Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de
Ein Logbuch:Netzpolitik Spezial zum BogusBazaar
Heute begrüßen wir wieder einmal kantorkel in unserer Runde, da er in den letzten Monaten fleissig Datenklempnerei betrieben hat und ein paar Datenlecks untersucht hat. Am Ende der Recherche stand die Aufdeckung eines riesigen Netzwerks von Fake Shops, die im Netz im großen Stil Luxusgüter feilbieten und die von den Bestellern überwiesenen Zahlungen aber nie mit entsprechenden Lieferungen beantwortet haben. Wir reden darüber, wie kantorkel der Sache auf die Spur gekommen ist und wie diese Netzwerke intern funktionieren und wie schwierig es ist, diesen das Handwerk zu legen.
Dazu gibt es noch etwas Feedback und ein Bonus Datenleck der Gamescom.
https://logbuch-netzpolitik.de/lnp492-oelverschmierte-haende
Veröffentlicht am: 9. Mai 2024
Dauer: 1:34:35
Logbuch, Netzpolitik, Nummer 492 vom Vatertag. Vom Tag der Heirenhandtasche. Da möchte man doch gleich shoppen gehen, aber hat alles zu. So, ja, kann ich nur noch online kaufen, weil die Läden dicht haben. Das ist das Problem. Deutschland ist einfach umsatzfeindlich, da läuft nichts. Kann ich nicht jetzt hier einfach so im freien Tag nutzen und einfach mal in die Shopping-Mall latschen. Nix da.
Ich habe in letzter Zeit, nicht nur ich, sondern auch unser Sendungsgast, den wir noch nicht vorgestellt haben, haben verwechselt in der Vorbereitung auf diesen Tag, dass heute Vatertag ist und nicht Frauentag. Und das ist ja ein total dummer Versprecher, wenn du sagst, ja, dann ist ja Frauentag, ach nee, Vatertag, was so die beiden, ich glaube, so die komplette kulturelle Gegensätze sind. Kampftag der Frau und Bollerwagen-Sauftag zu verwechseln ist halt einfach.
Ja, richtig mit Prozenten und so. Ach ja. Ja, jetzt sagen wir erstmal Hallo. Hallo, Herr Torkel. Herzlich Willkommen. Du warst ja schon mal da bei uns. Das war, welches LNP war das noch gleich? Das war 422 Bundesverdienstcoin, hieß es da. Und da hast du schon über Hackereien berichtet. Kleiner Spoiler, das machen wir heute auch wieder. Deswegen bist du hier.
Die Bundesverdienst-Coin-Folge, wir haben über mehrere Hacks gesprochen, unter anderem, dass du diese Münze hast von der Bundeswehr, die mich immer wieder, das bringe ich in Gesprächen öfter an, aber dieser Bundesverdienst-Coin war ja die Münze von der Bundeswehr, weil du bei der Bundeswehr mehrere Schwachstellen gemeldet hast und dann hast du eine Münze gekriegt. Mit der man nicht bezahlen kann. Eine Ehrenmünze, ne? Am Band.
Nachdem du bei uns in der Sendung warst, war glaube ich eure Forschung zur Biometrie in Afghanistan, die war danach, oder? Die haben wir nur behandelt, aber warst du dazu nochmal in der Sendung? Da ging es um die Biometriegeräte, also wir haben es hier behandelt, die Biometriegeräte, die das US-Militär in Afghanistan zurückgelassen hat, die die Datenbank mit den, biometrischen Daten auf den Geräten hatten und die fand man dann auf Ebay. Aber das war ja auch geil. Der war sechs Monate später. Das war irgendwie sechs Monate nach eurem Vortrag, dass er euch gebeten hat, die doch mal zu schicken, weil sie es jetzt doch untersuchen. Da war es schon ungefähr ein Jahr her, dass ihr Bescheid gesagt habt oder dreiviertel Jahr. Und dann sind die Dinger ja zurückgekommen, weil die die nicht aus der Packstation abgeholt haben. Geil. Also US-Militär kann auch noch nicht mal irgendwie ein Paket sich zuschicken lassen und abholen. Also da sind die, zumindest in Deutschland, sehr deutsch. Nee, nee, ich krieg euch das mit der Post. Er hat uns gebeten, ob ich ihm das geben kann. Er würde mich auch zu Hause besuchen. Voll freundliche Bitte.
