Svea Eckert

Journalistin · Autorin

Svea Eckert im Profil

Notizen

    Build your own NSA

    Dec 14, 2016

    Vortrag auf dem Chaos Communication Congress

    Gemeinsam mit dem Datenwissenschaftler Andreas Dewes werde ich zu den Hintergründen zu #nacktimnetz auf dem diesjährigen “Hackerkongress”, dem 33C3, vom 27.–30.12. in Hamburg, sprechen. Dabei werden wir zum Einen einen tieferen Einblick in die Recherche an sich geben und zum Anderen ausgewählte Ergebnisse vorstellen, die nochmal ein gutes Stück weiter als das gehen, was wir bislang veröffentlicht haben.

    Und so lautet die Ankündigung:

    When thinking about surveillance, everyone worries about government agencies like the NSA and big corporations like Google and Facebook. But actually there are hundreds of companies that have also discovered data collection as a revenue source. Companies which are quite big, with thousands of employees but names you maybe never heard of. They all try to get their hands on your personal data, often with illegal methods. Most of them keep their data to themselves, some exchange it, but a few sell it to anyone who’s willing to pay.

    We decided to do an experiment: Using simple social engineering techniques, we tried to get the most personal you may have in your procession. Your “click-stream data”, every URL you have been visiting while browsing the web.

    After a couple of weeks and some phone calls we were able to acquire the personal data of millions of German Internet users - from banking, over communication with insurance companies to porn. Including several public figures from politics, media and society. In the talk, we’ll explain how we got our hands on this data, what can be found inside and what this could mean for your own privacy and safety now and in the future.

    Rakete vor dem CCH in der Dunkelheit

    Hintergrundgespräch zu nacktimnetz in Berlin

    Nov 23, 2016

    Unsere Recherche hat viele Fragen aufgeworfen, vor allem im politischen Berlin. Schließlich hatten wir in den Daten auch zahlreiche Abgeordnete und deren Mitarbeiter gefunden, die natürlich genauso betroffen waren und sind, wie jeder “normale” Internetnutzer.

    Deshalb waren am Abend des Hintergrundgesprächs bei der Stiftung Neue Verantwortung viele interessierte Mitarbeiter aus den Behörden und Ämtern, einige Abgeordnete selbst und Medienvertreter vor Ort.

    Ich veröffentliche hier (mit Dank an die Stiftung) einen kleinen Auszug aus dem Hintergrundgespräch, das Julia Manske moderiert hat:

    Julia Manske: In den Berichten hieß es, Sie haben Zugang bekommen von den Browserdaten von drei Millionen Deutschen. Sie haben in Ihren Filmen gezeigt, dass Sie dafür eine Firma gegründet haben. Wie funktioniert denn das? Wie bekomme ich Zugang zu solchen Daten?

    Svea Eckert: Das war auf der einen Seite erstaunlich leicht und auf der anderen Seite harte Arbeit. Ich habe eine Webseite eines Tech-Startups erstellt mit ein paar schicken Fotos und einem passenden LinkedIn-Profil einer dort angestellten Senior Consultant. Damit hatte ich später mehr als 100 Kontakte. Das heißt, ich hatte irgendwann ein einigermaßen glaubwürdiges Profil als Senior Consultant dieses kleinen Tech-Startups.

    Unter diesem Namen und mit dieser Legende habe ich angefangen ziemlich großflächig, Firmen anzumailen und anzutelefonieren, in Deutschland aber auch international, also USA, England, Israel, auch Osteuropa. Ich habe im Prinzip eine Liste abgearbeitet.

    In der Regel habe ich das Sales-Team angeschrieben, habe geschrieben, dass wir ein junges Startup sind und eine bestimmte Analyse machen wollen. Dafür bräuchten wir ganz bestimmte Daten, Daten aus der „Customer Journey“. So heißt das in der Branche. Immer verbunden mit der Frage: „Was können Sie da anbieten?“.

    Julia Manske: Und was genau verstehen die unter Customer Journey?

    Svea Eckert: Das ist die Reise des Nutzers im Netz, zum Teil über alle seine Geräte hinweg. Also die Reise des Nutzers, das können Tracker-Daten sein, das können auch Daten von verschiedenen Geräten sein, das können Desktopdaten sein, die aufzeigen was man im einzelnen angeklickt hat.

