Stadt Columbus verklagt Experten, der das Ausmaß des Cyberangriffs offengelegt hat

 (10tv.com)
1 Punkte von GN⁺ 2024-09-01 | 1 Kommentare | Auf WhatsApp teilen

  • Bezirksgericht genehmigt einstweilige Verfügung gegen Cybersecurity-Experten, der das Datenleck der Stadt offengelegt hat

    • Ein Richter im Franklin County hat eine einstweilige Verfügung gegen den Cybersecurity-Experten Connor Goodwolf genehmigt, der Art und Umfang der Informationen offengelegt hatte, die beim Cyberangriff auf die Stadt im vergangenen Monat abgeflossen sind
    • Goodwolf erläuterte in den vergangenen Wochen in Interviews mit 10TV und anderen Medien detailliert, welche Informationen im Dark Web verfügbar sind

  • Verlauf des Cyberangriffs auf die Stadt

    • Die Stadt kappte am 18. Juli die Internetverbindung, nachdem die IT-Abteilung Anzeichen ungewöhnlicher Systemaktivitäten festgestellt hatte
    • Zwei Wochen später erklärte die Hackergruppe Rhysida, sie habe den Angriff durchgeführt und sei im Besitz von 6,5 Terabyte an Daten
    • Rhysida veröffentlichte anschließend 45 % der von der Stadt entwendeten Daten

  • Auswirkungen des Datenlecks

    • Am 13. August erklärte Bürgermeister Andrew Ginther, die von den Hackern entwendeten Daten seien beschädigt oder verschlüsselt und daher unbrauchbar
    • Goodwolf sagte jedoch in einem Interview mit 10TV, diese Behauptung sei falsch, und zeigte personenbezogene Informationen, auf die er zugreifen konnte
    • Goodwolf erklärte kürzlich, dass die Crime Matrix der Polizei von Columbus herunterladbar sei. Diese Datenbank enthält Informationen zu Zeugen, Opfern und Verdächtigen aus Polizeiberichten der vergangenen zehn Jahre

  • Einstweilige Verfügung und Klage

    • Die Stadt beantragte eine einstweilige Verfügung gegen Goodwolf und bekam sie zugesprochen. Sie fordert mindestens 25.000 US-Dollar Schadensersatz; die Gesamtsumme soll im Prozess festgelegt werden
    • Das Gericht wies Goodwolf an, den Zugriff auf, den Download und die Verbreitung der gestohlenen Daten der Stadt zu unterlassen
    • Die Stadt behauptet, Goodwolf habe „irreparablen Schaden“ und „weit verbreitete Besorgnis in ganz Zentral-Ohio“ verursacht

  • Position der Stadt

    • Der Anwalt der Stadt, Zach Klein, betonte, dass es in diesem Fall nicht darum gehe, Goodwolfs Meinungsfreiheit zu unterdrücken
    • Klein erklärte, die Maßnahme solle die Verbreitung von Daten verhindern, die laufende strafrechtliche Ermittlungen gefährden könnten
    • Klein sagte, man versuche, Polizeibeamte, Opfer und Zeugen zu schützen, und behauptete, die von Goodwolf heruntergeladenen und geteilten Informationen stellten eine Gefahr für die öffentliche Sicherheit dar

  • Goodwolfs Pläne

    • Goodwolf erklärte, er wolle die gestohlenen Daten der Stadt über eine von ihm erstellte Website veröffentlichen. Er behauptete jedoch, die Website solle nur dazu dienen, dass Menschen prüfen können, ob ihr Name vom Datenleck betroffen ist

  • Reaktion der Stadt

    • Das Büro von Klein erklärte, man respektiere die Entscheidung des Richters; sie sei ein positiver Schritt, um die Verbreitung gestohlener vertraulicher Personal- und Opferdaten zu stoppen
    • Die Stadt erhob gegen Goodwolf vier Klagepunkte: Schadensersatz wegen krimineller Handlungen, Verletzung der Privatsphäre, Fahrlässigkeit und unrechtmäßige Aneignung im Zivilrecht
    • Die abschließende Vorverhandlung ist für den 18. September 2025 angesetzt

Zusammenfassung von GN⁺

  • Dieser Fall behandelt die rechtlichen Schritte gegen einen Cybersecurity-Experten, der wichtige Informationen im Zusammenhang mit dem Datenleck der Stadt offengelegt hat
  • Goodwolf sorgte für Kontroversen, indem er im Gegensatz zur Darstellung der Stadt aufzeigte, dass die von den Hackern entwendeten Daten nutzbar sind
  • Die Stadt behauptet, Goodwolfs Handlungen stellten eine Gefahr für die öffentliche Sicherheit dar, und leitet rechtliche Schritte ein
  • Der Fall erinnert erneut an die rechtlichen und ethischen Fragen rund um Datenlecks und unterstreicht die Bedeutung von Datensicherheit

