[English]Unschöne Geschichte: Die Deutsche Telekom scheint die Übersicht über ihre APIs etwas verloren zu haben. Lilith Wittmann hat eine Webseite online gestellt, mit der sich Daten von Festnetz-Anschlüssen der Telekom abfragen lassen. Die IP-Adresse reicht, und mit den ermittelten Daten lassen sich Anschlussinhaber der Telekom im Internet dauerhaft tracken. Dürfte eine veritable Datenpanne sein, die die Deutsche Telekom trifft – und es könnte DSGVO-relevant sein. Mal sehen, wie viel Staub die Sache aufwirbelt. Hier ein schneller Abriss, was Sache ist. Ergänzung: Das "Projekt" von Lilith Wittmann wurde von der Deutsche Telekom AG übernommen (buyout).
Anzeige
Telekom API zur Datenabfrage
Zunächst einige Vorbemerkungen zur Einordnung des Ganzen. Wer einen Telekom-Festnetzanschluss (mit Internet) oder einen Mobilfunkvertrag besitzt, dessen Daten werden natürlich vom Anbieter erfasst (ist bei anderen Providern auch so). Ich bin davon ausgegangen, dass dabei dann ein Nutzertracking passiert – die IP-Adresse wird ja eh für eine gewissen Zeit protokolliert.
Und ich gehe davon aus, dass das Online-Verhalten von Nutzern von diesen Providern ausgewertet und zu Geld gemacht wird oder werden soll. Denn die Provider wissen, welche Websites die Nutzer besuchen und welche anderen Dienste diese nutzen. Im Bereich Mobilfunk ist bekannt, dass einige Daten von der Telekom über die Utiq an Werbetreibende verkauft werden (sollen).
Die Utiq SA/NV (Utiq) ist ein europäisches AdTech-Unternehmen. Gestützt von mehreren Telekommunikations-Netzbetreibern, betreibt Utiq einen so genannten Authentic Consent Service (Utiq Service) für verantwortungsvolles digitales Marketing.
Im Mai 2024 wurde von der Presse der Hintergrund beleuchtet – netzpolitik.org zeigt in diesem Artikel, wie die großen Telekommunikationsanbieter O2, Telekom und Vodafone das Online-Verhalten von Millionen Mobilfunknutzern auswerten und der Werbeindustrie anbieten wollen. Der Verein D64 klärt in einem PDF-Dokument über die neue Tracking-Methode auf. Mike Kuketz erklärt in diesem Artikel, wie man Utiq-Tracking deaktivieren/verhindern kann.
Nun ist publik geworden, dass es von der Deutsche Telekom wohl APIs gibt, über die Firmen oder Behörden extern Daten zu Festnetz-Anschlüssen von Telekom-Kunden abrufen können. Ich vermute, dass da auch eine gewissen Monetarisierung geplant sein dürfte. Lilith Wittmann schreibt dazu: "Ja ich dachte, wenn die ein Daten-Startup haben, kann ich das auch."
Anzeige
Es war einmal: Wittmanns Festnetz-Tool
Denn Lilith Wittmann hat festgestellt, dass man bei Telekom-Festnetzanschlüssen mittels der IP-Adresse, einige Daten zum-Anschluss abrufen kann. Es scheint keine Autorisierung für diese Abfragen zu geben, jeder kann auf diese Daten zugreifen, es wird lediglich eine IP-Adresse gebraucht. Am Ende das Tages ist es möglich, eine Menge Informationen über den Anschlussinhaber herauszufinden, indem man Daten von staatlichen sowie privatwirtschaftlichen Akteuren (aka Telekom-API) abfragt. Wittmann hat dazu die Webseite festnetz.cool online gestellt, wie sie in nachfolgendem Tweet schreibt.
Momentan werden nur Telekom-Festnetzanschlüsse für HOME und Small Business Kunden unterstützt. Wenn ich die betreffende Webseite bei mir aufrufe, werden daher keine Informationen angezeigt (ich bin bei 1&1, die als Reseller des Telekom-Anschlusses auftreten – falls wer einen Screenshot hat, wie es bei der Telekom ausschaut – ggf. anonymisiert an mich schicken).
Wittmann beweist mit den formulierten Texten im linken und rechten unteren Frame sowie mit der Wahl der URL festnetz.cool Humor.
Wer es etwas detaillierter mag, schaut unter https://api.festnetz[.]cool/docs#/ nach, was an curl-Befehlen so abgesetzt wird, um die Daten auszulesen.
Festnetz-Kunde transparent?
Zurück zum Thema – wird das Ganze mit einem Internetanschluss aufgerufen, der zu einem Festnetz-Anschluss der Telekom gehört, lassen sich über die zugeordnete IP eine Reihe Daten abrufen. Nachfolgend zeigt Wittmann einige Daten eines solchen Anschlusses.
