{"id":231816,"date":"2020-05-19T00:45:28","date_gmt":"2020-05-18T22:45:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=231816"},"modified":"2020-05-19T06:58:20","modified_gmt":"2020-05-19T04:58:20","slug":"datenschutzvorfall-beim-eu-parlament-mai-2020","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/19\/datenschutzvorfall-beim-eu-parlament-mai-2020\/","title":{"rendered":"Datenschutzvorfall beim EU-Parlament (Mai 2020)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[<a href=\"https:\/\/borncity.com\/win\/2020\/05\/19\/microsoft-sends-a-cease-and-desist-to-berlins-data-protection-commissioner\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Beim EU-Parlament gab es einen Datenschutzvorfall. Informationen \u00fcber mehr als eintausend Mitarbeiter und Mitglieder des Europ\u00e4ischen Parlaments waren \u00fcber einen fehlkonfigurierten Server durch Unbefugte abrufbar. Der Server wurde von der Europ\u00e4ische Volkspartei (EVP) betrieben. <\/p>\n<p><!--more--><\/p>\n<h2>Ungesch\u00fctztes Datenbank-Backup<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg04.met.vgwort.de\/na\/e3b0fbef08f5456dae32c5be94ef457a\" width=\"1\" height=\"1\"\/>Ich bin gestern \u00fcber den nachfolgenden Tweet auf diesen Datenschutzvorfall beim EU-Parlament aufmerksam geworden.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">.<a href=\"https:\/\/twitter.com\/yashkadakia?ref_src=twsrc%5Etfw\">@yashkadakia<\/a> found that the European Parliament database was exposed due to an open configuration file pointing to a database backup.<\/p>\n<p>Sensitive information of 16,000 individuals, including EU officials, journalists and others was involved.<\/p>\n<p>Spokesperson denies claims, come on. <a href=\"https:\/\/t.co\/YmlTHDx5ow\">pic.twitter.com\/YmlTHDx5ow<\/a><\/p>\n<p>\u2014 Under the Breach  (@underthebreach) <a href=\"https:\/\/twitter.com\/underthebreach\/status\/1261941849670983680?ref_src=twsrc%5Etfw\">May 17, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Der indische Sicherheitsforscher Yash Kadakia ist auf eine Datenbank des EU-Parlaments gesto\u00dfen, bei der eine Konfigurationsdaten auf ein Datenbank-Backup verwies. Dieses Datenbank-Backup war ungesch\u00fctzt und erm\u00f6glichte unbefugten Dritten auf die gespeicherten Daten zuzugreifen. Der nachfolgende Tweet enth\u00e4lt einige Details zu diesem Datenschutzvorfall.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">The data also includes 15,000+ users including journalists, members of a number of political parties and institutions. <\/p>\n<p>It also includes members of several European Union Institutions like the Europol, European Data Protection Supervisor, EUIPO, Frontex, etc.<\/p>\n<p>\u2014 Yash Kadakia (@yashkadakia) <a href=\"https:\/\/twitter.com\/yashkadakia\/status\/1261296701144477696?ref_src=twsrc%5Etfw\">May 15, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Das massive Datenleck legte Daten und Passw\u00f6rter von mehr als 200 Mitgliedern des Europ\u00e4ischen Parlaments, des Europ\u00e4ischen Rates und der Europ\u00e4ischen Kommission offen. Auch \u00fcber 1.000 Mitarbeiter des EU-Parlaments sind betroffen. Die Daten aus dem Backup umfassen auch \u00fcber 15.000 Eintr\u00e4ge zu anderen Benutzern, darunter Journalisten, Mitglieder einer Reihe politischer Parteien und Institutionen. Betroffen sind auch Mitglieder mehrerer Institutionen der Europ\u00e4ischen Union wie Europol, Europ\u00e4ischer Datenschutzbeauftragter, EUIPO, Frontex usw.<\/p>\n<h2>Nur alte Daten betroffen<\/h2>\n<p>Politico schreibt in <a href=\"https:\/\/www.politico.eu\/article\/eu-parliament-says-sensitive-data-of-1200-officials-left-exposed-on-web\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a>, dass die Europ\u00e4ische Volkspartei (EVP), die gr\u00f6\u00dfte politische Fraktion im Parlament, das Datenleck best\u00e4tigt habe. Der Sprecher der EVP-Fraktion, Pedro L\u00f3pez de Pablo, best\u00e4tigte Politico in einer E-Mail, dass eine Datenbank mit E-Mail-Adressen und Passw\u00f6rtern offengelegt wurde.