arkadesOrg/a-trust-leak

Österreich E-Government Leak

Im folgenden wird erklärt, dass ca. 1Mio über 1.7Mio personenbezogene Daten von österreichischen Bürgern öffentlich zugänglich sind.

Kleiner Datenauszug kann hier gefunden werden.

Anmerkung: Dieser Auszug ist aus einem kleinen Datenbestand von 100,000 Personendaten. Aus Datenschutzgründen wurde nur die Domain der E-Mail Adresse hochgeladen - siehe auch Welche Daten sind öffentlich?

Update 25. August 8:45 Uhr

Nein, die folgende Einstellung "In Suchergebnissen erscheinen" hilft nicht... Bug?

Update 24. August 21:03 Uhr

Der Dump selbst benötigt seine Zeit.

Eine kleine Zwischenbilanz: Die vorherige Schätzung von ca. 1Mio beruhte darauf, dass die Angabe der A-Trust korrekt sei und nur Handy-Signaturen vor Mai 2018 von einem offensichtlichen Opt-Out betroffen sind.

Der jetzige Stand des Dumps ist bei ca. 1.7Mio und zählt weiter rauf...Das wird nicht mehr lustig.

A-Trust: Hier benötigt es dringend Aufklärung. Wie viele personenbezogene Daten habt ihr im LDAP gespeichert?

Update 24. August 20:49 Uhr

Frage:

Antwort: Leider nicht genug, ca. 110 Zeilen Golang.

Update 24. August 20:38 Uhr

Leider geht die Diskussion um das Problem hier verloren. Für das Verfahren der Handy-Signatur ist es NICHT notwendig, dass personenbezogene Daten, wie Vorname, Nachname, Geburtsdatum, oder E-Mail Adresse in ein "öffentliches Verzeichnisdienst" veröffentlicht werden müssen.

Das bestätigt auch die A-Trust mehrmals. Zuletzt in der Presseaussendung.

Danke an @Sarah Kriesche für die Aufklärungsarbeit auf Twitter.

Folgende Threads auf Twitter, um euch zu vernetzen:

• https://twitter.com/SarahKriesche/status/1430224377656795138
• https://twitter.com/SarahKriesche/status/1430205395943964672

Das Thema wurde auch an die Leute von Noyb weitergeleitet.

Update 24. August 18:16 Uhr

Wer sich aus dem Verzeichnisdienst entfernen lassen möchte, sollte dies über die E-Mail servicecenter@a-trust.at machen.

Anrufe kosten € 1,09/min.

Update 24. August 17:48 Uhr

Gefragt, wie man auf den LDAP Server zugreifen kann:

ldap://ldap.a-trust.at mit einem LDAP Browser, wie z.b Apache Directory Studio oder JXPlorer

Die Daten lassen sich am einfachsten mit einem Skript dumpen.

Bis jetzt noch keinen Treffer (ca. 5.000 Tests durchgeführt) aus den 250.000 E-Mail Adressen aus dem LDAP auf https://haveibeenpwned.com/ gefunden...

Update 24. August 17:20 Uhr

Einige Fauxpas der A-Trust lassen sich schön auf dem Blog von Martin Leyrer lesen.

Update 24. August 15:27 Uhr

A-Trust erwähnt in ihrer Stellungnahme, dass:

Bei der Aktivierung der Handy-Signatur wurde die Aufnahme des Zertifikats von Beginn an als Opt-In Verfahren eingerichtet, eine automatische Aufnahme ist hier zu keinem Zeitpunkt erfolgt. UserInnen mussten aktiv ein optionales Häkchen aktivieren, um das Zertifikat in den Verzeichnisdienst aufnehmen zu lassen.

Die Kommentare auf Reddit und dem Futurezone Artikel zeigen jedoch verärgerte User, die sich nicht daran erinnern eine derartige Option aktiviert zu haben.