Neben der IP-Adresse, die man auch über andere Webseiten ermitteln kann, listet die Webseite einige Details zum Anschluss (Tarif, Up- und Download-Geschwindigkeit, die Tarifnummer etc.) auf. Ins Auge springt dabei der Parameter Permanent ID, eine Kennung, die dem Anschluss fest zugeordnet ist. Damit lässt sich der Anschlussinhaber einerseits über die übermittelte IP-Adresse anhand der Permanent ID tracken.
Ergänzung: Es scheint bei diversen Nutzern aber Abweichungen bei den Abfrageergebnissen zu geben. Ein Leser hat mir nun die Ergebnisse seiner Abfrage zukommen lassen (danke dafür). Man siehe die IP-Adresse, die Vorwahl des Telefonanschlusses sowie die Permanent ID. Details zum Anschluss werden nicht angezeigt – das haben mehrere Nutzer berichtet. Woran es scheitert, ist aktuell unklar.
Dürfte ein DSGVO-Problem sein
Wenn ich es richtig verstanden habe, reicht die IP-Adresse des Internet-Surfers, um über die API Details über seinen Telekom Festnetz-Anschluss (samt Internetzugang) abzurufen. Und man kann die Informationen mit anderen Datenquellen kombinieren, so dass man die Quelle recht detailliert (bis auf Häuserblocks) herunter gebrochen, identifizieren kann. Wertet man die Permanent ID aus, lässt sich der Nutzer im Internet tracken und ggf. über seine weiteren Daten identifizieren.
Anwalt Jun fragte Wittmann in diesem Kontext "Welche personenbezogenen Daten können damit noch ermittelt werden?" Wittmann schreibt dazu: "Wenn man die Daten, auf die ich Zugriff habe, weiter lustig mit anderen Daten verknüpft, kann man Leute auf Häuserblockebene lokalisieren."
Anwalt Jun wirft in obigem Post eine Reihe Fragen rund um die DSGVO auf. Ich bin kein Jurist und Details, was die Telekom API-Abfrage her gibt, fehlen mir auch. Ein herunterbrechen auf Häuserebene scheint mir noch kein DSGVO-Vorfall mit Zwang zur Meldung nach Artikel 33 DSGVO zu sein. Aber das müssen die Hausjuristen der Telekom bewerten – eine massive Datenpanne ist es auf jeden Fall.
Denn der jetzt aufgedeckte Sachverhalt ermöglicht auch einen Blick hinter die Kulissen. Denn ich gehe davon aus, dass Strafverfolger und Geheimdienste diese und weitere Daten ebenfalls abfragen können. Und wenn ich es richtig interpretiere, auch jede interessierte Drittstelle. Es deutet sich zudem an, dass es bei der Telekom einige APIs zur Abfrage von Daten gibt, die intern verwendet werden und möglicherweise nicht gegen Zugriff durch Dritte abgesichert sind. Danke an die Blog-Leser, die mich per Mail auf die obigen Tweets hingewiesen haben.
Neueste Entwicklung
Die Telekom hat festnetz.cool "übernommen". Wittmann hat die Details zum Sachverhalt, der sich hinter obigem Fall verbirgt, jetzt auf Medium unter festnetz.cool got acquired by X-Forward-For-Ventures der Deutschen Telekom AG dokumentiert. Schon ganz interessant zu lesen.
Und zur Übernahme von festnetz.cool: War wohl ein erfolgreicher "Exit", Gratulation an Wittmann. Wenn Du mitbekommst, dass Google zur Zeit die Übernahme von Wiz verhandelt und 23 Milliarden US-Dollar bietet, wird dir ganz schwindelig.
Aber wenn die oben genannten Zahlen stimmen, hat Wittmann "Rabatt" gewährt. Ist bei Wittman natürlich Sarkasmus dabei – der Rabatt betrug 100%.
Hey, ich habe in den vielen Tweets der Nacht Peter Zwegat am Flipboard gesehen – da müssen wir noch dran arbeiten, damit die Einnahmen und die Ausgaben "in Balance" bleiben. Das Bug Bounty-Programm der Telekom dürfte in obigem Fall nicht mehr greifen.
Anzeige
"Denn die Provider wissen, welche Webseiten die Nutzer besuchen"
echt jetzt?
Das würde Deep Pakage inspection erfordern und das knacken der Transport Verschlüsselung.
Beides dürfte Verboten sein sehr aufwendig.
Wie kommt es zu dieser Unsinnigen Aussage?
Der Provider kann besenalls sehen welchen Website, welchen Server man abgefragt hat.