Genau das waren Dominik Kantorkel und ich über die Obtainerei bei unterschiedlichen Gruppierungen aus dem Ransomware-Umfeld. Da hatten wir ja auch einen Threat-Actor infiltriert, der offenbar Ransomware ausgerollt hat. Wir haben auch ein bisschen über die Disclosure-Sachen gesprochen, die du gemacht hattest. Disclosure, Hack und Back hieß der Vortrag.
Also ein Threat Actor ist eine benennbare Gruppierung oder Person, die Häckereien, Obtainereien macht. Also beispielsweise was weiß ich, APT 28, den, dass er der City wieder unterstellt wird, sie hätten die SPD mit einem Outlook-O-Day aufgemacht und nichts Besseres zu tun gehabt, als die E-Mails von Kevin Kühner zu lesen. Aber in dem Fall, der war glaube ich für Bian Lian, die Ransomware-Gang, aktiv. Sorry, habe ich Threat-Actor gesagt. Über den haben wir ja Threat-Intelligence gesammelt. Threat-Intell.
Also ich habe ja den Hirnehacken 2.0 mit Kai Biermann gehalten, den Vortrag beim Kongress, beim aktuellen Kongress, wo wir über Ransomware-Verhandlungen und die Threat-Actor gesprochen haben, die unterschiedlichen. Außerdem hat der Tobias Müller den Vortrag gehalten über den Decryptor für Blackbuster. Blackbuster ist auch eine Ransomware-Gang. Und dann hatten wir diesen Disclosure Hack und Back und das war so eine Serie über man setzt sich mit den Threat-Actors auseinander, bereist, besucht mal deren Systeme, obtaint und geht wieder.
Ja, genau. Wir haben Feedback bekommen. Sehr viel Feedback. Unsere Einlassungen zu Humor haben zu einigen humorvollen Kommentaren geführt und einigen weniger humorvollen. Die könnt ihr gerne nachlesen. Ich denke, die demonstrieren in der Breite die Kommentare sehr gut, worüber wir gesprochen haben. Wir haben in der letzten Folge auch darüber gesprochen, dass unsere Freunde aus Österreich, die Organisation Neub, ja mit Datenschutzrecht Beschwerden über OpenAI macht, spezifisch, weil dort Geburtsdaten falsch wiedergegeben werden. Und dazu kommentiert Wiebke. Angriff nimmt. LLM speichern allerdings keine vollständigen Datensätze mit personenbezogenen Daten. Da steht also nicht, Tim Pridloff ist am so und sovielten geboren. Was ja sehr schön bei der letzten Folge, was tatsächlich falsch war. Hast du jetzt auch verklagt, oder?
Kann man online was für dich bestellen. Tim Prillaf ist am Sohn zu schicken geboren. Stattdessen werden einzelne Tokens gespeichert, die nicht zwangsläufig ganze Wörter sein müssen. Wie LLMs Sätze in Tokens runterbrechen, wissen meines Wissens selbst die Programmierer nicht. Zudem wird gewichtet, wie wahrscheinlich bestimmte Tokens in der Nähe voneinander auftreten. Diese Kombinationen aus Tokens und Wahrscheinlichkeiten sind an sich keine personenbezogene Daten. Aus ihnen lassen sich über personenbezogene Daten mit einer gewissen Genauigkeit oder Fehlerhaftigkeit rekonstruieren. Das wird eine Herausforderung für die Richterinnen, denn nun ist doch die Frage, ob die DSGVO überhaupt anwendbar ist. Eine weitere Herausforderung wird, dass bei der Verarbeitung von personenbezogenen Daten ihre Korrektheit sichergestellt werden muss. Auch das steht in der DSGVO. Ein halluzinierendes LLM ist da nicht vorgesehen. Das könnte man eigentlich grundsätzlich sagen, sondern einfach nicht vorgesehen. Hinsichtlich der DSGVO spielt übrigens keine Rolle, ob die genutzten Daten auf Webseiten öffentlich verfügbar sind oder nicht sobald sie gesammelt oder verarbeitet werden handelt es sich um eine Verarbeitung, für die ein Rechtsfertigungsgrund benötigt wird. Bei LLMs ist das das berechtigte Interesse der Anbieter, also OpenAI und Co. Wie bereits von anderen angemerkt, muss