur, der sie in Verlegenheit gebracht hat, eine harte Strafe anzudrohen.
      Selbst wenn eine solche Maßnahme im berechtigten Rahmen liegt, ist es unangemessen, die Kosten auf die Person abzuwälzen, die auf ihre Notwendigkeit hingewiesen hat. Wenn man einen öffentlichen Dienst mit einer gravierenden Schwachstelle betrieben hat, sollte man unabhängig davon, ob diese Person unangemessen gehandelt hat, bewerten, ob jemand anderes sie hätte ausnutzen können.
      Ursache dieser Kosten ist das eigene Handeln, einen verwundbaren Dienst zu betreiben; es sind Kosten, die man nach Inbetriebnahme auch dann hätte tragen müssen, wenn man die Schwachstelle selbst entdeckt hätte.
      Dem Beklagten zurechenbare Schäden sollten auf tatsächlich verursachte Schäden beschränkt sein, etwa wenn jemand Zugriffsrechte nutzt, um Finanzinformationen von Kunden zu erlangen und Kreditkartenbetrug zu begehen.
    • Ich denke, der „Ast“, auf dem der EFF-Anwalt stand, wäre letztlich der Streitpunkt vor Gericht gewesen.
      Wenn die App so schlecht konfiguriert ist, dass man allein durch Befolgen des Firebase-Protokolls Schreibrechte auf die Datenbank erhält, kann man leicht argumentieren, dass keine Sicherheitsmaßnahme tatsächlich umgangen wurde. Es gab nämlich gar keine Sicherheitsmaßnahme, die man hätte umgehen können.
      Das erinnert an den Fall, in dem AT&T die Daten von iPad-Datenabonnenten einfach auf einer nicht gelisteten Webseite abgelegt hatte. Ich erinnere mich nicht an den Ausgang, aber meines Wissens versuchte die betroffene Person damals, möglichst viele Daten zu scrapen, an die sie gelangen konnte; das unterscheidet sich von diesem Fall.
    • Gute Analyse. Ich verstehe wirklich nicht, wie in den 2020ern irgendjemand unaufgeforderte Penetrationstests für vernünftig und willkommen halten kann.
      Im Original scheint es kein „mea culpa“ zu geben; auch wenn der Text einen memigen Ton à la „Könnt ihr glauben, was diese Leute vorhatten?“ hat, hoffe ich, dass die Lektion gelernt wurde.
      Die Absichten sehen gut aus, aber sie scheinen ziemlich eindeutig gegen das Gesetz verstoßen zu haben.
    • Ein wichtiger Hinweis ist, dass es technisch gesehen zwar ein CFAA-Verstoß sein könnte, das DOJ aber mit sehr hoher Wahrscheinlichkeit nicht tatsächlich Anklage erheben würde.
      Im vergangenen Jahr hat das DOJ seine Richtlinien zur Anklageerhebung nach dem CFAA aktualisiert, damit Personen, die „gutgläubige Sicherheitsforschung“ betreiben, nicht strafrechtlich verfolgt werden [1].
      Der CFAA ist berüchtigt weit gefasst, daher bleibt die DOJ-Richtlinie weit hinter einer Gesetzesänderung zurück, die die Legalität von Sicherheitsforschung klarer regeln würde.
      Unter einer neuen Regierung könnte sich die Richtlinie ändern, sodass weiterhin ein Risiko besteht, aber es ist weniger riskant als vor der Formalisierung.
      [1] https://www.justice.gov/opa/pr/department-justice-announces-...