Panik mache? oder Tippfehler? oder Unwissen (bei mir)
Die DNS-Auflösungen des Browsers bzw. alle IPs, die der Benutzer anspricht, dürften dem Provider bekannt sein. Dass er nicht sieht, was man mit seiner Banking-Seite anstellt, ist wegen https-Verschlüsselung (hoffentlich) geschützt. Habe aber mal "seiten" in "sites" korrigiert.
Also, in den Quellen wird von "Websites" gesprochen.
Der perfide Trick liegt darin, das der Betreiber der Website natürlich sieht, welche Webseite von einer bestimmten IP aufgerufen wird. Da hilft kein TLS. Nur Tor. Mit dieser IP kann er sofort blei dier Telekom Daten des Kunden abfragen.
Es ist dazu keine Vorratsdaten Speicherung nötig, denn die Abfrage erfolgt in Echtzeit.
(Anwendungsbeidpiel: Es ist ja bekannt, das das BKA gerne Honigtöpfe aufstellt, in der Berechtigten Hoffnung,dass der Täter mal den Stand der Ermittlungen sehen will. So hat das BKA seine Daten in Echtzeit ohne lästigen Richter….)
Grundsätzlich ACK, aber auch ein gemeines VPN ist gegen dieses Bedrohungsszenario so wirksam, wie Tor.
Aus der IP die der DNS liefert kann man nicht sicher schließen welche Website das ist. Es können hunderte Websites unter einer IP Adresse erreichbar sein.
Wenn man den DNS des eigenen Providers fragt, sieht er natürlich auch den Namen der Site.
Es fragt sich ob es zulässig ist, das er diesen Wert speichert und dann noch mit über die API der Telekom korrelieren darf, resp.
selbst nachgucken darf, welche Anschrift dieser Anfragende Kunde hat. Wobei: Warum guckt er nicht selbst in seinen Beständen nach? Ja, das könnte ja jeder Provider machen, denn viele werden einfach den DNS nutzen, den sie per DHCP genannt bekommen.
Aber wie schon gesagt:
Warum sollte sich irgend ein Provider das antun?
Realistisch erscheint mir, das der Betreiber der Webseite die Abfrage im API macht um mehr über den Besucher zu erfahren.
Warum Tor oder ein Proxy hier nicht hilft erschließt sich mir gerade nicht. Das Tor keine absolute Sicherheit bietet ist allbekannt.
naja ich schätze mal mindestens 80% der User habend en Provider DNS eingestellt… also sieht der Provider sehr wohl welche Seiten aufgerufen werden.
Du darfst da nicht von deiner Blase ausgehen, Nerds haben sicher neutrale DNS eingestellt aber das ist eine verschwindend geringe Anzahl zur Masse.
Auch TOR schützt dich da nicht! Anonymität gibt es nicht im Netz, den sonst würden selbst deine angeforderten Daten nicht mehr den Weg zu dir zurückfinden.
Der User fragt nur die IP im DNS ab,vdie Site.
Da ist m.W. keine "Seite" enthalten.
Selbst wenn man den Proxy des Providers benutzt, sieht dieser bei HTTPS nur "connect site name" als Klartext.
Im DNS erscheint dann wahrscheinlich auch nur die IP des Proxy.
Das ist aber alles irrelevant zum Knack Punkt, das von Kunden, die ihre IP von Telekom bekommen, Daten an dritte verraten.werden. Erinnert ein wenig an Sina-box.
Aber da können nur staatliche Stellen zmdrauf zugreifen, mit viel Papierkram.
Das ist m.E. ein ziemlicher Hammer,was Günter da ausgegraben hat. Besten Dank.
(und das andere ist halt Software)
Ausgegraben hat es Lilith Wittmann – ich habe nur versucht, das Ganze mal für Normalos in einem Artikel zusammen zu fassen (die Tweets sind teilweise ja etwas kryptisch und manchmal ironisch).
Interessant sind die zusätzlich mit der (aktuellen) IP verbundenen Daten, wie (dauerhafte) ID und Vorwahl des (Telefon-) Anschlusses. Dass diese anscheinend frei zugänglich im Internet zur Verfügung gestellt werden, ist zumindest unerwartet. Hier kann man in Sachen DSGVO die Reaktionen in den kommenden Tagen mal abwarten …
Bzgl. Vorwahl: geoIP ist in letzter Zeit (für Datensensible) erschreckend präzise geworden, da braucht man die Vorwahl kaum noch.
Bis letztes Jahr wurden für da meine IP irgendwelche 200+km entfernte Standorte angezeigt, seit wenigen Monaten der exakte (gar nicht mal so grosse) Ort.
Naja klar sieht der nicht die Seiten die du ansiehst, aber die Site schon und sind wir ehrlich wenn du 66.254.114.79 (youporn.com) unsurfst reicht es ja das zu wissen, ob du nun geile Titten oder pralle Ärsche dann ansiehst ist nicht mehr so wichtig! ;-P Er weis das du dir Ferkeleien anguckst! und er weis wer du bist! (Zumindest Anschlußinhaber, kann ja auch der Filius sein)
Könnten Sie bitte Ihren Ton ändern? Es ist wirklich ekelhaft, wenn Menschen wie Sie in der Öffentlichkeit von g*** T**** und Ä****** schreiben.