Wenn man die untenstehenden Updates verfolgt, dann drehen wir uns im Kreis. Anfangs hieß es, dass

Seit Einführung der DSGVO (Mai 2018) haben wir standardmäßig nicht mit aufgenommen, [...]

Gut, davor hat die A-Trust es standardmäßig aufgenommen - d.h. Opt-Out Verfahren. Widerspricht sich dann aber wieder mit der Aussage oben, dass von Beginn an als Opt-In Verfahren eingerichtet. Zudem finden sich immer mehr User, die trotz einer Registrierung der Handy-Signatur nach Mai 2018, im öffentlichen Verzeichnisdienst eingetragen worden sind (anscheinend ohne deren Zustimmung).

Damage Control Broken?

Update 24. August 14:45 Uhr

Futurezone Artikel von Barbara Wimmer veröffentlicht.

Update 24. August 10:30 Uhr

A-Trust bestreitet den Vorwurf, dass es ein Opt-Out gab. Ihre E-Mails von gestern sagen etwas anderes:

E-Mail 1:

[...] darum werden neue Handy-Signaturen auch gar nicht mehr (Anmerkung: ins öffentliche Verzeichnisdienst) aufgenommen.

E-Mail 2:

Seit Einführung der DSGVO (Mai 2018) haben wir standardmäßig nicht mit aufgenommen, [...] – seit ca. einem Jahr gibt es die Möglichkeit gar nicht mehr.

Update 23. August 14:44 Uhr

Reddit Diskussion gestartet - hier zu finden.

Wer ist hierfür verantwortlich?

Die personenbezogenen Daten werden von der Firma A-Trust Gesellschaft für Sicherheitssysteme im elektronischen Datenverkehr GmbH (kurz A-Trust) durch deren Produkte (Handy-Signatur, Bürgerkarte) gespeichert.

Wer ist davon betroffen?

Bürger, die einer der folgende Produkte der A-Trust verwenden:

• Handy-Signatur (https://handy-signaturkonto.at)
• Bürgerkarte (https://bürgerkarte.at)

Weiters sind MitarbeiterInnen von folgenden Einrichtungen/Firmen betroffen:

• Personendaten des VwGH, VfGH, AK, WKO, OeGK, u.v.m.
• Personendaten der Bundeslandesregierungen
• Personendaten der Polizei
• Personendaten von MitarbeiterInnen von mehreren tausend Firmen:
  • ÖBB
  • Raiffeisen Gruppe
  • Bawag
  • Erste Bank Gruppe
  • UniCredit
  • OMV
  • Post
  • A1
  • ...
  • div. KMUs

Welche Daten sind öffentlich?

• Vorname
• Nachname
• Geburtsdatum
• E-Mail Adresse
• Einrichtung/Firma/Branche
• Verwendete A-Trust Produkte
• Sicherheitszertifikat (Public Key)

Geburtsdaten oder E-Mail Adressen sind freiwillige/optionale Angaben. Falls diese bei der Beantragung nicht angegeben wurden, sind diese Felder auch nicht Teil des Datenbestands.

Handelt es sich hierbei um ein Leak?

Aus der Perspektive der A-Trust ist der Zugang der o.g. personenbezogenen Daten in deren IT-Architektur vorgesehen.

Jedoch wirft das Lesen der Datenschutzerklärung und Websiten der A-Trust einige Fragen auf, die für die Kunden der A-Trust täuschend sind und nicht der Realität entsprechen.

Auf der A-Trust Website wird auf die Sicherheit der personenbezogenen Daten verwiesen:

Zitat aus der Website der Bürgerkarte (A-Trust Produkt):

Die Personenbindung der Handy-Signatur beinhaltet ebenso Vorname, Nachname, Geburtsdatum und Stammzahl. Die Daten der Handy-Signatur werden in einem Hochsicherheits-Server gespeichert und nur bei Bedarf abgerufen.

Die Datenschutzerklärung erwähnt ausdrücklich, dass personenbezogene Daten nicht weitergegeben werden. Dennoch widerspricht der Aufbau der IT-Systeme diese Aussagen.

