{"id":14603,"date":"2018-08-07T18:15:41","date_gmt":"2018-08-07T16:15:41","guid":{"rendered":"https:\/\/143bis.ch\/?p=14603"},"modified":"2021-04-04T10:34:11","modified_gmt":"2021-04-04T08:34:11","slug":"50000-eur-strafe-fur-daylimotion-wegen-sicherheitsvorfall","status":"publish","type":"post","link":"https:\/\/143bis.ch\/recht\/50000-eur-strafe-fur-daylimotion-wegen-sicherheitsvorfall\/","title":{"rendered":"50\u2019000 <span class=\"caps\">EUR<\/span> Strafe f\u00fcr Dai\u00adly\u00admo\u00adtion wegen Sicherheitsvorfall"},"content":{"rendered":"<p>Dai\u00adly\u00admo\u00adtion wurde zur Zah\u00adlung von <span class=\"caps\">EUR<\/span> 50\u2019000.00 <a href=\"https:\/\/www.legifrance.gouv.fr\/affichCnil.do?oldAction=rechExpCnil&amp;id=CNILTEXT000037273346\" target=\"_blank\" rel=\"noopener\">ver\u00adur\u00adteilt<\/a>, weil es die Sicher\u00adheit der Daten sei\u00adner Benut\u00adzer nicht im Griff hatte. Bei Dai\u00adly\u00admo\u00adtion han\u00addelt es sich um einen in Paris ans\u00e4s\u00adsi\u00adgen Con\u00adtent Hos\u00adting Ser\u00advice, der auch Videosha\u00adring erm\u00f6g\u00adlicht. Nach eige\u00adnen <a href=\"https:\/\/www.dailymotion.com\/fr\/about\" target=\"_blank\" rel=\"noopener\">Anga\u00adben<\/a>&nbsp;hat Dai\u00adly\u00admo\u00adtion 300 Mio. Benut\u00adzer, die im Monat 3,5 Mil\u00adli\u00adar\u00adden Videos betrachten.<\/p>\n<p>Was ist pas\u00adsiert? Offen\u00adbar hatte Dai\u00adly\u00admo\u00adtion aus Ver\u00adse\u00adhen auf Git\u00adhub die Zugangs\u00adda\u00adten eines Dienst\u00adkon\u00adtos ver\u00ad\u00f6f\u00adfent\u00adlicht, das einen Admi\u00adnis\u00adtra\u00adto\u00adren simu\u00adlierte. Mit die\u00adsen Zugangs\u00adda\u00adten gelang\u00adten die Angrei\u00adfer in die Sys\u00adteme von Dai\u00adly\u00admo\u00adtion und erlang\u00adten im Anschluss mehr als 80 Mio. Email\u00adadres\u00adsen und mehr als 18 Mio. dazu\u00adge\u00adh\u00f6\u00adrige Pass\u00adwort\u00adhashs. Dazu muss\u00adten die Angrei\u00adfer den auf Git\u00adhub offen\u00adge\u00adleg\u00adten Quell\u00adcode von Dai\u00adly\u00admo\u00adtion sich\u00adten und Bugs iden\u00adti\u00adfi\u00adzie\u00adren. Die Angrei\u00adfer ent\u00adwi\u00adckel\u00adten auf Grund die\u00adser Kennt\u00adnisse und einer ein\u00adge\u00adhen\u00adden Ana\u00adlyse der Infra\u00adstruk\u00adtur von Dai\u00adly\u00admo\u00adtion einen mass\u00adge\u00adschnei\u00adder\u00adten Exploit. Zuerst ging Dai\u00adly\u00admo\u00adtion von einem ein\u00adfa\u00adche\u00adren Sze\u00adna\u00adrio aus, das in einem Abruf der Email\u00adadres\u00adsen und Hashs \u00fcber eine SQL-Sel\u00adect-Abfrage geen\u00addet haben&nbsp;soll.<\/p>\n<p>Der Vor\u00adfall blieb offen\u00adbar g\u00e4nz\u00adlich unbe\u00admerkt. Erst durch einen Arti\u00adkel auf <a href=\"https:\/\/www.zdnet.com\/article\/dailymotion-hack-exposes-millions-of-accounts\/\" target=\"_blank\" rel=\"noopener\">zdnet.com<\/a> wurde man auf\u00admerk\u00adsam auf den Vor\u00adfall. Ein Autor von ZDNet wurde von einem Leak\u00adsam\u00admel\u00adser\u00advice mit einer Daten\u00adprobe belie\u00adfert, der danach eine ein\u00adzig\u00adar\u00adtige Kom\u00adbi\u00adna\u00adtion von Pass\u00adwort\u00adhash und Email\u00adac\u00adcount eru\u00adierte. Diese Kom\u00adbi\u00adna\u00adtion gab es nur bei dai\u00adly\u00admo\u00adtion. Die Quelle war zwei\u00adfels\u00adfrei bestimmt.