[English]Das ‘Kind’ (Datenleck) hat einen treffenden Namen: PussyCash. Das Datenleck, auf das Sicherheitsforscher gestoßen sind, ist eine Datenbank mit über 875.000 Dateien, die sehr persönlichen Daten (vom Ausweisscan bis zu Adressen und Geburtsurkunden, Kreditkarten etc.) von Erotik-Modellen, die auf Erwachsenenseiten aktiv sind, offen legen. Ich wurde gerade von den Sicherheitsforschern von vpnMentor auf den Fall aufmerksam gemacht.
PussyCash: ‚Cam‘-Affiliate-Netzwerk
PussyCash ist ein ‚Cam‘-Affiliate-Netzwerk, welches über Marken wie ImLive Websites für Erotik-Modelle mit erwachsenenorientierten Inhalten anbietet. PussyCash hostet Partnerprogramme für mehrere Websites für Erwachsene und bezahlt Webmaster für den Datenverkehr, der über Banner und Exit-Traffic auf die Websites geschickt wird. Sie rühmen sich mit 66 Millionen registrierten Mitgliedern allein in ihrer Webcam-Chat-Arena ImLive.
(Source: vpnMentor)
Andere Websites sind unter anderem Sexier.com, FetishGalaxy, Supermen.com, Shemale.com, CamsCreative.center, forgetvanilla.com, idesires.com, Phonemates.com, SuperTrip.com und sex.sex.
Zu den Partnern, die auf der PussyCash-Website aufgeführt sind, gehören BeNaughty, Xtube und Pornhub. Der Besitzer von ImLive und PussyCash ist offiziell als I.M.L. SLU, ein in Andorra registriertes Unternehmen, gelistet.
Das Datenleck
Das vpnMentor-Forschungsteam für Cybersicherheit, unter der Leitung von Noam Rotem und Ran Locar, ist auf einen offenen Amazon S3-Bucket auf einem Amazonas-Server in Virginia gestoßen. Dort waren 19,95 GB an Daten, die sich auf PussyCash und das darunter liegende Netzwerk beziehen, offen abruf- und einsehbar.
Auf dem S3-Bucket waren mehr als 875.000 Dateien gespeichert. In den Dateien fand sich Marketing-Material, Clips und Screenshots von Video-Chats, etc. Aber der brisantere Teil ist der Umstand, dass Tausenden Ordner von Models, die die Plattform nutzten, offen zugreifbar sind. In diesen Ordner liegen auch Bilder und Scans von ihren Pässen, ID-Karten, Sozialversicherungskarten, Kreditkarten und vieles mehr. Hier die Liste der Daten der Modelle:
- Vollständiger Name
- Geburtsdatum, Geburtsort
- Status der Staatsbürgerschaft, Nationalität
- Reisepass-/ID-Nummer
- Passausstellung & Ablaufdaten
- National registriertes Geschlecht
- Ausweisfoto
- Persönliche Unterschrift
- Vollständige Namen der Eltern
- Fingerabdrücke
Hinzu kommen länderspezifische Details (z.B. Notfallkontaktinformationen für britische Bürger). Das volle Besteck, was man für einen Identitätsdiebstahl bräuchte – Cyber-Kriminelle können mit diesen Daten Konten auf den Namen der betreffenden Person eröffnen und vieles mehr.
(Modell-Agreement, Quelle: vpnMentor)
In den Dateien fanden sich auch Scans und Fotos von Führerscheinen, Identifikationskarten des US-Militärs, Kreditkarten, Modellverträge, Geburtsurkunden, Lebensläufe und vieles mehr. Folgender Tweet zeigt eine Kopie eines US-Führerscheins – weitere Scans sind auf dieser vpnMentor-Seite abrufbar.
Adult performers, heads up!
A data leak exposed personal identifiable information of thousands of cam models. If you had an account with @ImLiveCom or other @PussyCash web properties going back to the last 15 years, your data may have been exposed.https://t.co/ZEYn9WrzLX pic.twitter.com/Sai3pmhxSh
— Chloe Lewis (@newchloe18) January 15, 2020
Die Modelle, es sind auch europäische Personen aus Deutschland etc. darunter, werden dadurch quasi gläsern.
Fetter DSGVO-Fall?
Es scheint, dass das Leck von einer der zahlreichen Marken von PussyCash verursacht wurde. Da der Besitzer von ImLive und PussyCash offiziell als Firma in Andorra registriert ist, dürfte er der DSGVO unterliegen. Damit wird die Geschichte auch unter diesem Gesichtspunkt interessant, denn da dürften fette Geldbußen fällig werden. Hier noch die Chronologie des Falls:
Datum an dem das Leck entdeckt wurde: 3. Januar 2020
Datum der Benachrichtigung der Firma (PussyCash & ImLive): 4. Januar 2020
Data Amazon benachrichtigt: 7. Januar 2020
Datum der Antwort von ImLive: 7. Januar 2020
Datum der Aktion: 9. Januar 2020
Der Anbieter PussyCash (und deren Datenschutzbeauftragten) hat bisher wohl überhaupt nicht auf die Meldungen der Sicherheitsforscher reagiert, wie sie hier schreiben. Lediglich ImLive hat schließlich auf eine unserer E-Mails geantwortet und erklärt, dass sie sich darum kümmern und die Informationen an das technische Team von PussyCash weiterleiten würden. Weitere Details lassen sich im vpnMentor-Artikel nachlesen.