Zitat aus der Datenschutzerklärung der A-Trust:

Bei Verwendung des Verzeichnisdienstes

A-Trust bietet die Webanwendung Verzeichnisdienst an, mit dem überprüft werden kann, ob eine durch Eingabe von Vor- und Nachnamen/Email/UniqueID/Zeritifikatsseriennummer identifizierte Person Inhaberin eines A-Trust Zertifikates ist.

A-Trust verarbeitet diese Daten, neben Ihrer IP-Adresse und dem Zugriffszeitpunkt, ausschließlich zum Zweck der Ausgabe etwaiger Zertifikatsinhaber. Diese personenbezogenen Daten werden nicht weitergegeben.

Das Resultat der Verzeichnissuche erhält ausschließlich der konkrete Nutzer des Verzeichnisdienstes.

Fakt ist jedoch, dass die o.g. Daten ungesichert für jede Person mit Internetzugang zugänglich sind.

Wie gelangt man zu den Daten?

Die personenbezogenen Daten sind auf einem OpenLDAP Server, der auch innerhalb der Produktdokumentationen der A-Trust an mehreren Stellen erwähnt wird, gespeichert. Dieser Server ist ohne Sicherheitsvorkehrungen in der DMZ erreichbar.

Mit Sicherheitsvorkehrungen sind folgende Punkte gemeint:

• Keine Authentifizierung
• Keine verschlüsselte Übertragung via TLS
• Keine Rate-Limits per IP
• Keine Konfigurationen, die das Herunterladen der Daten verhindern

Es kann daher nicht davon ausgegangen werden, dass die personenbezogenen Daten auf einem "Hochsicherheits-Server" gespeichert werden.

Der "Hochsicherheits-Server" wird wahrscheinlich für die Speicherung von Private Keys der Zertifikate verwendet und nicht für die persönlichen Informationen.

Laut Dokumentation wird folgendes erwähnt (Anmerkung: Das ist A-Trust Sicherheitskonzept für die Absicherung des o.g. LDAP Servers):

Um Trivialsuchen und missbräuchliche Verwendung zu verhindern, wird der LDAP Server mit einem Timelimit und Sizelimt betrieben.

Bitte zu beachten, wenn eine Abfrage länger als 300 sec dauert oder die Anzahl der Treffer 200 übersteigt, wird eine entsprechende Fehlermeldung zurückgegeben.

In anderen Worten:

Hier ist ein Buch, bitte nur Seite für Seite lesen.

Die Limitierung der zurückgegebenen Treffer des LDAP Servers verhindern nicht, dass eine Person mittels mehrere Anfragen das LDAP Verzeichnis durchiterieren kann.

Wurde die A-Trust in Kenntnis gesetzt?

Die Antwort der A-Trust hat mich dennoch interessiert, was mit der o.g. "Verhinderung von Missbrauchen" gemeint ist und welche Sicherheitsvorkehrungen getroffen werden zwecks dieser Personendaten. Die Antwort war:

Bei dem Service LDAP handelt es sich um ein öffentlichen Verzeichnisdienst, in dem natürliche Personen bei der Aktivierung ihres qualifizierten Zertifikates die Option haben anzugeben, dass ihr öffentliches Zertifikat veröffentlicht werden soll oder nicht.

Der öffentliche Verzeichnisdienst ist nicht gesichert, da er öffentlich ist und die natürliche Person angibt, ob es gewünscht ist, dass das Zertifikat veröffentlicht wird, oder nicht und nachträglich die Option hat die Entscheidung der Veröffentlichung wieder rückgängig zu machen.

Gefragt, mit welchen Konsequenzen man rechnen müsse, wenn man nicht im "öffentlichen Verzeichnisdienst" erscheinen möchte, wird wie folgt geantwortet:

So gut wie keinen, darum werden neue Handy-Signaturen auch gar nicht mehr (Anmerkung: ins öffentliche Verzeichnisdienst) aufgenommen.