  • In Verträgen oder besonders einschüchternder juristischer Kommunikation ist schwer zu verstehen, warum die verfassende Seite kaum Konsequenzen tragen muss, wenn sie den Inhalt nicht korrekt formuliert
    Ich habe in Arbeitsverträgen Formulierungen gesehen wie: „Sollte ein Teil dieses Vertrags unwirksam sein, bleibt der Rest davon unberührt.“ Der Arbeitgeber will seine Regeln durchsetzen, und das ist an sich nachvollziehbar, aber es gibt keinen Nachteil dafür, auch unzulässige Inhalte hineinzuschreiben. Im schlimmsten Fall erklärt ein Gericht diese Klausel einfach für unwirksam
    Die Last liegt beim Leser, und der Leser ist normalerweise die deutlich schwächere Seite
    Warum kann ein Unternehmen hier also Drohbriefe verschicken wie: „Dafür kannst du 20 Jahre in ein Bundesgefängnis kommen!“? Obwohl das offensichtlich falsch ist
    Sollte die Last, für vernünftige Inhalte zu sorgen, nicht beim Verfasser liegen? Wenn etwas absurd und nachweislich falsch ist, sollte es dann nicht stärkere negative Folgen geben als nur „ach, vergessen wir’s“?

    • Das Konzept „auch wenn ein Teil des Vertrags unwirksam ist, bleibt der Rest bestehen“ nennt sich Salvatorische Klausel; es findet sich in fast allen Verträgen und ist normalerweise auf Bestimmungen beschränkt, die für das Wesen des Vertrags nicht grundlegend sind
      Was grundlegend ist, legt, wie gesagt, ein Gericht aus
      Im Beispiel eines Arbeitsvertrags schützt die Salvatorische Klausel gerade auch dich als Einzelperson. Denn selbst wenn einzelne Klauseln unwirksam werden, bleibt der Rest der Vereinbarung, einschließlich der Klauseln, die dich schützen, weiter wirksam
      Wenn der gesamte Vertrag unwirksam würde, müsste man wieder bei null anfangen, und wahrscheinlich könntest du sogar deinen Job verlieren. Ein wenig Schutz ist besser als gar keiner
    • Salvatorische Klausel bedeutet, dass man Teile eines Vertrags herauslösen kann und der Rest bestehen bleibt, solange sich dadurch die Vertragsbedingungen nicht grundlegend ändern. Das Konzept stammt aus dem Verfassungsrecht und sollte verhindern, dass Präzedenzfälle bei jedem neuen Fall vollständig umgestoßen werden
      Es verhindert, dass sich eine der beiden Seiten wegen kleiner technischer Gründe vollständig aus rechtlichen Pflichten herausziehen kann oder absichtlich Giftpillen-Klauseln einbaut, die einer rechtlichen Prüfung nicht standhalten
      Wenn ein Teil eines Vertrags unwirksam ist, kann dieser Teil nicht genutzt werden. Wenn die Unwirksamkeit dieses Teils den Vertrag grundlegend verändert, wird der gesamte Vertrag unwirksam. Ich weiß nicht, was man darüber hinaus noch wollen würde
      Es klingt, als ginge es um eine strafende Reaktion auf schlecht formulierte Verträge, und das scheint mir eine ziemlich schlechte Idee zu sein, weil es alle rechtlichen und geschäftlichen Beziehungen abschrecken könnte
      Die schwächere Seite, die schlechteren Zugang zu starken juristischen Autoren hat, würde möglicherweise stärker getroffen. Wenn schon das Verhandeln über Vertragsformulierungen für Verhandler zu einem Haftungsminenfeld wird, würde die Haftungslast für kleine Akteure gegenüber ganzen Rechtsabteilungen dann nicht noch unverhältnismäßiger?
