Wie reagiert der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), wenn man ihm einen USB-Stick mit geleakten Daten übergeben möchte, die man im Internet «gefunden» hat?
Simon Gantenbein entdeckt immer wieder Daten, die im Internet aufgrund von Sicherheitslücken oder aus Versehen öffentlich zugänglich sind.
Im «Datenschutz Plaudereien»-Podcast spricht Simon Gantenbein hörenswert über zwei Fälle:
- Im ersten Fall lagen die Daten eines COVID-Testscenters frei zugänglich im Internet. Das Datenleck betraf mehr als eine Million betroffene Personen in der Schweiz, in Österreich und im Fürstentum Liechtenstein. Simon Gantenbein sicherte die Daten auf einem USB-Stick, um sie dem EDÖB zu übergeben, was gar gar nicht so einfach war. Die betroffenen Personen wurden nicht informiert.
- Im zweiten Fall lagen hunderte Millionen Daten von Kunden der Schweizerischen Bundesbahnen (SBB) im Zusammenhang mit dem SwissPass ohne wirksamen Schutz im Internet. Simon Gantenbein «nötigte» die SBB, die Datenpanne öffentlich bekannt zu machen, wobei es erst einmal schwierig war, überhaupt eine Ansprechperson bei den SBB zu finden. Inzwischen haben die SBB eine security.txt-Datei mit Kontaktmöglichkeiten veröffentlicht.
Siehe auch:
- Rechtsgutachten: Wann ist ethisches Hacking legal?
- Eidgenössischer Datenschutzbeauftragter veröffentlicht Merkblatt für White-Hat-Hacker
Bilder: OpenAI / ChatGPT 4.