Vorletzter Absatz: „Leck Datum“ in dem Zusammenhang. *ROFL*
Nachts um kurz vor 2:00 Uhr kommt halt Siggi Freud durch ;-) Habe es jetzt so umformuliert, dass es nicht mehr missinterpretiert werden kann.
Tja Günni, nu isset raus! Jetzt weiß jeder über dein zweites Standbein Bescheid! :D
Hätte ich mich nur bei PussyCash angemeldet – die hauen wirklich richtig Geld für Webmaster raus (wie ich die Nacht gelernt habe). Aber ich habe ja keinen Ami-Führerschein – und zum Model tauge ich auch nicht mehr – wäre eher geschäftsschädigend ;-).
Andorra ist kein EU-Staat, also ist es auch kein DSGVO-Fall.
DSGVO gilt immer sobald personenbezogene Daten von Personen aus EU-Ländern verarbeitet werden.
Danke für den Hinweis – hatte nicht explizit recherchiert. Aber neben dem Hinweis von Dietmar: Lies dir einfach mal den Artikel hier durch. Die EU-Kommission hat Andorra auf die Ausnahmeliste der Nicht-EU-Staaten gesetzt, die ein angemessenes Datenschutzniveau gewährleisten, so dass man mit Dienstleistern dort Daten austauschen könnte. Könnte nun noch auf eine juristische Spitzfindigkeit hinauslaufen, wenn da GDPR-Strafen nicht umsetzbar wären, weil es kein EU-Staat wäre. Das wäre ein Sargnagel für Andorra – imho.
Ich habe zuerst auch gezögert mit Andorra. Andorra ist ein Sonderfall, so wie Monaco. Frankreich übernimmt offiziell den militärischen Schutz und Spanien hilft auch administrativ.
Dietmar hat recht, das Verfahren gegen Microsoft als US-Unternehmen lässt grüßen. Aber vielleicht hat Trump wieder mit Zöllen gedroht und die EU gibt auf.
Unabhängig davon gibt es bei Verstößen gegen DSGVO dann Bußgelder und deren Verteilung erfolgt nach Gutdünken, sog. gesetzlich geregelte Korruption.
Na ja, alles andere Themen zum eigentlichen Datenleck oder vielleicht doch nicht? Nichts ist im Internet sicher. Bei so was freut sich auch der Fiskus, wenn er schnell war.
Das Internet ist sicher! Die Cloud ist sicher! Die elektronische Patientenakte kommt … der Datenaustausch ist sicher … Siehe Fall Praxis Bereich Hannover … Oh, Tante Erna hat ne künstliche Hüfte, die Sabine hat sich den Hintern formen lassen, oh oui, der Erni will ne OP zur Frau …
Ha, eine Geldstrafe außerhalb des Taschengeld-Tarifs könnte solche Sites treffen. Ich mag nicht die Moralkeule schwingen – das Thema tangiert mich (abseits des Datenlecks nicht). Aber gerade auf diesen Tweet gestoßen, wo eine Site nach einem Urteil (wegen krimineller Machenschaften) und einer Geldstrafe offline ging.
Naja, schauen wir mal, was dabei rumkommt.
Der Gründer selbst ist wohl noch ein „gesuchter Flüchtiger“ des FBI, die von ihm betriebenen Seiten mögen direkt zwar offline sein, aber ich habe bereits Frontends gefunden, die die Seiten weiterführen. Somit: Nichts erreicht, außer etwas logistischem Klimm-Bimm.
https://www.vice.com/en_us/article/v74ekd/fugitive-girls-do-porn-owner-faces-extradition-and-a-new-lawsuit
https://www.vice.com/en_us/article/884gq3/girlsdoporn-is-offline
Und wenn man sich folgenden Artikel durchliest, hat die Schließung wohl eher weniger mit Datenschutz zu tun:
https://www.vice.com/de/article/evjkdw/girls-do-porn-die-seite-zerstorte-fast-monicas-leben-bis-sie-sich-wehrte
Menschenhandel etc. pp sind dann doch ein etwas anderes Kaliber.
https://www.nbcsandiego.com/news/local/owner-of-san-diego-porn-website-face-child-pornography-charges/2091502/
… selbsterklärend.
Also nix aus dem Bereich DSGVO oder sonstigem Datenschutz.
Und hierzulande sind die „drakonischen DSGVO-Strafen“ wohl eher im Bereich Taschengeld-Mythos anzusiedeln. Man betreibt für die hier lebenden Menschen nichts weiter, als eine überkandidelte Live-Show, die Kosten und Medienaufmerksamkeit erzeugt, unter’m Strich aber rein gar nichts behebt, bereinigt oder sichert.