      Ich sehe nicht recht, wie die Welt, die du dir vorstellst, für schwächere Parteien nicht größere Risiken schaffen würde als die heutige
    • Es gibt sicher überzogene Fälle, aber es ist schwierig, eine klare Grenze zu ziehen
      Im gutgläubigen Kontext ändern sich Gesetze und Rechtsprechung schnell, manchmal hängen sie von den Launen eines Richters ab, und es gibt viele Rechtsbereiche ohne klare Präzedenzfälle oder nur mit schwammigen Leitlinien
      In solchen Fällen ist Salvatorische Klausel wichtig, damit nicht der gesamte Vertrag neu verhandelt werden muss, nur weil eine kleine Klausel vor Gericht nicht standhält
      Nimm zum Beispiel einen Arbeitsvertrag mit Wettbewerbsverbot: Ein Unternehmen kann in allen Regionen denselben Vertrag verwenden, und in Bundesstaaten, in denen Wettbewerbsverbote illegal sind, muss es dank der Salvatorischen Klausel nicht für jede Gerichtsbarkeit einen eigenen Vertrag erstellen
      Wenn ein Bundesstaat Wettbewerbsverbote früher erlaubt hat und dann ein Verbot erlässt: Sollten dann plötzlich alle Arbeitsverträge mit Wettbewerbsverbotsklauseln unwirksam werden? Natürlich nicht. Genau dafür ist die Salvatorische Klausel da
      Auch bei der Drohung im Original ist der Kontext schwer zu beurteilen, aber es könnte eine Formulierung gewesen sein wie: „Unbefugter Zugriff auf unser Computernetzwerk ist nach Gesetz XYZ ein Bundesverbrechen und kann mit bis zu 20 Jahren Freiheitsstrafe geahndet werden“
      Für normale Menschen klingt das extrem beängstigend, aber es ist streng genommen nicht falsch; die meisten Anwälte würden zwar mit den Augen rollen und es für Unsinn halten, doch wenn man genug Einschränkungen und Qualifizierungen hinzufügt, ist schwer zu sagen, wo die Grenze verläuft
      Letztlich werden solche Dokumente von Anwälten in Juristensprache verfasst, die nicht für normale Menschen gedacht ist. Studierenden solche Drohungen zu schicken war miserabel, und der Anwalt, der diesen Brief im Namen des Unternehmens verfasst und verschickt hat, hat dem Unternehmen extrem schlechten Rat gegeben
      Man könnte sich bei der Anwaltskammer beschweren, aber ich glaube, es wäre sehr schwierig, daraus in so einer Situation einen überzeugenden Fall zu machen
      Das ist einer der Gründe, warum Tarifverhandlungen wichtig sind. Eine Gewerkschaft kann sich Rechtsbeistand leisten, der es mit Unternehmensanwälten aufnimmt; ein einzelner Arbeitnehmer kann das nur schwer
    • Es ist eine Frage des Gleichgewichts: Einerseits soll man Menschen ermutigen, ihre Rechte geltend zu machen, andererseits will man aussichtslose Klagen eindämmen
      Das US-System folgt dem Prinzip „jede Seite trägt ihre eigenen Anwaltskosten“, was es Geschädigten leichter macht, Klage einzureichen
      In Großbritannien gilt dagegen im Allgemeinen: „Der Verlierer trägt die Anwaltskosten beider Seiten“, wodurch viele Kläger vor einer Klage zurückschrecken, selbst wenn ihnen erheblicher Schaden entstanden ist
    • Es kann durchaus Folgen geben, aber man muss nachweisen, dass ein Schaden entstanden ist
      Welchen Schaden hast du durch eine solche Drohung erlitten, und wie hoch wäre eine angemessene Entschädigung? Was kostet es, einen Anwalt zu beauftragen und zu klagen, um diese Entschädigung zu bekommen, und wie hoch sind die Erfolgsaussichten?
      Die Seite, die den Drohbrief verschickt, wird sich dieselbe Art von Fragen gestellt haben
      Wenn es sich unfair anfühlt, weil die Gegenseite über mehr Ressourcen verfügt, dann ist das ein allgemeineres gesellschaftliches Problem. Wer viel Geld hat, bekommt leichter Zugang zu jeder Form von Gerechtigkeit
  • Dieser Beitrag scheint zu zeigen, dass sich der Umgang mit Vulnerability Disclosure heute insgesamt zum Positiven verändert hat.
    In den 90ern waren alle Unternehmen so. Sie drohten mit Klagen, und schon die Veröffentlichung selbst wirkte rechtlich fragwürdig. In Foren oder BBS wurde diskutiert, ob eine Veröffentlichung überhaupt sicher sei, und es wurden Vorschläge wie anonyme E-Mail-Konten gemacht.