D.h. man hat mit einem IT-Konzept begonnen:

1. wo die A-Trust personenbezogene Daten veröffentlicht
2. herausfindet, dass dies doch nicht notwendig ist
3. und die alten Handy-Signaturen, die nach einem Opt-Out Verfahren veröffentlicht worden sind, nicht aus dem Verzeichnis entfernt.

Interessant...

Werden die personenbezogenen Daten von dir veröffentlicht?

Nein, ich habe kein Interesse an der Speicherung, Veröffentlichung o.ä.

Die Daten sind seit mind. 2016 öffentlich zugänglich.

Schlusswort

Die A-Trust mit dem Slogan: "Einfach Sicher" erweckt bei mir kein Vertrauen.

Man könnte sagen: Nomen est Omen. A-Trust (gelesen: A Minus Trust).

Die Dokumentationen, Datenschutzerklärung, AGB und die Aussagen der leitenden Angestellten der A-Trust widersprechen sich zutiefst.

Einerseits erwähnt man, dass die A-Trust personenbezogene Daten nicht an Drittländer weitergibt (aktiv). Auf der anderen Seite wird dies durch ein "öffentliches Verzeichnis" ermöglicht (passiv).

Die Dokumentation des "LDAP Servers" erwähnt Maßnahmen, die eine "missbräuchliche Verwendung" verhindern. Die Realtität sieht jedoch anders aus.

Die Geschichte der A-Trust zeigt:

• Lockere Vergabe - BMF Dienstausweise 2006
• Panne bei Handysignatur - Namen von Dokumenten einsehbar
• Unprofessionelles Vorgehen bei der Eintragung in Firefox
• Firefox dank A-Trust nicht für e-Government geeignet
• Privilegien der Windows User
• Unverhältnismäßige Preisgestaltung

Wieso wir einen wichtigen Bestandteil unserer E-Government an eine private Firma ausgelagert haben, ist eine andere Frage.

Was ist das Ziel?

Awareness. Hier ist man mit Personendaten fahrlässig umgegangen.

• Die A-Trust muss in der Datenschutzerklärung oder in den AGB explizit auf die Eintragung von personenbezogenen Daten in ein öffentliches Verzeichnisdienst hinweisen.
• Die Aussage, dass personenbezogene Daten auf "Hochsicherheits-Servern" liegen, aber dann auf einem einfachen OpenLDAP Server öffentlich bereitgestellt werden, kann als schäbiger Marketingspruch abgetan werden.
• Die Widersprüche, dass personenbezogenene Daten an unbefugte Personen/Organisationen/Drittländer nicht (aktiv) weitergegeben werden, aber unbefugte Personen/Organisationen/Drittländer in der Lage sind diese einfach herunterzuladen, ist fahrlässig.
• Die A-Trust hat zu Beginn ohne einen Grund, via Opting-Out, Personendaten ins öffentliche Verzeichnisdienst eingetragen.

Bin ich davon betroffen und was kann ich tun?

Mein Professor meinte immer: In die Hände spucken und lachen.

Die Webapplikation Verzeichnisdienst ist unter folgende URL zu erreichen: https://www.a-trust.at/Verzeichnisdienst/ Der LDAP Server ist unter folgender URL zu erreichen: ldap://ldap.a-trust.at:389

Betroffen

Betroffene, die vor Mai 2018 eine Handy-Signatur beantragt haben, können einen Antrag auf Löschung aus dem Verzeichnisdienst schriftlich bei der A-Trust einreichen.

Nicht Betroffen

Handy-Signaturen, die nach Mai 2018 beantragt wurden, werden nicht ins öffentliche Verzeichnisdienst eingetragen.

---

Für die Statistik: Mit Stand Mai 2018 gab es ca. 1Mio eingetragene Handy-Signaturen, die automatisch ins öffentliche Verzeichnisdienst eingetragen worden sind.