dafür eine Abwägung zwischen den Interessen der Betroffenen und den Verarbeitenden stattfinden. Ob die Daten in LLM in Binärcode oder menschenlesbarem Format gespeichert sind, ist ebenfalls unerheblich. Es ist möglich, menschenlesbare Daten hineinzugeben und auch wieder herauszuholen. Das Speicherformat wird bei den TUM, technischen und organisatorischen Maßnahmen, relevant. Es hat aber keinen Einfluss darauf, ob die Verarbeitung erlaubt ist. Wiebke, ich glaube, du bist juristisch gebildet Nein, aber es ist ja sehr gut wiedergegeben und bevor jetzt bevor wir jetzt wieder Kommentare bekommen weil in den drei Sätzen von Wiebke die, Funktionalität eines LLM nicht 100% in allen Details wiedergegeben wurde können wir nochmal es gab da so einen sehr guten Vortrag beim Kongress von einer, Forscherin in dem Bereich. Mir fällt gerade ihr Name nicht ein, aber den nehmen wir mit in die Shownotes auf.
Ja, der war super. Den verlinken wir nochmal für Leute, die sich darüber aufregen. Zum gleichen Thema. Stefan Tesing sagte zu eurer Diskussion über Datenschutz und LLMs. Ich meine, wie fast immer, wenn ihr euch nicht einig seid, mal wieder beobachtet zu haben, dass ihr auf zwei verschiedenen Ebenen argumentiert habt. Linus-Argumente bewegen sich im Wesentlichen auf der ersten Ebene. Ich würde sagen, auf der oberen Ebene. Auf der Meta-Ebene oder was? Nee, die Meta-Ebene gehört dir. Okay, ist in Ordnung. Ich bin auf der ersten Ebene, du bist auf der Meta-Ebene. Wenn Technologiebedingungen verändert, hören Gesetze selbstverständlich nicht auf zu gelten. Tim argumentiert eher auf der Meta-Ebene, auf welche Weise Gesetz und Verortungsgeber, rechtliche Regeln den neuen Gegebenheiten anpassen sollten. Auf dieser zweiten Ebene ist natürlich mehr los. Sinnvoll ist es hierbei, sich Gedanken darüber zu machen, welche Interessen der Allgemeinheit das ursprüngliche Gesetz schützen sollte, um es dann entsprechend zu reformieren. Das geht gerne mal schief, hatte Wiebke ja auch gesagt. Das Urheberinnenrecht wurde ursprünglich eingeführt, um Autorinnen vor der Ausbeutung durch jene zu schützen, die eine Druckerpresse besitzen. Das Interesse der Allgemeinheit war, wenn Autorinnen vor Ausbeutung geschützt sind, bekommen wir mehr Werke. Als das Internet um die Ecke kam, wurden die rechtlichen Regeln leider nicht so reformiert, dass Autorinnen und Allgemeinheit weiter vor der Ausbildung durch Verlagshäuser und andere Rechteverwerter geschützt wurden, sondern die Geschäftsmittel der Rechtsverwerter wurden vor den neuen Möglichkeiten geschützt, die Autorinnen und der Allgemeinheit nun zur Verfügung standen. Das ist, finde ich, eine sehr gute Zusammenfassung. Hat natürlich gerade mit dem Thema, zu dem Stefan sich hier äußern wollte, überhaupt nichts zu tun, weil wir ja eigentlich über Datenschutz sprechen. Aber gut, gut Stefan. Regelungen zum Datenschutz sowie einzelne Regelungen wie das Recht am eigenen Bild sind dazu ersonnen worden, die allgemeinen Persönlichkeitsrechte der Bürgerinnen vor unangemessenen staatlichen Maßnahmen sowie ökonomischer Ausbeutung zu schützen. Anpassungen der rechtlichen Regelungen sollten daran gemessen werden, inwiefern sie diesen Zielen dienen. Ihr kamt ja aber auf das Thema über die Frage, wie die Klage von Neub zu bewerten ist. Hier kann man meines Erachtens festhalten, dass sie auf der ersten Ebene klagen, um auf der zweiten Ebene sinnvolle Änderungen zu erzwingen, bevor Gesetz und Verordnungsgeber das geltende Recht so verschlimmbessern, wie es Anfang der 2000er mit dem Urheberrecht geschehen ist. Ja, finde ich eine super Perspektive.