    Natürlich gibt es Reste davon auch heute noch. Besonders bei altmodischen Unternehmen oder, wie hier, bei naiven Studierenden; insgesamt hat sich die Lage aber dramatisch zugunsten von Disclosure verschoben.
    Es gibt spezialisierte Vermittler, die die Identität von Sicherheitsforschern schützen, große Unternehmen, die Disclosure fördern und loben, sechsstellige Bug Bounties und sogar Gesetze, die Sicherheitsforschern gegenüber freundlicher geworden sind.
    Für den Autor dürfte das ziemlich unangenehm gewesen sein, aber es ist ein guter Reminder, dass solche Situationen früher Standard oder noch schlimmer waren und heute in gewissem Maß seltener geworden sind.

    • Das Problem ist, dass diese Art von Hacking ohne Erlaubnis weiterhin eindeutig illegal ist.
      Weil viele Unternehmen Bug Bounties akzeptieren und solche Aktivitäten gegen sich selbst fördern, wird „Kindern“ leider gewissermaßen beigebracht, dass so etwas völlig legal, moralisch und ethisch sei.
      Wie diese Geschichte zeigt, würfelt man in Wirklichkeit aber, und diesmal ist es nur gut ausgegangen.
      Wenn man nicht über ein ausdrücklich definiertes Bug-Bounty-Programm die Kooperation des Ziels hat, können anonyme E-Mails und ähnliche Wege immer noch die bessere Idee sein. Nur hilft das Sicherheitsforschern nicht dabei, „sich einen Namen zu machen“.
      Im Grunde gesteht man damit auch ein unbefugtes Eindringen ein. Bildlich gesprochen ist es dasselbe, selbst wenn man nur durch eine unverschlossene Tür hineingeht, um zu prüfen, ob man in den Kühlschrank schauen kann.
      Vor dem Gericht der öffentlichen Meinung mag es so aussehen, als habe man geholfen, die Lügen eines Unternehmens aufzudecken; vor einem echten Gericht ändert das aber nichts daran, dass man einer Straftat schuldig ist.
    • Es könnte auch der Versuch der Studierenden gewesen sein, ihre künftige Karriere zu schützen. Nach dem Motto: „Wenn ihr das nicht stillschweigend unter den Teppich kehrt …“, besonders wenn das Problem schnell behoben wurde.
      In diesem Sinne unterscheidet es sich von typischer Vergeltung im Stil der 90er. Für die Studierenden dürfte das ziemlich beängstigend gewesen sein.
      Die Möglichkeit, dass wohlhabende Eltern eingegriffen haben, würde ich auch nicht ignorieren, auch wenn ich natürlich nichts über die Umstände oder die Beteiligten weiß.
    • Wege wie anonyme E-Mail-Konten sind in vielen westlichen Ländern weiterhin der richtige Weg.
  • Eine beeindruckende Geschichte. Der Artikel der Stanford Daily enthält Kopien der Briefe, die die Anwälte ausgetauscht haben, und die sind ziemlich heftig. Wenn die EFF nicht eingeschritten wäre, könnten wir sie nicht lesen.
    https://stanforddaily.com/2022/11/01/opinion-fizz-previously...

  • Laut dem Artikel der Stanford Daily „verwendete Fizz damals Googles Firestore-Datenbankprodukt, um Nutzerinformationen, Beiträge und anderes zu speichern … Fizz hatte die erforderlichen Sicherheitsregeln nicht eingerichtet, sodass jeder die Datenbank direkt abfragen konnte … Man hatte vollständigen Zugriff auf die Telefonnummern und/oder E-Mail-Adressen aller Nutzer, und Beiträge sowie Upvotes konnten direkt mit diesen Identifikationsdaten verknüpft werden … Darüber hinaus war die gesamte Datenbank bearbeitbar. Jeder konnte Beiträge, Karma-Werte, Moderatorstatus und mehr bearbeiten.“
    Das ist wirklich absurd.

    • Leider ist das bei Firebase-Apps ein sehr verbreitetes Problem.
      Weil der Client direkt in die Datenbank schreibt, vergisst man meistens die Berechtigungsprüfung und vertraut darauf, dass der Client nur in seine eigenen Objekte schreibt.
