Dailymotion wurde zur Zahlung von EUR 50’000.00 verurteilt, weil es die Sicherheit der Daten seiner Benutzer nicht im Griff hatte. Bei Dailymotion handelt es sich um einen in Paris ansässigen Content Hosting Service, der auch Videosharing ermöglicht. Nach eigenen Angaben hat Dailymotion 300 Mio. Benutzer, die im Monat 3,5 Milliarden Videos betrachten.
Was ist passiert? Offenbar hatte Dailymotion aus Versehen auf Github die Zugangsdaten eines Dienstkontos veröffentlicht, das einen Administratoren simulierte. Mit diesen Zugangsdaten gelangten die Angreifer in die Systeme von Dailymotion und erlangten im Anschluss mehr als 80 Mio. Emailadressen und mehr als 18 Mio. dazugehörige Passworthashs. Dazu mussten die Angreifer den auf Github offengelegten Quellcode von Dailymotion sichten und Bugs identifizieren. Die Angreifer entwickelten auf Grund dieser Kenntnisse und einer eingehenden Analyse der Infrastruktur von Dailymotion einen massgeschneiderten Exploit. Zuerst ging Dailymotion von einem einfacheren Szenario aus, das in einem Abruf der Emailadressen und Hashs über eine SQL-Select-Abfrage geendet haben soll.
Der Vorfall blieb offenbar gänzlich unbemerkt. Erst durch einen Artikel auf zdnet.com wurde man aufmerksam auf den Vorfall. Ein Autor von ZDNet wurde von einem Leaksammelservice mit einer Datenprobe beliefert, der danach eine einzigartige Kombination von Passworthash und Emailaccount eruierte. Diese Kombination gab es nur bei dailymotion. Die Quelle war zweifelsfrei bestimmt.
Das Perfide in einer solchen Situation ist, dass solche Datenabflüsse meistens unbemerkt bleiben. Es waren zwar über 80 Mio. Emailadressen und über 18 Mio. Passwordhashs, die fallen aber beim Trafficmonitoring nicht auf. Diese Datensätze sind komprimiert nur wenige Megabyte gross und bleiben so unter dem Radar. So ist es offenbar auch Dailymotion ergangen.
Die oberste französische Datenschutzbehörde CNIL (Commission nationale de l’informatique et des libertés) war übrigens erstaunlich rasch vor Ort: Der Artikel auf ZDNet.com ging am 05.12.2016 online, gleichentags wurde der COO von Dailymotion orientert und bereits am 15.12.2016 stattete eine Delegation der CNIL dem Hauptsitz von Dailymotion einen Besuch ab. Der eigentlich Hackerangriff ist vermutlich zwei Monate zuvor am 20.10.2016 passiert. Im Mai 2017 wurde durch die CNIL ein Berichterstatter eingesetzt und Dailymotion lieferte im Juli 2017 einen Bericht zum Vorfall ab. Daraufhin empfahl der Berichterstatter eine Busse von EUR 500’000.00. Es folgte eine Stellungnahme von Dailymotion und ein weiterer Bericht, der neue technische Details enthielt. Am 15.02.2018 teilte Dailymotion mit, es seien keine Benutzer zu Schaden gekommen. Am Ende setzte die Kommission eine Busse von EUR 50’000.00 fest. Durch das kooperative Verhalten, eine geschickte juristische Argumentation und das verständliche Vortragen von technischen Sachverhalten hat Dailymotion es erreicht, dass die Strafe markant reduziert wurde.
Dailymotion wurde zusammengefasst mit EUR 50’000.00 bestraft, weil es unvorsichtigerweise die Zugangsdaten für einen Dienstaccount veröffentlichte. Weiter wird Dailymotion zum Vorwurf gereicht, es habe den Zugang zu den spezifischen Servern nicht zusätzlich gesichert, z.B. mittels VPN-Technik oder wenigstens einer IP-basierten Authentifizierung.
Das Urteil erfolgte in Anwendung des französischen Datenschutzrechts, das eine Busse für Datensicherheitsverletzungen vorsieht. Konkret hatte Dailymotion Art. 34 des loi relative à l’informatique, aux fichiers et aux libertés vom 6. Januar 1978 verletzt. Nach diesem Art. 34 hat der Bearbeiter von Personendaten für angemessene Sicherheit und Schutz vor unbefugtem Zugriff zu sorgen. Da der Vorfall ein grosse Anzahl betroffener Personen aufwies, hat sich die CNIL zur Veröffentlichung des Entscheids entschlossen. Unter DSGVO/GDPR hätte das Urteil mit grösster Wahrscheinlichkeit gleich ausgesehen.
Über den Fall haben auch Le Monde und heise.de berichtet.
Das Urteil wurde am 02.08.2018 publiziert und kann innert zweier Monate an die höhere Instanz weitergezogen werden. Es bleibt spannend.