[English]Beim EU-Parlament gab es einen Datenschutzvorfall. Informationen über mehr als eintausend Mitarbeiter und Mitglieder des Europäischen Parlaments waren über einen fehlkonfigurierten Server durch Unbefugte abrufbar. Der Server wurde von der Europäische Volkspartei (EVP) betrieben.
Anzeige
Ungeschütztes Datenbank-Backup
Ich bin gestern über den nachfolgenden Tweet auf diesen Datenschutzvorfall beim EU-Parlament aufmerksam geworden.
.@yashkadakia found that the European Parliament database was exposed due to an open configuration file pointing to a database backup.
Sensitive information of 16,000 individuals, including EU officials, journalists and others was involved.
Spokesperson denies claims, come on. pic.twitter.com/YmlTHDx5ow
— Under the Breach (@underthebreach) May 17, 2020
Der indische Sicherheitsforscher Yash Kadakia ist auf eine Datenbank des EU-Parlaments gestoßen, bei der eine Konfigurationsdaten auf ein Datenbank-Backup verwies. Dieses Datenbank-Backup war ungeschützt und ermöglichte unbefugten Dritten auf die gespeicherten Daten zuzugreifen. Der nachfolgende Tweet enthält einige Details zu diesem Datenschutzvorfall.
The data also includes 15,000+ users including journalists, members of a number of political parties and institutions.
It also includes members of several European Union Institutions like the Europol, European Data Protection Supervisor, EUIPO, Frontex, etc.
— Yash Kadakia (@yashkadakia) May 15, 2020
Anzeige
Das massive Datenleck legte Daten und Passwörter von mehr als 200 Mitgliedern des Europäischen Parlaments, des Europäischen Rates und der Europäischen Kommission offen. Auch über 1.000 Mitarbeiter des EU-Parlaments sind betroffen. Die Daten aus dem Backup umfassen auch über 15.000 Einträge zu anderen Benutzern, darunter Journalisten, Mitglieder einer Reihe politischer Parteien und Institutionen. Betroffen sind auch Mitglieder mehrerer Institutionen der Europäischen Union wie Europol, Europäischer Datenschutzbeauftragter, EUIPO, Frontex usw.
Nur alte Daten betroffen
Politico schreibt in diesem Artikel, dass die Europäische Volkspartei (EVP), die größte politische Fraktion im Parlament, das Datenleck bestätigt habe. Der Sprecher der EVP-Fraktion, Pedro López de Pablo, bestätigte Politico in einer E-Mail, dass eine Datenbank mit E-Mail-Adressen und Passwörtern offengelegt wurde.
Der Sprecher gab an, dass die Datenbank veraltet sei und nur Informationen enthalte, "die von den Personen genutzt werden, die unsere alte Website 2018 abonniert haben". Diese Website wird nicht mehr benutzt, nachdem die Gruppe im Januar 2019 eine neue Website eingerichtet hat, sagte López de Pablo gegenüber Politico. Sowohl die "Server der EVP als auch die aktuelle Datenbank sind nicht offengelegt worden", so der EVP-Sprecher weiter.
"Selbst für den Fall, dass die Personen, die 2018 unsere Website abonniert haben, dasselbe Passwort benutzten, das sie damals in ihren E-Mails hatten, kann ihnen jetzt nichts passieren, denn im Parlament zwingt das System Sie dazu, Ihr Passwort alle drei Monate vollständig zu ändern", fügte er hinzu. Laut López de Pablo überprüft die EVP "derzeit die Liste der E-Mails, um alle Betroffenen gemäß den [europäischen Datenschutz-] Vorschriften zu informieren".
EU-Parlament: Wir waren es nicht …
Interessant sind die Threads, die sich um dieses Datenleck entwickeln. Die Sicherheitsforscher von Under the Breach weisen in nachfolgendem Tweet auf eine Pressemitteilung des EU-Parlaments hin.
I like how suddenly when the people in charge of GDPR are ALLEGEDLY responsible for a data breach, suddenly "it's not our system", "doesn't contain EU data"
Fact is it was hosted on https://t.co/9jR91ZNAp8, and contained sensitive information.
Time to set an example. https://t.co/Z5F3wIeKlo
— Under the Breach (@underthebreach) May 18, 2020
Das Europäische Parlament gibt an, dass das Datenleck in keinem Zusammenhang mit einem System steht, das von einer EU-Institution betrieben wird und keine Daten von EU-Institutionen enthält. Es wird also abgewiegelt – was juristisch korrekt ist – das System gehörte ja der EVP, wurde aber unter europarl.europa.eu gehostet. Immerhin wurden die für das System Verantwortlichen kontaktiert.
Update: The issue has been fixed and the portals have been taken offline. I'd love to understand if appropriate GDPR disclosure and incident handling policies are being followed. https://t.co/7ucpy418Sk
— Yash Kadakia (@yashkadakia) May 16, 2020
Gemäß obigem Tweet wurde das Portal inzwischen offline genommen, die Daten sind nicht mehr abrufbar. Die Frage von Yash Kadakia in Sachen DSGVO (GDPR) läuft ins Leere – denn die parlarmentarischen Betreiber werden wohl kaum sanktioniert werden.
Anzeige
Natzürlich wird niocht sanktioniert.Es ist auch gegen die Verfassung darauf hinzuarbeiten das der deutsche Staat in einem anderen aufgeht,int. aber niemanden.
??? Führ das doch bitte mal genauer aus, was du meinst.
Wenn das Daten von 2018 sind, die nicht mehr benötigt werden, frage ich mich, was der Verarbeitungsgrund für die weitere Speicherung war. Es kann sich dabei auch nicht um ein Backup handeln, denn ein Backup hat nur den Zweck, zeitnah die Wiederherstellung eines technischen Systemes zu ermöglichen und darf daher nicht 1 1/2 JAhre ohne weiteren Grund gespeichert bleiben.