      Vor langer Zeit habe ich einmal einen Firebase-Nutzerwert auf isAdmin=true geändert und dadurch Admin-Zugriff bei einem E-Scooter-Unternehmen bekommen; danach habe ich versehentlich den Scooter, den ich gerade gemietet hatte, aus Firebase gelöscht. Was danach aus diesem Scooter wurde, weiß ich nicht.
    • Vor einigen Jahren habe ich entdeckt, dass HelloTalk, eine Brieffreund-App zum Sprachenlernen, die echten GPS-Koordinaten der Nutzer in einer SQLite-Datenbank speicherte, die man in iOS-Backups finden konnte.
      Die Karte in der App zeigte nur einen ungefähren Standort, und ab einer bestimmten Zoomstufe verschwanden die Pins.
      Wenn man die Requests mit mitmproxy umschrieb, konnte man auch Filter umgehen, die Minderjährige daran hindern sollten, nach Personen ab 18 zu suchen, oder Erwachsene daran, nach Minderjährigen zu suchen; außerdem ließen sich zahlungspflichtige Filter wie Standort oder Geschlecht umgehen. Der Bezahlstatus wurde serverseitig nicht geprüft.
    • Gibt es in diesem Zusammenhang Tools, um Firebase-/Firestore-Datenbanken zu auditieren oder zu erkunden? Also zum Beispiel zu prüfen, ob Collections oder Dokumente gelesen werden können.
      Ich stelle mir ein Web-Tool vor, in das man die App-ID und die API-Werte aus einer öffentlichen Frontend-App eingibt, das optional auch eine Session-ID unterstützt, um Firestore-Apps mit leichten Sicherheitsregeln abzudecken, die nur eingeloggten Nutzern etwas anzeigen, und das Collection-Namen entgegennimmt, die man im JavaScript-Code gefunden hat, um sie zu durchsuchen.
  • Interessanterweise versuchten Ashton Cofer und Teddy Solomon von Fizz, PR-Schadensbegrenzung zu betreiben, als ihr Fehlverhalten ans Licht kam https://stanforddaily.com/2022/11/01/opinion-fizz-previously...
    Ihre Antwort war schwach, und seitdem scheinen sie sich geweigert zu haben, diese Angelegenheit zu kommentieren.

    • Dem im Original verlinkten Artikel der Stanford Daily [0] zufolge hat Fizz außerdem seine Stellungnahme zu diesem Vorfall und den angeblichen Verbesserungen von der Website entfernt.
      Dort heißt es: „Fizz veröffentlichte am 7. Dezember 2021 eine Stellungnahme mit dem Titel ‘Security Improvements Regarding Fizz’, doch zum Zeitpunkt der Veröffentlichung dieses Artikels ist diese Seite weder auf der Fizz-Website noch über die Google-Suche mehr auffindbar.“
      Außerdem scheint es sehr wahrscheinlich, dass die App weiterhin personenbezogene Daten zu „anonymen“ Nutzeraktivitäten speichert.
      „Außerdem wissen wir immer noch nicht, ob unsere Daten intern anonymisiert sind. Die Gründer sagten The Daily letztes Jahr, dass Nutzer für Entwickler identifizierbar seien, und die Datenschutzerklärung von Fizz deutet weiterhin darauf hin, dass dies so ist.“
      Zu diesen „Entwicklern“ könnten eben jene Gründer gehören, die eine Stellungnahme zu diesem Problem verweigert, die entsprechende Kommunikation des Unternehmens entfernt und anfangs einen völlig undichten Eimer als „100% sichere Social-Media-App“ vermarktet hatten, bevor sie nach ihrer Enttarnung rechtliche Drohungen einsetzten.
      Ich verspüre keinerlei Wunsch, meine Informationen bei Fizz einzugeben.
  • Warum kann man mit rechtlichen Drohungen davonkommen, aber ins Gefängnis kommen, wenn man mit körperlicher Gewalt droht?