<\/p>\n<p>Das Per\u00adfide in einer sol\u00adchen Situa\u00adtion ist, dass sol\u00adche Daten\u00adab\u00adfl\u00fcsse meis\u00adtens unbe\u00admerkt blei\u00adben. Es waren zwar \u00fcber 80 Mio. Email\u00adadres\u00adsen und \u00fcber 18 Mio. Pass\u00adword\u00adhashs, die fal\u00adlen aber beim Traf\u00adfic\u00admo\u00adni\u00adto\u00adring nicht auf. Diese Daten\u00ads\u00e4tze sind kom\u00adpri\u00admiert nur wenige Mega\u00adbyte gross und blei\u00adben so unter dem Radar. So ist es offen\u00adbar auch Dai\u00adly\u00admo\u00adtion ergangen.<\/p>\n<p>Die oberste fran\u00adz\u00f6\u00adsi\u00adsche Daten\u00adschutz\u00adbe\u00adh\u00f6rde <span class=\"caps\">CNIL<\/span> (Com\u00admis\u00adsion natio\u00adnale de l\u2019in\u00adfor\u00adma\u00adtique et des liber\u00adt\u00e9s) war \u00fcbri\u00adgens erstaun\u00adlich rasch vor Ort: Der Arti\u00adkel auf <a href=\"https:\/\/www.zdnet.com\/article\/dailymotion-hack-exposes-millions-of-accounts\/\" target=\"_blank\" rel=\"noopener\">ZDNet.com<\/a> ging am 05.12.2016 online, glei\u00adchen\u00adtags wurde der <span class=\"caps\">COO<\/span> von Dai\u00adly\u00admo\u00adtion ori\u00aden\u00adtert und bereits am 15.12.2016 stat\u00adtete eine Dele\u00adga\u00adtion der <span class=\"caps\">CNIL<\/span> dem Haupt\u00adsitz von Dai\u00adly\u00admo\u00adtion einen Besuch ab. Der eigent\u00adlich Hacker\u00adan\u00adgriff ist ver\u00admut\u00adlich zwei Monate zuvor am 20.10.2016 pas\u00adsiert. Im Mai 2017 wurde durch die <span class=\"caps\">CNIL<\/span> ein Bericht\u00aderstat\u00adter ein\u00adge\u00adsetzt und Dai\u00adly\u00admo\u00adtion lie\u00adferte im Juli 2017 einen Bericht zum Vor\u00adfall ab. Dar\u00adauf\u00adhin emp\u00adfahl der Bericht\u00aderstat\u00adter eine Busse von <span class=\"caps\">EUR<\/span> 500\u2019000.00. Es folgte eine Stel\u00adlung\u00adnahme von Dai\u00adly\u00admo\u00adtion und ein wei\u00adte\u00adrer Bericht, der neue tech\u00adni\u00adsche Details ent\u00adhielt. Am 15.02.2018 teilte Dai\u00adly\u00admo\u00adtion mit, es seien keine Benut\u00adzer zu Scha\u00adden gekom\u00admen. Am Ende setzte die Kom\u00admis\u00adsion eine Busse von <span class=\"caps\">EUR<\/span> 50\u2019000.00 fest. Durch das koope\u00adra\u00adtive Ver\u00adhal\u00adten, eine geschickte juris\u00adti\u00adsche Argu\u00admen\u00adta\u00adtion und das ver\u00adst\u00e4nd\u00adli\u00adche Vor\u00adtra\u00adgen von tech\u00adni\u00adschen Sach\u00adver\u00adhal\u00adten hat Dai\u00adly\u00admo\u00adtion es erreicht, dass die Strafe mar\u00adkant redu\u00adziert&nbsp;wurde.