Ja gut, verarbeiten ist ja in dem Moment dann auch eine sehr allgemeine Bezeichnung für, wir nehmen die Daten einmal und schmeißen sie irgendwo gegen die Wand. So, das ist dann sozusagen schon Verarbeitung. Da kann man sich natürlich dann jetzt auch über diesen Begriff etwas streiten, ob das schon ausreichend verarbeitend ist, weil man könnte fast argumentieren, dass sie sich die Daten ja noch nicht mal richtig anschauen. Also sie reißen das ja irgendwie nur so aus Zeichenketten irgendwie, also die Daten werden nicht als solche genommen, also sie werden nicht als Datum genommen und dann irgendwie in das System gebracht, sondern einfach nur so als Zeichenketten und dann wie gesagt einfach an die Wand geschmissen und am Ende ist das Muster, was die ganzen Farbkleckse ergeben, das ist dann sozusagen die Nahrung, von der sich dieses System ändert.
Also da würde ich dir auch voll zustimmen und das ist auch ein gutes Beispiel für, wo die Daten ja explizit als solche in das System eingeführt werden. Also es wird ja explizit ein Bild von einem Gesicht gesucht und als solches abgespeichert. Es wird dann KI-Methoden für den Vergleich, für die Suche verwendet.
Naja, sie werfen das dann halt in ihr Model, um darin zu suchen. Aber in dem Moment, wo sie die Daten aus dem Netz extrahieren, extrahieren sie ja explizit ein Gesicht. Und auch in dem Moment, wo sie die Anfrage des Nutzers bedienen, liefern sie auch explizit genau das. Das ist mit diesem Geburtsdatum auf beiden Seiten nicht der Fall, sondern es ist eher ein Zufall.
Ja, ich meine, es ist so, als ob du nach einem Gesicht suchst und dann kriegst du irgendwie einen 3D-Modellplan vom Spielzeugauto oder sowas. Also klar, es bleibt schwierig hier mit der Definition, aber das sind für mich zwei Beispiele, wo ich eher sagen würde, daran kann man schon auch klar machen, was das eine ist und wo die DSGVO auf jeden Fall greifen sollte. Also bei Pim A ist ich voll dabei, aber halt bei diesen allgemeinen LLMs eher nicht. Naja.
Ich meine, bei den LLMs ist es ja so, wenn du halbwegs zuverlässige Daten bekommst, also die eine hohe Wahrscheinlichkeit haben, dass sie auch stimmen, dann, weil mehr oder weniger das ganze Internet diese Informationen an sehr vielen Orten ohnehin bereithält. Und dann ist es halt immer schwierig. Darf ich das Geburtsdatum von Thomas Gottschalk der Welt verkünden? Die Welt weiß das schon. Das ist halt einfach kein Geheimnis mehr in dem Sinne.
Und letztes Mal war es glaube ich irgendwo im Oktober, ich schaue mal kurz, 2. Oktober, aber immerhin, jetzt als ich das eben nochmal gefragt habe, wurde ich auch explizit, Nicht nur mit Tim Pridloff hat am 6. Dezember Geburtstag, sondern die Antwort lautet Tim Pridloff, der deutsche Podcaster und Medienkünstler.
