- Mar 01 2021
Kennt Ihr Gab? Das ist ein soziales Netzwerk, das sich in seinem Selbstverständnis der freien Rede und gegen jede Art von Zensur verschrieben hat. Klingt erst mal nach einem lobenswerten Ziel, allerdings klingeln bei mir immer erst mal die Alarmglocken, wenn irgendwer zu faseln beginnt, dass er hier eine Plattform für Dissidenten hätte. Ich kenne halt keinen einzigen IT-Security Menschen, der schreien würde "HIER MEIN SCHEISS IST TOTAL SAFE!!!". Und stellt sich raus: Deren Website ist auch alles andere als safe.
Also nicht nur, dass die 70gb an Daten da raus schleppen konnten, inkl. diverser Usernamen+Passwörter. Deren CEO scheint halt auch genau so ein großer Aluhut zu sein wie seine Nutzer. Er ist auch im Umgang mit der Presse, wie soll ich sagen, mäßig gut geschult. Der hätte jetzt souverän reagieren können und sagen können:"Entschuldigt bitte, wir haben da echt scheiße gebaut. Wir tun alles in unserer Macht stehende um den Schaden zu reparieren.", aber ne hat er nicht. Stattdessen hat er die Journalisten beschimpft, die darüber berichtet haben. Und das war mal ein dermaßen großes Eigentor. Seine Begründung dafür war folgende:
reporters, who write for a publication that has written many hit pieces on Gab in the past, are in direct contact with the hacker and are essentially assisting the hacker in his efforts to smear our business and hurt you, our users.
Also da kommt ein Reporter und behauptet, dass sein Netzwerk nur aus Nazis und Aluhüten bestehen würde und legt schlüssig dar, dass seine Infrastruktur absoluter Müll ist und der Dude führt sich auf wie ein paranoider Aluhut und macht den Boten für seinen Fehler verantwortlich? Wut? Um den verfassenden Reporter zu zitieren:
Its not really my job to say this, but when a reporter contacts you about a theft/leak of 70 gigabytes of your data including private posts, chats and passwords this is not the response Id recommend.
Auch wenn ich es im ersten Moment einigermaßen lustig finde, dass so ein Verein von Heulsusen und Flachpfeifen mal eins auf den Deckel bekommen hat, so sehe ich den Umgang der Hacker mit den erbeuteten Daten doch eher kritisch. Die haben halt beschlossen, dass sie die Daten aufgrund der Vertraulichkeit nicht öffentlich zugänglich machen wollen, sondern ausgewählten Forschungseinrichtungen zur Auswertung zur Verfügung stellen. Das finde ich zwar besser als den Ansatz einfach alles unredigiert in die Welt zu lassen, aber meiner Meinung nach verstößt es dennoch gegen die Hackerethik. Und ich rede hier vor allem von der editierten Version des CCC:
Öffentliche Daten nützen, private Daten schützen
Und das findet hier meiner Meinung nach nicht vollständig statt. Ich habe zum Beispiel selbst einen Account auf Gab. Ich bin kein Nazi, ganz im Gegenteil. ich habe mich da angemeldet, weil 2017 eine koordinierte Kampagne von ca. 30 Nazis gegen mich gefahren wurde. Dabei wurden auch Fotos, mein Wohnort, etc. veröffentlicht. Ich habe mir einen Account angelegt um prüfen zu können, ob evtl. auf Gab noch weitere Dinge gepostet werden, die für mich strategisch und zum eigenen Schutz wichtig oder sogar strafrechtlich relevant sind. Natürlich ist es meine Entscheidung was ich dafür als Zugangsdaten nehme. Und es ist meine Entscheidung, ob ich Gab vertraue. Das sind Entscheidungen, die man diskutieren und kritisieren kann. Nichts desto trotz liegen jetzt Zugangsdaten zu einem meiner Accounts bei fremden Leuten, ob Wissenschaftler oder nicht. Und warum? Weil jemand politisch motiviert entschieden hat, dass es okay ist, weil das eh alles Nazis sind, die die Gesellschaft bedrohen. Damit kann man sich natürlich versuchen zu legitimieren, dass das von öffentlichem Interesse wäre, allerdings hätten dafür auch die Beiträge+Usernamen gereicht. Um zu erforschen wer mit wem vernetzt ist, wer was geliked hat und wo es Schnittmengen gibt, braucht es keine Passwörter.
Und versteht mich nicht falsch. Ich will hier nicht klingen als würde ich ebenfalls rum heulen oder als hätte ich Angst, dass jetzt was schlimmes passiert. Die haben scheinbar ohnehin schwache Passwörter raus bekommen. Ich konnte dem Beitrag jetzt aber nicht entnehmen ob die Hashmethode scheiße war oder ob die einfach Wortlisten durchgegangen sind. Jedenfalls bezweifle ich so oder so, dass meine Daten dabei sind. Und ich will vor allem auch keine Faschos verteidigen. Ich bin allerdings der Meinung, dass es genauso unglaubwürdig ist sich für Datensicherheit einzusetzen und dann Leuten Zugang zu geleakten Zugangsdaten, vor allem im politischen Kontext zu geben, wie ein soziales Netzwerk für politisch aktive Menschen zu bauen und dann nicht mal die einfachsten Sicherheitsmechanismen auf die Reihe zu kriegen.
Linkliste:
https://www.wired.com/story/gab-hack-data-breach-ddosecrets/
https://twitter.com/a_greenberg/status/1366208261897261061
https://de.wikipedia.org/wiki/Hackerethik