<\/p>\n<p>Dai\u00adly\u00admo\u00adtion wurde zusam\u00admen\u00adge\u00adfasst mit <span class=\"caps\">EUR<\/span> 50\u2019000.00 bestraft, weil es unvor\u00adsich\u00adti\u00adger\u00adweise die Zugangs\u00adda\u00adten f\u00fcr einen Dienstac\u00adcount ver\u00ad\u00f6f\u00adfent\u00adlichte. Wei\u00adter wird Dai\u00adly\u00admo\u00adtion zum Vor\u00adwurf gereicht, es habe den Zugang zu den spe\u00adzi\u00adfi\u00adschen Ser\u00advern nicht zus\u00e4tz\u00adlich gesi\u00adchert, z.B. mit\u00adtels VPN-Tech\u00adnik oder wenigs\u00adtens einer IP-basier\u00adten Authentifizierung.<\/p>\n<p>Das Urteil erfolgte in Anwen\u00addung des fran\u00adz\u00f6\u00adsi\u00adschen Daten\u00adschutz\u00adrechts, das eine Busse f\u00fcr Daten\u00adsi\u00adcher\u00adheits\u00adver\u00adlet\u00adzun\u00adgen vor\u00adsieht. Kon\u00adkret hatte Dai\u00adly\u00admo\u00adtion Art. 34 des <a href=\"https:\/\/www.legifrance.gouv.fr\/affichTexte.do?cidTexte=JORFTEXT000000886460#LEGIARTI000006528132\" target=\"_blank\" rel=\"noopener\">loi rela\u00adtive \u00e0 l\u2019in\u00adfor\u00adma\u00adtique, aux fichiers et aux liber\u00adt\u00e9s<\/a> vom 6. Januar 1978 ver\u00adletzt. Nach die\u00adsem Art. 34 hat der Bear\u00adbei\u00adter von Per\u00adso\u00adnen\u00adda\u00adten f\u00fcr ange\u00admes\u00adsene Sicher\u00adheit und Schutz vor unbe\u00adfug\u00adtem Zugriff zu sor\u00adgen. Da der Vor\u00adfall ein grosse Anzahl betrof\u00adfe\u00adner Per\u00adso\u00adnen auf\u00adwies, hat sich die <span class=\"caps\">CNIL<\/span> zur Ver\u00ad\u00f6f\u00adfent\u00adli\u00adchung des Ent\u00adscheids ent\u00adschlos\u00adsen. Unter <span class=\"caps\">DSGVO<\/span>\/<span class=\"caps\">GDPR<\/span> h\u00e4tte das Urteil mit gr\u00f6ss\u00adter Wahr\u00adschein\u00adlich\u00adkeit gleich ausgesehen.<\/p>\n<p>\u00dcber den Fall haben auch <a href=\"https:\/\/www.lemonde.fr\/pixels\/article\/2018\/08\/02\/la-cnil-sanctionne-dailymotion-pour-un-piratage-de-comptes-d-utilisateurs-en-2016_5338652_4408996.html?xtmc=dailymotion&amp;xtcr=1\" target=\"_blank\" rel=\"noopener\">Le Monde<\/a> und <a href=\"https:\/\/www.heise.de\/security\/meldung\/50-000-Euro-Strafe-DailyMotion-Hacker-fanden-Admin-Passwort-bei-GitHub-4128554.html\" target=\"_blank\" rel=\"noopener\">heise.de<\/a> berichtet.<\/p>\n<p>Das <a href=\"https:\/\/www.legifrance.gouv.fr\/affichCnil.do?oldAction=rechExpCnil&amp;id=CNILTEXT000037273346\" target=\"_blank\" rel=\"noopener\">Urteil<\/a> wurde am 02.08.2018 publi\u00adziert und kann innert zweier Monate an die h\u00f6here Instanz wei\u00adter\u00adge\u00adzo\u00adgen wer\u00adden. Es bleibt spannend.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Dai\u00adly\u00admo\u00adtion wurde zur Zah\u00adlung von <span class=\"caps\">EUR<\/span> 50\u2019000.00 ver\u00adur\u00adteilt, weil es die Sicher\u00adheit der Daten sei\u00adner Benut\u00adzer nicht im Griff hatte. Bei Dai\u00adly\u00admo\u00adtion han\u00addelt es sich um einen in Paris ans\u00e4s\u00adsi\u00adgen Con\u00adtent Hos\u00adting Ser\u00advice, der auch Videosha\u00adring erm\u00f6g\u00adlicht. Nach eige\u00adnen Anga\u00adben&nbsp;hat Dai\u00adly\u00admo\u00adtion 300 Mio. Benut\u00adzer, die im Monat 3,5 Mil\u00adli\u00adar\u00adden Videos betrach\u00adten. Was ist