Mein Lieblingskommentar war zur Bezahlkarte von Lipfi Ich versuche das mal auch so mit der richtigen Intonation zu behandeln. Wir hatten ja darüber gesprochen, dass die Bezahlkarte an Geflüchtete ausgegeben werden soll, mit dem erklärten Ziel zu verhindern, dass diese Bargeld haben. Wir haben den Sinn dieses Ziels ohnehin schon in Frage gestellt. Lipfi schreibt nun, Bezahlkarte ist super dumm, kaufst halt einfach Klamotten, gibst sie instants zurück, weil sie nicht passen, bam, Bargeld. Und jetzt, die glauben Wir glauben echt, dass Menschen, die durch die Hölle gegangen sind, sowas juckt. Ich glaube, damit ist das Thema auch abschließend erörtert. Bäm, Bargeld. Oder verkaufst du die Leute. Es ist wirklich relativ unwahrscheinlich, dass es Leuten gelingt, Leute von Bargeld fernzuhalten.
Ja, vielleicht wird das noch Bezahlkartefluch oder Segen, ja Vielleicht können die sich damit dann doch mal eine Existenz aufbauen, Okay Dann, damit wären wir, glaube ich, bei unserem Hauptthema oder wollen wir noch über die Gamescom vorher sprechen Warst du schon mal bei der Gamescom? Bisher nicht Ich auch nicht. Tim, warst du mal bei der Gamescom?
Gib die mal chat, GPT. Das ist natürlich schade für die Gamescom und ihre betroffenen Personen. Und somit wären wir beim nächsten Datenleak und zwar hast du seit längerer Zeit mit mehreren Leuten, die nicht alle genannt werden wollen, dich mit einer Online-Shop-Infrastruktur auseinandergesetzt. Und ich erinnere mich, dass wir nach unserem Camp-Vortrag, also irgendwie im August, haben wir mit Kai Biermann von Zeit Online gesprochen, also glaub du kurz, ich danach noch ein bisschen länger und danach irgendwie ein bisschen gesprochen und diese Daten, auf die du da Zugriff hattest, oder diese Systeme, die du da gesehen hattest, sorry, das hatten wir eigentlich schon wieder weggelegt. Und dann sagte Kai, weil irgendwie war unklar, was diese Online-Shop-Infrastruktur macht und wofür es die gibt. Und Kai sagte dann so, oh, das interessiert mich aber sehr, weil meine Tochter wollte Doc Martens bestellen im Internet, nur 40 Euro, Papa. Und hat dann für 40 Euro Doc Martens bestellt und hat auch genau so viel Doc Martens bekommen, wie man für 40 Euro kriegen kann, nämlich keine. Und es war so ein bisschen wie, dass irgendwie so langsam klar wurde, okay, krass, vielleicht, deswegen will jemand viele Online-Shops haben.
Und die ist dafür da, dass du, keine Ahnung, die in deine beispielsweise in deinen Daten hast und weißt, okay, wenn da jemand darauf zugreift, habe ich einen Daten- Data-Case oder in dem Fall mal gucken, was noch mit der Kreditkarte passiert, mal gucken, ob die wirklich von wem da zugegriffen wird oder sonst was. Ganz praktisches Ding. Aber die zahlt ja auch nicht, diese Kreditkarte dann, oder? Vergessen zu gucken, oder?
Und wo du im Zweifelsfall als geprellte Person sagst, wie viel Aufwand mache ich jetzt für 40 Euro? Wie viel Aufwand mache ich für 70? Für so ein bisschen... Also vermutlich wirst du nicht so viel Zeit investieren, weil du erkennst, dass du jetzt nur noch den Schaden erhöhst. Also vollständig anwendbar, vollständig nutzbar. Wie haben die die gesammelt?
Ich frage mich, ob du jetzt Kreditkartennummer erfassen und gib mir noch deinen 3-Nummern-Code und ich speichere das ab. Das ist ja das eine. Das andere ist, ob du wirklich auch eine reale, von Third-Party geleitete Transaktion hast. Aber ich glaube, da war auch Stripe teilweise mit im Spiel und Paypal. Also da ist schon auch echtes Processing gelaufen. Genau. Und warum, also was ist der Hintergrund, dass irgendwas abgelehnt wird? Also wer lehnt das dann ab? Dieser Webshop selber oder irgendwelche Zahlungsdienstleister?
