Datenleck 2023-10-12 und 2023-10-13
Abstract
Am 2023-10-12 und 2023-10-13 wurde die Mitgliederdatenbank des shack e.V. von fünf ehemaligen Mitgliedern des Vereins unberechtigt kopiert. Der Vorfall wurde beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) angezeigt. Die ehemaligen Mitglieder haben schriftlich erklärt, dass sie keine Kopien dieser Daten besitzen.
Detaillierter Vorgang
Beschreibung der verlorenen Daten: - Vorname, Nachname, Nickname, teilw. Geburtstag (uns interessiert hier nur Volljährigkeit oder nicht). - Adresse, Telefonnummer(n), Mailadresse, andere elektronische/digitale Kontakte - Beitrags- und Mitgliedsstatus - Bankdaten: IBAN, SEPA-Mandat zum Beitragseinzug - Zahlungsdaten über Beiträge und Spenden - Zahlungseingänge von Beiträgen und Spenden - als Flags: Privilegien wie Schlüssel (die aus Metall) u.ä. - Public SSH Keys - betroffen sind geschätzt bis zu 400 aktuelle und ehemalige Mitglieder* Möglicher Impact: - Es gibt keine Anhaltspunkte, dass die Daten von den genannten Personen missbräuchlich eingesetzt werden. - Wir vermuten, dass die Daten "zur Steigerung des persönlichen Selbstwertgefühls" kopiert wurden. - Wir sehen allerdings die Möglichkeit, dass die Daten bei späterer Gelegenheit im Rahmen eines Dateneinbruchs/Malwarebefalls *irgendwo* in dunklen Kanälen Dritter landen können. Historie: 2022 (Mitte) - User(1) erstellt einen Image-Abzug des Systems "vorstandsbox" auf den eigenen Rechner. Zweck war die Erstellung eines Test-Systems zur Vorbereitung von Wartungsarbeiten sowie einer Migration. - Extraktion der Daten zur Erzeugung eines lauffähigen "byro" (Mitglieder*verwaltungsprogramm). - Erstellung einer lauffähigen Installation von "byro". 2022-11-12 - SQL-Abzug der Datenbank von "byro" durch User(1) 2022-11-22 - Upload der Testinstanz von "byro" auf [1] github.com im Rahmen der Organisation "shackspace" in ein Repo namens "byro-bash-setup". - dabei Fehleinschätzung der Rechtevergabe: angenommen wurde, dass die Daten nur für User(1) und die explizit eingeladenen Mitentwickler* lesbar seien. Tatsächlich waren die Dateien für alle (57) Mitglieder* der "Organisation shackspace" lesbar. 2023-09-23, 22:39 - Upload von Daten/Code in ein unbeteiligtes Repository der "Organisation shackspace" durch User(2) - dabei möglicher Weise Kenntnisgewinn der vorliegenden Daten (oder auch nicht, spekulativ). 2023-10-12, 21:37 - Kopie des Repos "byro-bash-setup" durch den User(3). 2023-10-12, 22:38 - Kopie des Repos "byro-bash-setup" durch den User(4). 2023-10-12, 23:03 - Kopie des Repos "byro-bash-setup" durch den User(5). 2023-10-13, 19:23 - Kopie des Repos "byro-bash-setup" durch den User(6). 2023-10-13, 20:34 - Im IRC (Internet Relay Chat) auf libera.chat, Channel #shackspace schreibt "Guest49" über die Veröffentlichung der Information und liefert auch die URL zu den Daten und die Information, dass die Daten in der ganzen "Organisation shackspace" lesbar seien. - Es liegt nahe, dass "Guest49" einer der User User(3), User(4), User(5), User(6) ist, sonst hätte er/sie das mangels Einsicht kaum wissen können. 2023-10-13, 21:38 - Kopie des Repos "byro-bash-setup" durch den User(7). 2023-10-14, gegen 11:00 - Der Schriftführer im Vorstand des shack e.V. wird von User(1) telefonisch über den Vorgang informiert. User(1) selbst hatte in den späten Abendstunden des 2023-10-13 Kenntnis von dem Vorgang erhalten. 2023-10-14 - Maßnahmen: - Eröffnung des Tickets #3230840 zum vorliegenden Vorgang - das Repository "byro-bash-setup" wurde auf Github gelöscht - Alle Mitglieder* der "Organisation shackspace", die nicht mehr Mitglieder* des shack e.V. sind, wurden entfernt. - User(3), User(4), User(5), User(6) und User(7) wurden die Zugänge auf die öffentlichen Ressourcen im shack-Umfeld (MLs, Chats, ...) entzogen. - Meldung des Vorfalls beim Landesdatenschutzbeauftragten BW. Weiterführende Maßnahmen: - Ergänzung des Ablaufs "Mitgliedsaustritt" um den Punkt "Entziehung der Rechte auf den Sourcecode-Repositories". - Unterrichtung der Betroffenen Weiteres: - für die ehemaligen shack-e.V.-Mitglieder User(4), User(6), User(7) liegen uns Datenschutzerklärungen vor. - User(3) und User(7) sind ehemalige Vorstände des shack e.V. - Die Namen der User(1) ... User(7) sind dem Vorstand bekannt und in der Meldung an den Landesdatenschutz enthalten. - Der Landesdatenschutzbeauftragte hat sich binnen zwei Wochen nicht bei uns zurückgemeldet, daraus dürfen wir schließen, dass man dort den Vorfall nicht als Vollkatastrophe wertet. - Von User (2) ... User (7) liegen uns Stand 2024-04-10 unterschriebene Erklärungen vor, denen zufolge sie keine Kopien dieser Daten besitzen. Abschließend bleibt noch zu sagen, dass wir den Vorfall sehr bedauern. Wenn jemand Gesprächsbedarf hat, steht der Vorstand natürlich jederzeit zur Verfügung. Chris Recktenwald Schriftführer shack e.V.