Es geht auch ein bisschen anständiger. Bin echt erstaunt das Herr Born sowas zulässt.
Und ich finde die ganze Cancel-Culture mittlerweile ekelhaft. Ich habe absolut keine Lust mehr, ständig darauf achten zu müssen, dass sich irgendjemand beleidigt oder belästigt fühlt. Muss ich jetzt schon das Wort "geil" mit Sternchen versehen?
@Luzifer – fer lux ! :-) Naja, vll hätt man Anstands halber zumindest ein verschleierndes Sternchen setzen können, mich stört's wenig.
Endlich jedoch ! Ich brauche kein Provider-DNS mehr zum Look-up! Danke, kommt in die hosts der WG ;-) Damit sind wir quasi unsichtbar für die!
hmm, was ist ein neutraler DNS – Google? ;-)
Nein ich weiß wirklich keinen der sich anbietet, die einen gehören zu großen Konzernen, bei anderen weiß man nicht wer dahintersteckt. Der Provider weiß sowieso sehr viel über mich, daher ist der mal naheliegend – aber eventuell falsch wenn Provider wirklich Daten verkaufen?
Quad9 (9.9.9.9) wäre eine Option, oder schauen Sie mal auf
www. privacy-handbuch. de/handbuch_93d.htm .
Danke! Es gibt so viele Themen die man berücksichtigen und beachten sollte, irgendwie ist da Ende nie. Wenn man nicht direkt aus dem Admin Bereich kommt, dann verschiebt man das meist immer auf später und konzentriert sich auf das Kernsegment.
Quad wurden doch verklagt und zur Offenlegung gezwungen ,also kein gute Idee mehr.
https://[]www.heise.de/news/Landgericht-Hamburg-entscheidet-gegen-Quad9-im-Streit-mit-Sony-6280566.html
guckst du die Listen vom Chaos Computer Club…
Die Seite oder der Eigentümer scheint wohl von der Telekom aufgekauft worden zu sein
Das konnte ich nicht so bei einem Besuch über meinen Telekom Anschluss einsehen (falls das noch einen Unterschied macht)
sehr witzig gesperrt zu werden, wenn ich den Gedanken Fehler auf heben möchte.
Die Frage ist, was ist mit "Provider" gemeint.
Wenn damit der Anbieter der Webseite gemeint ist, ist die Aussage richtig. Die IP des Abrufers ist natürlich dem Anbieter der Webseite bekannt.
Das perfide daran ist, das er jetzt mit dieser IP in der API der Telekom in Echtzeit abfragen kann, wer der User ist. Utic erzeugt sogar eine Uniq ID.
Ein Post hätte gereicht – ich habe jetzt mal drei Dubletten gelöscht.
Nicht hinter jeder Ecke eine Sperre zu wittern und gelegentlich die Posts vielleicht nicht im Sekundentakt rauszuhauen, hülfe vermutlich auch. Wenn ein Kommentar im Browser des Nutzers nicht gefressen sondern von Filtern ggf. als SPAM klassifiziert und in den Papierkorb verschoben wird, sehe ich das i.d.R. schon (und stelle wiederher) – nur sitze ich nicht ständig am Rechner und schaue, ob es Kommentar kommt …
Ommmmmm – bloss nicht ärgern lassen oder aufregen.
Was ist (heutzutage) das wichtigste Utensil zur Kommunikation im Allgemeinen (Internet und leider auch sonst überall im Leben)?
Genau – das dicke Fell, oder noch besser eine Oberfläche mit Lotusblüteneffekt, an welcher die ganze Aggression und Schlaumüllerei schön geschmeidig abperlt ;-) Bei gepflegter Selbst-Reflexion versteht sich, damit man nicht die Bodenhaftung und Übersicht verliert. Man darf es nicht so machen wie die (meisten) Politiker, die sagen "man muss immer davon Ausgehen, der andere könnte Recht haben" und zugleich beratungsresistente, unbelehrbare Besserwisser sind. Oder wie die Grünen, die auf ihrer Webseite RESPEKT für sich selber Einfordern … oder die SPD, wo man auch gerne das Wort Respekt benutzt … und wir wissen ja, wie "respektvoll" deren politischer Umgang mit dem größeren Teil der Bevölkerung ist … tja, Bildung hat halt doch eher wenig mit dem Vorkommen natürlicher Intelligenz zu tun, als diese (Ein-)"Bildungsbürger" von sich selber glauben.