pas\u00adsiert? Offenbar&nbsp;[\u2026]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_coblocks_attr":"","_coblocks_dimensions":"","_coblocks_responsive_height":"","_coblocks_accordion_ie_support":"","inline_featured_image":false,"wp_typography_post_enhancements_disabled":false,"_links_to":"","_links_to_target":""},"categories":[8],"tags":[],"yoast_head":"<title>50&#039;000 EUR Strafe f\u00fcr Dailymotion wegen Sicherheitsvorfall - 143bis.ch<\/title>\n<meta name=\"description\" content=\"Eine Schweizer Plattform f\u00fcr Informationssicherheit und Datenschutz.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/143bis.ch\/recht\/50000-eur-strafe-fur-daylimotion-wegen-sicherheitsvorfall\/\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Rechtsanwalt Roman Kost\" \/>\n\t<meta name=\"twitter:label2\" content=\"Estimated reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"3 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/143bis.ch\/recht\/50000-eur-strafe-fur-daylimotion-wegen-sicherheitsvorfall\/\",\"url\":\"https:\/\/143bis.ch\/recht\/50000-eur-strafe-fur-daylimotion-wegen-sicherheitsvorfall\/\",\"name\":\"50'000 EUR Strafe f\u00fcr Dailymotion wegen Sicherheitsvorfall - 143bis.ch\",\"isPartOf\":{\"@id\":\"https:\/\/143bis.ch\/#website\"},\"datePublished\":\"2018-08-07T16:15:41+00:00\",\"dateModified\":\"2021-04-04T08:34:11+00:00\",\"author\":{\"@id\":\"https:\/\/143bis.ch\/#\/schema\/person\/023834d316efb4326d1b4b20e0cb46e4\"},\"description\":\"Eine Schweizer Plattform f\u00fcr Informationssicherheit und Datenschutz.\",\"breadcrumb\":{\"@id\":\"https:\/\/143bis.ch\/recht\/50000-eur-strafe-fur-daylimotion-wegen-sicherheitsvorfall\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/143bis.ch\/recht\/50000-eur-strafe-fur-daylimotion-wegen-sicherheitsvorfall\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/143bis.ch\/recht\/50000-eur-strafe-fur-daylimotion-wegen-sicherheitsvorfall\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"143bis.ch\",\"item\":\"https:\/\/143bis.ch\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"50\u2019000 EUR Strafe f\u00fcr Dai\u00adl\u00ady\u00admo\u00adtion wegen Sicher\u00adheits\u00advor\u00adfall\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/143bis.ch\/#website\",\"url\":\"https:\/\/143bis.ch\/\",\"name\":\"143bis.ch\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/143bis.ch\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/143bis.ch\/#\/schema\/person\/023834d316efb4326d1b4b20e0cb46e4\",\"name\":\"Rechtsanwalt Roman Kost\",\"description\":\"Rechtsanwalt Roman Kost ist Spezialist f\u00fcr Informationssicherheit und Datenschutz. Als Anwalt vertritt er Sie unter anderem im Bereich des Hackerstrafrechts, s\u00e4mtlichen Belangen der IT und der Informationssicherheit sowie des Datenschutzes. Tel: 041 440 33 43 Signal: 041 440 33 43 Email: info@ra-kost.ch Web: https:\/\/ra-kost.ch LinkedIn Xing\",\"sameAs\":[\"https:\/\/ra-kost.ch\",\"https:\/\/twitter.com\/143bis\"],\"url\":\"https:\/\/143bis.ch\/author\/rk\/\"}]}<\/script>","yoast_head_json":{"title":"50'000 EUR Strafe f\u00fcr Dailymotion wegen Sicherheitsvorfall - 143bis.ch","description":"Eine Schweizer Plattform f\u00fcr Informationssicherheit und Datenschutz.