<\/p>\n<p>Der Sprecher gab an, dass die Datenbank veraltet sei und nur Informationen enthalte, \"die von den Personen genutzt werden, die unsere alte Website 2018 abonniert haben\". Diese Website wird nicht mehr benutzt, nachdem die Gruppe im Januar 2019 eine neue Website eingerichtet hat, sagte L\u00f3pez de Pablo gegen\u00fcber Politico. Sowohl die \"Server der EVP als auch die aktuelle Datenbank sind nicht offengelegt worden\", so der EVP-Sprecher weiter.<\/p>\n<p>\"Selbst f\u00fcr den Fall, dass die Personen, die 2018 unsere Website abonniert haben, dasselbe Passwort benutzten, das sie damals in ihren E-Mails hatten, kann ihnen jetzt nichts passieren, denn im Parlament zwingt das System Sie dazu, Ihr Passwort alle drei Monate vollst\u00e4ndig zu \u00e4ndern\", f\u00fcgte er hinzu. Laut L\u00f3pez de Pablo \u00fcberpr\u00fcft die EVP \"derzeit die Liste der E-Mails, um alle Betroffenen gem\u00e4\u00df den [europ\u00e4ischen Datenschutz-] Vorschriften zu informieren\". <\/p>\n<h2>EU-Parlament: Wir waren es nicht \u2026<\/h2>\n<p>Interessant sind die Threads, die sich um dieses Datenleck entwickeln. Die Sicherheitsforscher von Under the Breach weisen in nachfolgendem Tweet auf eine Pressemitteilung des EU-Parlaments hin. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">I like how suddenly when the people in charge of GDPR are ALLEGEDLY responsible for a data breach, suddenly \"it's not our system\", \"doesn't contain EU data\"<\/p>\n<p>Fact is it was hosted on <a href=\"https:\/\/t.co\/9jR91ZNAp8\">https:\/\/t.co\/9jR91ZNAp8<\/a>, and contained sensitive information. <\/p>\n<p>Time to set an example. <a href=\"https:\/\/t.co\/Z5F3wIeKlo\">https:\/\/t.co\/Z5F3wIeKlo<\/a><\/p>\n<p>\u2014 Under the Breach  (@underthebreach) <a href=\"https:\/\/twitter.com\/underthebreach\/status\/1262330728894935040?ref_src=twsrc%5Etfw\">May 18, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Das Europ\u00e4ische Parlament gibt an, dass das Datenleck in keinem Zusammenhang mit einem System steht, das von einer EU-Institution betrieben wird und keine Daten von EU-Institutionen enth\u00e4lt. Es wird also abgewiegelt \u2013 was juristisch korrekt ist \u2013 das System geh\u00f6rte ja der EVP, wurde aber unter <a href=\"https:\/\/t.co\/9jR91ZNAp8?amp=1\" target=\"_blank\" rel=\"noopener noreferrer\">europarl.europa.eu<\/a> gehostet. Immerhin wurden die f\u00fcr das System Verantwortlichen kontaktiert.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Update: The issue has been fixed and the portals have been taken offline. I'd love to understand if appropriate GDPR disclosure and incident handling policies are being followed. <a href=\"https:\/\/t.co\/7ucpy418Sk\">https:\/\/t.co\/7ucpy418Sk<\/a><\/p>\n<p>\u2014 Yash Kadakia (@yashkadakia) <a href=\"https:\/\/twitter.com\/yashkadakia\/status\/1261617923912871937?ref_src=twsrc%5Etfw\">May 16, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Gem\u00e4\u00df obigem Tweet wurde das Portal inzwischen offline genommen, die Daten sind nicht mehr abrufbar. Die Frage von Yash Kadakia in Sachen DSGVO (GDPR) l\u00e4uft ins Leere \u2013 denn die parlarmentarischen Betreiber werden wohl kaum sanktioniert werden. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Beim EU-Parlament gab es einen Datenschutzvorfall. Informationen \u00fcber mehr als eintausend Mitarbeiter und Mitglieder des Europ\u00e4ischen Parlaments waren \u00fcber einen fehlkonfigurierten Server durch Unbefugte abrufbar. Der Server wurde von der Europ\u00e4ische Volkspartei (EVP) betrieben.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5535,4328],"class_list":["post-231816","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenleck","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231816","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=231816"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231816\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=231816"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=231816"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=231816"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}