Yo @Pau1 – hast Du Lust mal zu telefonieren? Bin grad sonst recht schlecht angebunden. GB macht das sicher möglich… Merke: GB ist ebenso Top100 Blog-Rentner in DE (positiv gemeint) … aber DU machst mich neugierig.
Ach je. Willst Du mich nun beruhigen?
Das hat Günter schon gemacht, und so richtig aufgeregt war ich ja nicht. Ich fand mich ausgesprochen ruhig, dafür, das ich 20min einen Kampf mit einem Filter geführt habe.
Ich danke Günter ausdrücklich dafür, das er diese Kommentar Funktion bereit stellt, auch wenn sie ihm Arbeit macht.
Außerdem bin ich nicht so wichtig, als dass ich wert wäre hier Thema zu sein. Bitte EOT
Früher gab es mal keine Reverse Suche bei der Bundespost Telefonie.
Irgendwann mussten sie doch die Daten rausrücken.
Da hat dann die Bundespost (oder schon Telekom?)
Die Möglichkeit geschaffen, rückwärts alle Verbindungen zu zeigen, die diese Rufnummer getätigt hat, in beiden Richtungen.
Wer das sehen wollte musste tief in die Tasche greifen.
Vermutlich sollte das hier auch so etwas werden?
Interessant wäre die Leistungsfähigkeit der Server hinter dem API: Auf wie viele Anfragen pro Zeiteinheit ist das System ausgelegt?
Das ließe sich ja eruieren, ein passend großes Botnetz vorausgesetzt. Ich persönlich gehe allerdings davon aus, dass sie für die eine oder andere Echtzeitfahndung/-ermittlung ausgelegt sein dürften.
Habe ich mir auch gedacht. Wenn da gewisse Ad-Server oder "Analytic"-Scripts die in fast jeder Webseite eingebaut sind darauf zugreifen würden, dann müsste das API schon sehr leistungsfähig sein. Anfragen natürlich schon vorgefiltert für IP Ranges passend zum Provider.
Verwechsele Anonymität bitte nicht mit Unsichtbarkeit.
Den immer wieder mal auftauchenden "stealth mode" gibt es in der Tat nicht, denn wärst Du für das Netz nicht sichtbar, erreichten Dich die Antworten auf Deine Fragen nicht.
Anonymität hingegen gegenüber dem Endpunkt ist durchaus durch VPN oder Tor zu erreichen. Rufe ich meine eigenen Webserver über eine Tor Verbindung auf, sehe ich die IP-Adresse des Tor Austrittspunkts, aber nicht mehr die meines Internetanschlusses. Letztere wird von meinen Servern hingegen ins Logfile geschrieben, wenn ich nicht mit Tor oder einem VPN arbeite.
Jede Woche eine neue Sicherheitslücke oder ein Leak – das wird langsam schlimm.
Dass Dein Beitrag mit dem aktuellen Thema nichts zu tun hat, ist Dir schon klar, oder? Ich bitte Dich zudem, Deine politischen Ansichten in dafür geeigneten Medien abzusetzen. Wir™ sprechen hier über technische Dinge.
Ich danke Dir sehr, ganz sicher auch im Namen Dritter.
Die Beschreibung bei Wikipedia zur Sina-box ist schon ok.
Was man aber nicht liest ist, das die Telkos über die Sina Box einen Zugriff auf ihre Stammdaten erlauben muss.
Dabei darf die Telko selbstverständlich nicht sehen, dass eine Abfrage erfolgt und erstrecht nicht, wessen Daten.
Wenn man das mit der API vergleicht,sieht man gut, wie Datenschutz immer mehr verwässert wird.
Ich weiß allerdings nicht, ob die API auch die Anschrift etc. liefern oder nur eine UID um den Rechner wieder zu erkennen.
(Die IP hat der Rechner, nicht der Kunde.)
Bullshit, und das weißt Du. Gegenüber dem öffentlichen Netz und auch dem ISP gegenüber tritt der Router als Client auf. Mit der öffentlichen IPv4 Adresse. Die IPv4-Adresse des tatsächlich aufrufenden Rechners ist nach wie vor eine aus den drei dafür reservierten und nicht zu routenden Adressbereichen und sowohl für den ISP, als auch für jeden Diensteanbieter nicht sichtbar. Eben deshalb kann die UID auch lediglich anschlussbezogen sein.
Genau deshalb sind diverse Stellen so scharf auf IPv6, denn da fällt NAT weg und Du kommst wirklich bis zum Endgerät in der Session. Aber auch das nur solange, wie die aktuelle Verbindung besteht, denn weder der Router, noch der Client, pflegen eine IP-Adress-Historie.
Em, ist doch genau das.
Die IP die der Betreiber der Website sieht, identifiziert ein Rechner Interface, aber nicht den User.
Bei Cookies ist das anders.