Meine Vermutung ist, also du korrigierst mich, also normalerweise, wenn du jetzt in einem legitimen Online-Shop eine Order machst, der darf deine Kreditkartendaten gar nicht annehmen und erst recht nicht speichern. Deswegen werden die meisten dich, um die PCI-DSS-Pflichten zu umgehen, Payment Card Industry Data Security Standard, darfst du zum Beispiel den CVC speichern, ist schlecht. Aber, Damit sie diese ganzen Vorgaben umgehen, gibt es diese ganzen Payment-Anbieter. Also theoretisch könnte ja auch jeder einfach sagen, alles klar, ich werde Kreditkarten-Anbieter. Aber die nutzen halt dann Stripe, schicken dich da hin und Stripe regelt diesen Kram für dich. Die sehen also diese Kreditkarten gar nicht und können damit gar nicht in Kontakt kommen, weil du die direkt an Stripe sendest. So wie ich das hier verstanden habe, machen die ganz einfach etwas, was wie ein Payment-Interface aussieht, damit du deine Kreditkartendaten eingibst, speichern die und sagen, hat nicht geklappt, probier nochmal. Und fürs zweite Mal schicken sie dich zum richtigen Payment-Interface.
Als du das selber, als ihr diesen Testkauf gemacht habt mit dieser Canary-Card, wie ist da konkret, also seid ihr da auch zu Stripe noch weitergeleitet worden? Also hast du dann sozusagen deine Karte bei Stripe angegeben oder nur so hinterlassen? Ah, okay, also ihr habt letztlich gar nichts bezahlt.
Ja, oder irgendwelche TikTok-Shops oder so, da hast du ja dann mittlerweile irgendwelche hampeligen Influencer, die dir das dann halt auch direkt in die Fresse werfen. Wenn ich das richtig sehe, sind aber das jetzt keine oder mehrheitlich zumindest nicht jetzt neue, wirre Domains, die irgendwie sind, genommen worden, sondern die haben dann explizit auslaufende Domains abgewartet und aufgekauft und dann quasi die Reputation, die diese Domains gerade noch hatten bei Google quasi gleich mitgenutzt.
Aber allen Teilnehmern dieses Systems ist klar, es geht ausschließlich um Fake-Webshops. Also wenn du jetzt sagst, jemand nimmt diese Dienstleistung in Anspruch, dann nimmt er das wohl wissend in Anspruch, dass hier sozusagen nie irgendein Produkt verkauft werden soll, sondern dass diese ganzen Shops nur Fake sind. Okay, die dort arbeiten. Ich meine jetzt nicht, die dort arbeiten, aber wenn du jetzt sagst, es gibt jetzt jemanden, der nimmt diese Infrastruktur in Anspruch, könnte man denken, das sind jetzt Leute, die wollen einfach einen normalen Webshop aufsetzen und wissen gar nicht, dass da so eine Hintertür ist, verkaufen aber vielleicht tatsächlich wirkliche Produkte, aber das ist nicht der Fall. Also niemand verkauft da wirkliche Produkte.
Eine andere Möglichkeit, also das ist jetzt wirklich reine Spekulation, aber es gibt teilweise auch das Interesse Fake-Bestellungen halt durchzuführen. Aber dann bestellst du quasi bei einem legitimen Händler, bestellst den Kram irgendwo hin, um dann nachher im Namen dieser Person ein Review zu schreiben und zu sagen, ja geiles Produkt oder so und hier ist auch wirklich angekommen, vertrauenswürdiger Händler, 5 Sterne. Aber dann würden sie das Produkt auf jeden Fall im Zweifelsfall von Amazon oder Temu oder AliExpress oder so bekommen. Das wäre jetzt eine andere Spekulation, warum auf einmal Leute Krempel kriegen. Das ist in den USA glaube ich ein relativ verbreitetes Phänomen, dass Leute irgendwie so Billigstartikel aus China bekommen, weil Leute ihre Reputation als Merchant auf einer Plattform hochtreiben wollen. Das könnte ein anderer Grund sein, was man mit einer tatsächlichen Lieferung in Anführungszeichen Gewinn machen kann.