    • Dieses Gefühl ist etwas seltsam. Im Allgemeinen – auch wenn es hier wichtige Nuancen gibt, die ich nicht alle ausführen werde – darf man natürlich damit drohen, eine Klage einzureichen, was eine rechtmäßige Handlung ist; man darf aber nicht damit drohen, jemanden körperlich anzugreifen, was eine rechtswidrige Handlung ist.
    • Ich bin kein Anwalt, aber soweit ich weiß, kann schon die Drohung mit einer Strafverfolgung in manchen Rechtsordnungen und Situationen selbst Erpressung oder ein Missbrauch des Verfahrens sein.
    • Kein Anwalt, aber: 1) Gewaltandrohungen sind ausdrücklich strafbar. 2) Auf einer höheren Ebene sind Gewaltandrohungen deshalb strafbar, weil auch die zugrunde liegende Handlung, die Ausübung von Gewalt, strafbar ist.
      Die Drohung, eine rechtmäßige Handlung vorzunehmen, ist im Großen und Ganzen legal. Zum Beispiel ist es nicht illegal, damit zu drohen, jemanden bei den Behörden zu melden.
    • Damit zu drohen, etwas völlig Legales zu tun, ist völlig legal.
    • https://en.wikipedia.org/wiki/Monopoly_on_violence
  • „Am Ende der Drohung stand eine Forderung: dass sie niemals öffentlich über das sprechen sollten, was sie entdeckt hatten. Im Kern bedeutete das: Wenn sie dem Schweigen zustimmen, würde man keine rechtlichen Schritte verfolgen.“
    Kann eine solche Forderung rechtlich auch Gespräche mit der Staatsanwaltschaft oder der Polizei verhindern?
    Wenn sie behaupten, „100 % sicher“ zu sein, obwohl sie es tatsächlich nicht sind, und wissen, dass Nutzer keinerlei Schutz vor dem Ausspähen durch das Unternehmen oder auch nur halbwegs fähige Hacker haben, dann ist das mindestens Betrug und kommt kriminellem Abhören noch näher. Denn Nutzer werden absichtlich dazu verleitet zu glauben, der Dienst sei „100 % sicher“, und ihm ihre Geheimnisse anzuvertrauen.
    Dass diese Sache „freundlich“ endete, ist ehrlich gesagt ein Versagen der Justiz. Das Fizz-Team sollte wegen Betrugs angeklagt werden.

    • Fizz könnte seine eigenen Sicherheitslücken tatsächlich nicht gekannt haben. Dann wäre es vielleicht eher Fahrlässigkeit als Betrug.
    • Ich halte die Forderung von Fizz rechtlich nicht für besonders überzeugend.
      In den USA werden Unternehmen höher gewichtet als Bürger. Amerikanische Werbung ist voller falscher Behauptungen.
      Wir ignorieren das, indem wir so tun, als hätten Wörter keine Bedeutung.
  • Interessant. An meiner Uni gibt es eine sehr ähnliche Plattform namens SideChat; ich vermute, dass sie sich nicht groß unterscheidet.
    Nachdem ich letztes Jahr dauerhaft gesperrt wurde, weil ich die Berechtigung von „gender-affirming care“ infrage gestellt hatte, frage ich mich, wie viel sie über mich wissen.

  • Aus journalistischer Sicht war es gut, Fizz öffentlich zu benennen. „Fizz hat die Nutzerdaten nicht geschützt. Was geschah danach?“
    Das ist nicht „jemand hat gehackt“, sondern Fizz hat nicht getan, was es versprochen hatte.
    Ich frage mich immer noch, ob getestet wurde, ob die Schwachstelle inzwischen behoben ist.

    • Ich meine, in einem Folgeartikel der Stanford Daily stand, dass die App-Entwickler Investitionen in Millionenhöhe erhalten und viel professionelle Hilfe bekommen hätten, unter anderem bei der Behebung der Sicherheitsprobleme.
      Allerdings scheinen die Nutzerdaten intern nicht vollständig anonymisiert zu sein, wie zuvor behauptet.