Hier muss wirklich genau auf die Wortwahl und Interpretation geachtet werden.
Das was die Telekom da macht ist zusätzliche Informationen liefern. Das dürfen sie m.E.n. nicht.
Gar eine UID definieren.
Klar das die IP die des Routers ist, den einzelnen Rechner im LAN sieht man natürlich dank NAT nicht.
Trotzdem ist diese IP am Router ein geschütztrs Datum…
"Die IP die der Betreiber der Website sieht, identifiziert ein Rechner Interface"
Nein, das war früher (Anfangszeit) mal so, heute ist das eher die grosse Ausnahme, denn iaR ist ein Router (oder eine Firewall) dazwischen und nur Der erhält die publicIP.
Alle Geräte (PCs, Entertainment, Server, IoT, …) dahinter greifen mit derselben publicIP (des Routers) aufs Internet zu – bei Mobilfunk idR sogar mit der publicIP des Netzanbieters.
Mit der IP alleine nicht… nur da kommt ja sonst noch einiges dazu was dann auch den einzelnen Rechner hinter einer NAT identifizierbar macht…
Das Thema scheint unter dem Namen "Netzwerk-APIs" bereits seit einigen Monaten von der Telekom publiziert zu werden:
https://developer.telekom.com/de/news/Netzwerk-APIs
… nur sind alle Beschreibungen (noch) auf Mobilfunknetze zugeschnitten.
Hatte ich die Nacht zwar auch gesehen – da ich aber nicht sicher war, ob es zutrifft, habe ich es nicht thematisiert. Aber der Sachverhalt dürfte "bald" vom Tisch sein – die Telkom steht mit Lilith Wittmann in Kontakt, um die Details auszutauschen – gemäß neuester Nachricht hat die Telekom festnetz.cool übernommen. Wittmann hat die Details auf Medium unterfestnetz.cool got acquired by X-Forward-For-Ventures der Deutschen Telekom AG dokumentiert.
Schade, so ist auch Wittmann den Millionenbeträgen erlegen.
Da fehlt aber das Smiley für die Ironie.
Ergänzung, weil die Folgekommentare da freidrehende Theorien entwickeln. Zitat von Wittmann: "PS. weil das wirklich Menschen fragen: Natürlich hat die Telekom mir keinen Cent bezahlt aber auf ihr Responsible Disclosure Programm hingewiesen. Wenn euch diese Unterhaltung Geld wert ist, dann könnt ihr mir das über Patreon zukommen lassen."
Der Idealismus von Wittmann früher war grösser. Aber 7-stelligen Beträgen zu widerstehen, ist nachvollziehbar relativ schwer. Man kann es Wittmann nicht verdenken. Kein Ironie Smily.
Wie kommst Du darauf?
Ich finde die Lösung mit der Übernahme der Site aber irgendwie seltsam. Was will die Telekom damit?
Sie könnten doch einfach Strafantrag stellen, denn die Zugriffsparameter zur API sind geheim, die URL auch.
Also ist das "besonders geschützt" und damit der lesende Zugriff strafbewehrt….
Wurde da etwas gemauschelt?
"Wir erstatten Dir großzügig Deinen zeitlichen un finanziellen Aufwand. Dafür können wir das Produkt exklusiv nutzen. Darüber wird geschwiegen."
Wie kommt man darauf?
Es geht der Telekom wohl eher nicht um die Nutzung dieses Produkts sondern darum, das Produkt ein für alle Mal aus der Welt zu schaffen und in einer Schublade zu versenken und gleichzeitig die Entwickler über irgendwelche "Zusammenarbeit" Verträge mit sicherlich viel viel Kleingedrucktem in Schranken zu weisen bzw. an einer langen aus reichlich Geld geknüpften Leine zu halten. Man kann nur hoffen, dass Wittmann gute Anwälte hat, damit nicht eines Tages auch mal in einem anderem Zusammenhang dieses Kleingedruckte zu einem Boomerang werden könnte.
Wie kommst Du darauf, dass der lesende Zugriff strafbewehrt sein könnte? Das API wird doch diversen Start-Ups zur Verfügung gestellt, weswegen Lilith ja eben auch mal schnell ein gegründet hat. Und selbst wenn man gemäß Hackerparagraph eine Strafbarkeit unterstellen könnte, gibt es zum Glück nur wenige Unternehmungen, die so agieren. Der Großteil gehört da nicht dazu, denn die wollen auch in Zukunft von Menschen wie Lilith profitieren, statt mit Sicherheitslöchern gepflegt auf die Nase zu fallen.
Wittmann schreibt selbst sehr klar, dass 7-stelliger Betrag geflossen ist.
Wer lesen kann, ist gelegentlich im Vorteil ;-)
PS: Offenbar lesen wir zwei verschiedene Quellen oder interpretieren Texte unterschiedlich.