    Ich habe immer offen danach gefragt, weil ich erst mal ins Gespräch kommen wollte und gucken wollte: „Was bieten die Firmen an?“. Das steht oft nicht auf der Homepage. Und dann habe ich einfach abgewartet: „Was kommt zurück?“.

    Die Reaktionen waren sehr unterschiedlich. Es gab Firmen, die mir ziemlich deutlich zu verstehen gegeben haben, dass sie keine Nutzerdaten verkaufen. Aber es gab auch eine Handvoll mit denen ich ernsthaft ins Gespräch gekommen bin.

    Julia Manske: Und wie sieht das genau aus, also wie bekommt man nun die Daten? Bekommt man da eine CD geschickt und wie öffnet man die? Also mal so ganz praktisch.

    Svea Eckert: Es gibt im Netz, ich nenne es mal, virtuelle Ablagekörbe und dort liegen diese Daten drin. Man bekommt einen Zugangscode auf einen Server, dann kann man sich dort einloggen und kann auf dem Server mit den Daten arbeiten oder man kann sie auch herunterladen. Das sind aber solche Datenmassen, dass man sie nicht auf einem normalen Computer oder mit einer Festplatte sinnvoll verarbeiten kann.

    Man kann sie nicht mit Excel bearbeiten. Man kann sie nicht als Text-Datei speichern und selbst wenn man sich von den Daten einen Auszug als Text-Datei rausziehen würde, man könnte darin erstmal gar nichts lesen. Die Daten müssen schon irgendwie gefiltert werden, man muss sie aufbereiten.

    Ganz konkret heißt das, man kann nicht irgendwie Angela Merkel eintippen und dann kommt ein Ordner und dann steht da „Angela Merkel Best-of“. Man muss sich eine Strategie überlegen: „Wie werte ich die aus?“, weil diese Firmen, das sind ja keine Geheimdienste oder so. Die legen keine Ordner von jeder Person ablegen, sondern das sind Analysefirmen, Statistikfirmen, Tracker-Firmen. Man muss schon selbst heraus finden, was man dann mit den Daten machen kann.

    Julia Manske: Konnten Sie jetzt diese Daten öffnen? Haben Sie schon gesehen: „Oh, da ist der Richter, über den auch ein Bericht geschrieben wurde, der bestimmte sexuelle Präferenzen hat, den finde ich jetzt hier und kann jetzt anhand dieser Daten auch noch nachvollziehen, was der gerne abends nach 20 Uhr macht?“

    Wir haben nach einer Weile herausgefunden, dass sich Klarnamen finden, wenn die Nutzer sich irgendwo im Netz identifizieren, also zum Beispiel bei XING oder bei LinkedIn oder bei der Deutschen Bahn oder bei Twitter oder wenn sie über den Fernzugriff des Deutschen Bundestages E-Mails abrufen.

    Das heißt, wenn man zum Beispiel auf einem Fernzugriff seine E-Mails abruft, dann gibt man bei manchen Unternehmen oder Institutionen seine E-Mail-Adresse ein. Und dann gibt es manche Anbieter, bei denen springt der Name des Nutzers in die URL.

    Deswegen haben wir in diesem Datensatz gezielt nach Logins gesucht. Dann hatten wir am Ende Listen mit Login-Daten. Das heißt, das sind dann noch nicht die Daten der Personen selbst, sondern das ist einfach nur, wer da namentlich möglicherweise drin ist in dem Datensatz.

    Diese Login-Daten haben wir abgeglichen mit den Namen der Bundestagsabgeordneten zum Beispiel oder mit den Twitter-Namen der Bundestagsabgeordneten. So und da sind ein paar Leute sozusagen „unten rausgefallen“ und die haben wir dann angesprochen.

    Zum vollständigen Protokoll des Gesprächs

    nacktimnetz

    Nov 6, 2016

    Fragen der Zuschauer

    mehr

    Hacking VW

    May 30, 2016

    Anatomie eines Verbrechens

    mehr

    Der Spion in meiner Kamera

    Feb 5, 2016

    Die Geschichte hinter den Spy Cams

    mehr