Frankreich: Datenleck bei Hadopi

An diesem Wochenende wurde ein riesiges Datenleck bei dem Unternehmen Trident Media Guard (TMG) entdeckt. Seit letzten Samstag sind unter anderem tausende IP-Adressen auf einem Server der Firma frei zugänglich.

Im Kampf gegen Urheberrechtsverletzungen im Netz arbeitet die französische Kontrollbehörde Hadopi eng mit TMG zusammen. Die Behörde wurde Ende 2009 eingerichtet, um (mit einem Budget von 12 Millionen Euro in diesem Jahr) gegen illegale Downloads vorzugehen und Nutzern bei wiederholten Verstössen sogar den Internetzugang zu sperren. TMG ist in Frankreich als einzig autorisiertes Unternehmen dafür zuständig, im Auftrag der Rechteinhaber die P2P-Netzwerke zu überwachen und verdächtige IP-Adressen rauszufischen.

Der Blogger und IT-Sicherheitsexperte Olivier Laurelli aka Bluetouff hat am 13. Mai aufgedeckt, dass seit letzten Samstag die von TMG gespeicherten Daten ungeschützt auf einem Server liegen: die Überwachungstechnik, ein Passwort, unzählige IP-Adressen, Listen heruntergeladener Werke und überwachter Filme. Die komplette Liste gibt es hier im Pastebin, sie enthält interessanterweise auch Filme mit englischen Originaltiteln. TMG scheint aber auch vollkommen unnütze Informationen zu speichern, wie z.B. über Michael Jackson-Bildschirmschoner, die wohl durch verdächtige Titel automatisch in die ihre Listen gelangten. Bei den IP-Adressen handelt es sich in den meisten Fällen um ausländische (schwedische, italienische, amerikanische…) Adressen.

In einer heutigen Pressemitteilung erklärte TMG, dass die Daten nicht sonderlich geschützt wurden, da es sich um einen Testserver handelt, auf dem keinelei vertrauliche Informationen liegt. Laurelli bestätigt jedoch, dass er auf dem Server ausser den IP-Adressen und Hashs auch eine Kopie des Überwachungsprogramms von TMG gefunden hat.

Auch dem Online-Magazin Numerama wurden am Wochenende 5 342 Dateien vom TMG-Server zugespielt, unterzeichnet war die Nachricht war mit Anonymous France. Das Magazin konnte in einem kurzen Versuch mittels einer IP-Adresse herausfinden, dass ein Abonnent des französischen Anbieters Orange in Marseille am 14. Mai 2011 um 8:43 Uhr den Animationsfilm Hop heruntergeladen hat.

Jedenfalls waren nicht einmal illegale Aktionen oder technisches Verständnis nötig, es reichte angeblich ein Brower und die IP-Adresse des Servers. Bluetouff bleibt daher skeptisch und spricht von einem „honeypot“ (Honigtopf). Hadopi hingegen nimmt die ganze Sache „sehr ernst“. Heute nachmittag erklärte der Hadopi-Generalsekretär Eric Walter via Twitter, dass die Verbindung zu TMG erst mal auf Eis gelegt wird: Eine Pause der Three-Strikes-Regelung in Frankreich kommt aber laut Hadopi nicht in Frage, es sei denn die Datenschutzbehörde CNIL widerruft die Zulassung der TMG.