Das Wort "buyout" ist Ihre Interpretation im og. Artikel.
Es ist schon traurig, dass mittlerweile jede Ironie und Sarkasmus eindeutig gekennzeichnet werden muss, damit (mir fehlende die passenden Worte) "manche" Leute nicht alles blind glauben.
Zitat Lilith Wittmann:
"PS. weil das wirklich Menschen fragen: Natürlich hat die Telekom mir keinen Cent bezahlt aber auf ihr 🤡 Responsible Disclosure Programm 🤡 hingewiesen."
das ist Zynismus, Mann.
7 stellig
und dann war es nur ein Angebot.
sie schreibt im zitierten Text nur von einem angeblichen Angebot, nicht das da eine absurder Millionenbetrag geflossen sei.
muss man jetzt schon deutsche Texte übersetzen?
"Dürfte ein DSGVO-Problem sein"
Ich denke nicht, dass das ein DSGVO Problem ist, denn Frau Wittmann geht selbstverständlich sehr verantwortlich mit dem Thema um und hat die Interessen der millionen Telekom Kunden bei ihrer Veröffentlichung voll und ganz im Blick gehabt. Durch ihre Veröffentlichung hat sie eine DSGVO Relevanz prinzipiell verneint. Sonst hätte sie das so lange zurück gehalten bis die Daten nicht mehr abrufbar sind.
Danke Frau Wittmann.
Ich denke schon, dass das ein DSGVO-Problem ist – aber eines der Telekom, die ja diese Schnittstelle offensichtlich zur Verfügung stellt.
Frau Wittmann hat die Existenz dieser ja nur offengelegt und mit api.festnetz.cool für jedermann nutzbar gemacht, ohne die betroffene URL bei der Telekom zu veröffentlichen.
Hallo,
Datenschutzrechtlich ist evtl. schon interessant.
Ich sehe es so, das die "Permanent ID" dem Telekomkundenkunden zugeordnet ist und somit ist dies ein personbezogenes Datum, wie die IP-Adresse.
Dieses personenbezogene Datum ist nun für Dritte ohne Rechtsgrundlage offen und somit eine Datenschutzverletzung.
Dazu kommt ja, das dann eine "Zwangstrennung" und erhalt einer neuer IP nur noch makup sind und Telekomkunden immer über diese API (mit der Permanent ID) problemlos trackbar sind. Einfacher kann man es der Werbeindustrie auch nicht machen. Auch hier wäre eine Rechtsgrundlage interessant. Ich kenne jetzt nicht AGB, aber ich denke die Telekom bräuchte schon die Einwilligung des Kunden, dessen Daten weiter verkaufen zu dürfen. Und der Vertragsabschluß fürs Internet sollte keine weitere Verarbeitung der Daten gestatten. Da brauch es eine Einwilligung.
Hoffe da kommt noch was :D
Steht nicht irgendwo im Gesetz, das der Anbieter dafür sorgen muss, dass der Privat Kunde das Netz Pseudonym nutzen können muss? Das ging da um so etwas wie Meinungsfreiheit und dem Recht, sich unreglementierbar informieren zu können.
Das würde durch den IP Wechsel alle 24h implementiert, was auch noch den neben Effekt hat, das man Server nur sehr mühsam auf solchen IP Adressen fahren kann
Ist diese ID denn nicht ebenso ein Pseudonym wie "Pau1" oder "Bernd B."?
Wenn nein, warum nicht (klar, kann nicht frei/jederzeit gewechselt werden, dennoch kann (ohne Datenzusammenführung aus verschiedenen (auch nicht-DTAG) Quellen) nur DTAG den tatsächlichen Nutzer feststellen)?
du bist mit deinem ETF Thema leicht OT.
Zum Thema Stimmrecht: es geht ja auch kaum anders oder die Fondverwaltung würde sich enthalten, aber die Meinung von Hunderttausend Kunden einsammeln und dann auch 10.000 Aktien zu verteilen wäre wirtschaftlich sinnvoll nicht darstellbar. Das ist einer der Preise die man für die Bequemlichkeit bezahlt.
Das ist eine historische Entwicklung.
BTX?
Mit BTX konnte man per Telefon bezahlen.
Es gab eine 1:1 Zuordnung über die Telefon Leistung.
Aus dieser Zeit muss diese Funktion kommen.
Später konnte man sich per Modem irgendwo einwählen und hat sein IP bekommen.
Die Telekom hat dann das Problem schon damals so gelöst, dass die Telekom Server einfach fragten wem diese IP gehört.
War es eine Telekom IP so wurde geschaut, wem diese IP gehört.
War es ein Telekom Kunde, so konnte dieser ohne weitere Anmeldungen seinen Telefon Anschluss umkonfigurieren.