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-09-01
Hacker-News-Kommentar

  • Als ehemaliger Pentester kann ich Goodwolf nachvollziehen, aber echte Daten offenzulegen ist fast immer eine schlechte Idee

    • Deshalb haben Bug-Bounty-Programme einen begrenzten Umfang
    • Die Stadt scheint verärgert zu sein, weil Goodwolf Daten aus einer laufenden Untersuchung und aus vertraulichen Polizeiberichten geteilt hat
    • Die Daten zu nehmen und an andere weiterzugeben, ist ganz klar keine gute Idee
    • Um Journalisten zu beweisen, dass die Daten existieren und herunterladbar sind, hätte es viele Möglichkeiten gegeben, ohne auf die Daten zuzugreifen: einen Screenshot des Forenbeitrags machen, den Link an Journalisten schicken, die Art der Daten beschreiben usw.
    • Wenn er das getan hätte und die Stadt trotzdem so reagiert hätte, wäre das eindeutig Missbrauch
    • Anzuordnen, Daten zu einer laufenden Untersuchung nicht an Journalisten weiterzugeben, ist nicht unvernünftig
    • Niemand möchte, dass persönliche Vorfälle noch weiter verbreitet werden
    • Ich habe großes Mitgefühl mit ihm, weil man diesen Fehler leicht machen kann
    • Bevor ich in die Branche ging, dachte ich, das sei White-Hat-Hacking
    • Das Bewusstsein für einen Vorfall zu schärfen, ist eindeutig gut, aber wie man das macht, ist wirklich wichtig
    • Ich habe 2016 etwa ein Jahr in dieser Branche gearbeitet, aber ich glaube auch heute nicht, dass die Verbreitung echter kompromittierter Daten für irgendjemanden, der als Pentester arbeitet, akzeptabel wäre

  • Goodwolf droht damit, eine eigene Website zu erstellen und die gestohlenen Daten der Stadt offenzulegen

    • Goodwolf sagte 10TV, er plane, seine Website einzurichten, damit Menschen prüfen können, ob ihr Name in der Datenpanne enthalten ist
    • Das ist nicht dasselbe wie eine Website einzurichten, auf der man prüfen kann, ob ein Passwort geleakt wurde
    • Es könnte Leuten ermöglichen, den Namen einer Person einzugeben und festzustellen, ob diese Person Zeuge in einer strafrechtlichen Ermittlung ist
    • Klein sagte: "Es geht hier nicht um Meinungsäußerung, sondern um tatsächliche Handlungen: mit einer Tastatur auf das Dark Web zuzugreifen, Informationen zu sammeln, sie auf einen Computer herunterzuladen und sie dann an die Presse oder andere Personen zu verteilen"

  • Es geht darum, dass die Stadt die Öffentlichkeit darüber belogen hat, dass sie die Daten nicht schützen konnte

    • Die Forscher weisen einfach darauf hin, wie schlecht die Sicherheitssysteme von Columbus, OH sind
    • Am 13. August sagte Bürgermeister Andrew Ginther, die von Hackern gestohlenen Daten seien wahrscheinlich unbrauchbar, weil sie beschädigt oder verschlüsselt seien
    • Stunden später zeigte Goodwolf, dass das nicht stimmte, und welche Art von personenbezogenen Daten für ihn zugänglich gewesen war
    • Die gesamte Führung der Stadt sollte entlassen werden
    • Ohne Sicherheit erwischt werden, die Öffentlichkeit belügen und dann, sobald die Lüge zu Recht offengelegt wird, mit dieser dummen Klage noch Öl ins Feuer gießen
    • Eine blamierte Stadt verklagt die lästige Person, die allen gezeigt hat, wie chaotisch es dort zugeht
    • Einen Sicherheitsforscher zu verklagen, der den Inhalt öffentlich verfügbarer Informationen untersucht, schützt niemanden
    • Das ist ein perfekter Fall dafür, dass EFF oder ACLU bei der Verteidigung gegen diese dumme und als Waffe eingesetzte Unterlassungsverfügung helfen

  • Ich habe mehrere Jahre in Columbus gelebt

    • Das stimmt absolut
    • Es hat etwas an einer blauen Stadt in einem roten Bundesstaat, das sie sehr kühn darin werden lässt, sich selbst zu schützen

  • Zur Liste hinzufügen:

    • Hacking-Syndikat: nicht verklagt
    • Öffentliche Website, die die gehackten Datensätze hostet: nicht verklagt
    • Lügende Beamte: nicht verklagt
    • Joe Schmoe, der auf diese drei Dinge hingewiesen hat: verklagt