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/143bis.ch\/recht\/50000-eur-strafe-fur-daylimotion-wegen-sicherheitsvorfall\/","twitter_misc":{"Written by":"Rechtsanwalt Roman Kost","Estimated reading time":"3 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/143bis.ch\/recht\/50000-eur-strafe-fur-daylimotion-wegen-sicherheitsvorfall\/","url":"https:\/\/143bis.ch\/recht\/50000-eur-strafe-fur-daylimotion-wegen-sicherheitsvorfall\/","name":"50'000 EUR Strafe f\u00fcr Dailymotion wegen Sicherheitsvorfall - 143bis.ch","isPartOf":{"@id":"https:\/\/143bis.ch\/#website"},"datePublished":"2018-08-07T16:15:41+00:00","dateModified":"2021-04-04T08:34:11+00:00","author":{"@id":"https:\/\/143bis.ch\/#\/schema\/person\/023834d316efb4326d1b4b20e0cb46e4"},"description":"Eine Schweizer Plattform f\u00fcr Informationssicherheit und Datenschutz.","breadcrumb":{"@id":"https:\/\/143bis.ch\/recht\/50000-eur-strafe-fur-daylimotion-wegen-sicherheitsvorfall\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/143bis.ch\/recht\/50000-eur-strafe-fur-daylimotion-wegen-sicherheitsvorfall\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/143bis.ch\/recht\/50000-eur-strafe-fur-daylimotion-wegen-sicherheitsvorfall\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"143bis.ch","item":"https:\/\/143bis.ch\/"},{"@type":"ListItem","position":2,"name":"50\u2019000 EUR Strafe f\u00fcr Dai\u00adl\u00ady\u00admo\u00adtion wegen Sicher\u00adheits\u00advor\u00adfall"}]},{"@type":"WebSite","@id":"https:\/\/143bis.ch\/#website","url":"https:\/\/143bis.ch\/","name":"143bis.ch","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/143bis.ch\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"},{"@type":"Person","@id":"https:\/\/143bis.ch\/#\/schema\/person\/023834d316efb4326d1b4b20e0cb46e4","name":"Rechtsanwalt Roman Kost","description":"Rechtsanwalt Roman Kost ist Spezialist f\u00fcr Informationssicherheit und Datenschutz. Als Anwalt vertritt er Sie unter anderem im Bereich des Hackerstrafrechts, s\u00e4mtlichen Belangen der IT und der Informationssicherheit sowie des Datenschutzes. Tel: 041 440 33 43 Signal: 041 440 33 43 Email: info@ra-kost.ch Web: https:\/\/ra-kost.ch LinkedIn Xing","sameAs":["https:\/\/ra-kost.ch","https:\/\/twitter.com\/143bis"],"url":"https:\/\/143bis.ch\/author\/rk\/"}]}},"_links":{"self":[{"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/posts\/14603"}],"collection":[{"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/comments?post=14603"}],"version-history":[{"count":1,"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/posts\/14603\/revisions"}],"predecessor-version":[{"id":48446,"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/posts\/14603\/revisions\/48446"}],"wp:attachment":[{"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/media?parent=14603"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/categories?post=14603"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/143bis.ch\/wp-json\/wp\/v2\/tags?post=14603"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}