Sehr bequem aber auch in Firmen riskant. Die Mitarbeiter kamen ja alle von einer Telekom IP und jeder konnte diese daher umkonfigutieren…was nicht erwünscht war.
So musste die Telekom doch eine Passwort Abfrage machen.
"eigentlich" hätte man dieses Feature gar nicht mehr gebraucht.
Aber es war ja so schön bequem, ohne Auth den SMTP Server nutzen zu dürfen…
So weit die Herkunft der API aus meiner Sicht.
Ich schätze mal, irgendwann wurden Mitarbeiter entlassen und das Hintergrund wissen zu diesem Datenkanal ging verloren und wurde irgendwan für alle geöffnet.
Eine böse Absicht mag ich der Telekom nicht unterstellen.
das war ein klarer Fall
"das haben wir schon immer so gemacht " kombiniert mit "was schert .
Jedenfalls war m.W. der einzige Anbieter der seinen Kunden diesen Service bot.
irgendwie war der Schritt, diese Daten für 3. bereit zu stellen natürlich nicht mehr ok.
Telekommunikations-Telemediengesetz (TTDSG)
Das TTDSG enthält in § 19 Absatz 2 die folgende Regelung:
"Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist."
https://www.gesetze-im-internet.de/ttdsg/BJNR198210021.html
Das ist tatsächlich eine Kann-Vorschrift! (beachte das Wort "hat".) Die Telekom muß nichts tun um die Informationsfreiheit zu gewährleisten, darf aber auch nicht den Einsatz von Proxy,VPN,Onion verbieten..
Kann ich Telekom mit Internationalen Gutscheinkarten oder bar bezahlen?
Schöne,neue,Welt
Aber IANAL.
Durch das Wort "hat" ist das aber eine Muss-Vorschrift ("soweit möglich und zumutbar").
Ebenso verhält es sich, wenn in Gesetzen bzw. ihren Auslegungsvorschriften für die Verwaltung von "soll" die Rede ist …
hast Recht! genau so.
Demnach verstößt die Telekom schon seit Jahren gegen das Gesetz, zumindest seit sie diese Info über den Kunden dem z.Zt. eine bestimmte IP "gehort" mit einer UID verknüpft diese Info Dritten ohne jeden Restriktion zur Verfügung stellt, wenn er denn zahlt(durch einen Bug hat das mit der Bezahlschranke nicht geklappt)?
Und was ist?
Wo ist der BDSB, der für genau so etwas gedacht war?
Er hat es wo möglich sogar genehmigt (vermutlich wenn nur Strafverfolger diese zahlenden Kunden wären).
Was ergibt eine Presse Anfrage zu diesem Datenmissbrauch, vermutlichen Gesetzesbruch beim BDSB oder dem Zuständigen?
Und wo ist die Liste, die für jemanden wie Dich oder mich als Diensteanbieter nun aus einer IP-Adresse (IP ist entweder v4 oder v6, aber nicht gleichbedeutend mit der IP-Adresse) und einer UID einen Namen nebst Anschrift macht? Solange Du mir nicht nachweist, dass Du von einem Rudel für den Moment oder auch dauerhaft festgeschriebener Daten einen Menschen namentlich samt Anschrift ermittelst, IST dieser Mensch anonym im Netz und kann sich überall sein eigenes Pseudonym selbst wählen.
das sehen die Gerichte anders.
Du bist über die IP identifizierbar. (auch wenn wir wissen, das da heute zig Rechner hinter hängen können.).
Deine Name muss da nicht dran stehen.
aber es ist der Telekom natürlich möglich, aus den dial-on Daten an die Stammdaten zu kommen.
Ob das über diese API und Dritten möglich ist nicht bekannt.
Früher hatte die Telekom diese API benutzt um es ihren Kunden leichter zu machen. Wer mit seinem Modem in einer Einwahlbder Telekom angemeldet war, konnte ganz einfach Formulare ausfüllen, in denen schon der Name etc. ausgefüllt war.
Ich möchte die Datenpanne gar nicht bewerten, dafür habe ich nach dem Lesen zu wenig davon verstanden.
Aber ein Sache die mir bei dieser Geschichte komisch vorkommt: War es nicht mal so, dass man solche Funde vertraulich den Verantwortlichen meldet und eine angemessene Frist einräumt, um die Panne zu beseitigen?
Mein Eindruck hier ist, dass damit direkt an die Öffentlichkeit gegangen wurde. Sollte das so sein, dann finde ich das ein sehr fragwürdiges Verhalten und muss nochmal die Motivation infrage stellen.
sie hat aber nur die Existenz der Schnittstelle genannt und diese auch kurzzeitig nutzbar gemacht, ohne die URL der Schnittstelle selbst zu veröffentlichen.
Also ganz im Sinne von responsible disclosure.