Ich frage mich, ob gegen diese, das ist ja auch wieder so eine Lücke, finde ich, in der Art und Weise, wie so Domain-Sales und Resales funktionieren. Dass wenn jetzt eine Domain gekündigt wird und nicht weiter fortgeführt wird, dass es dann quasi kein Meldesystem gibt, dass man sagt, diese Domain ist jetzt nicht mehr in Benutzung, die Besuchmaschinen liefert jetzt auch bitte keine Ergebnisse mehr. Vielleicht gibt es so einen Mechanismus, keine Ahnung, aber in dem Fall, da gibt es noch ein gutes Rating, kann man weiter benutzen und klar, du hast natürlich so Archive.org und so weiter, wenn Leute da nachschauen, sehen sie halt irgendwie, okay, da gab es mal was, aber für so Suchmaschinen, die wollen ja eigentlich relativ aktuell sein. Nein, das müsste meiner Meinung nach einen Mechanismus geben, dass in dem Moment, wo die Domain gekündigt wird, der Domain-Reseller mehr oder weniger die Suchmaschinen triggert und sagt.
Genau, das ist nämlich, häufig werden Domains ja auch aus dem Grund aufgelöst, weil eine Domain kostet ja nicht viel. Und wenn du noch irgendein Interesse daran hättest, dann hältst du dir ja aufrecht. Ich meine, ich würde vermuten, mehrere Personen hier im Raum haben einen Batzen an Domains, die sie noch nicht mal nutzen und bis ans Ende ihres Lebens bezahlen werden. Einmal im Jahr versuche ich so ein paar zu reduzieren und das ist dann auch immer so, oh, ja gut, aber okay, vielleicht habe ich noch 40 Jahre Lebenserwartung, sechs Domains weniger vielleicht. Vielleicht. Und, aber wenn du wirklich sagst, du cancelst das Ding, du verkaufst sie auch nicht an jemand anders, dann hast du wahrscheinlich auch einfach so ein richtiges Scheißegal, die Domain ist jetzt weg. Fuck it. Und mir ist auch völlig egal, was da irgendjemand anderes als nächstes drauf macht. Das halt. Und wollten ihre Sonnenbrille. Genau. Und, war gut?
Aber auch da sollte es wahrscheinlich auf Registrar-DNS-Verwaltungsebene so eine Art Lifetime-Record geben, dass man also wirklich so eine offizielle Meldung macht, diese Domain war im Besitz von dieser Firma von dann bis dann, auch um sich rechtlich da abzusichern. Aber auch um sozusagen eine Auskunft Teil zu sein für andere Entitäten im Internet, die das dann halt explizit befragen können und sofort wissen, okay, alles klar, diese Domain wurde da jetzt nicht mehr geführt, dann gibt es auch automatisch eine Karenzzeit, was weiß ich, also wenn die jetzt nicht explizit als im Betrieb befindlich an jemand anders weiterverkauft werden, der es weiter betreiben soll. Weil wenn man explizit sagt, wurde aufgegeben, es gibt keine Verwendung im Sinne der ursprünglichen Nutzung mehr, zack bumm, hier ist jetzt Ende. Und so ein Mechanismus existiert einfach nicht.
Ja, aber auch das würde jetzt, also das ist ein grundsätzliches Problem, wahrscheinlich nicht nur für Fake-Shops, sondern eben auch für, oh ich habe eine Domain, die ist frei geworden, also das ist so ein grundsätzliches Problem. Die Fake Shops würde man damit jetzt nicht komplett eindämmen. Denn so wie es aussieht, du hast gesagt, insgesamt haben die über 75.000 Betrieben in einem Zeitraum von? Die haben ja dann schon auch nennenswert Infrastrukturkosten. Aber eben offenbar auch schon 50.000 Domains verloren. Oder aufgegeben. Genau, über die Zeit. Und diese Shops haben sie vermutlich offline genommen, weil sie irgendwann delistet wurden? Oder gibt es, das wäre die Vermutung? Die können sich an die wenden? Haben die eine Adresse? Oder wie passiert das? Und darauf antworten die dann? Und ihr habt aber auch festgestellt, dass sie bestimmte Produkte kann man da nicht listen. Ihr hattet quasi eine Blacklist an Marken.
Aber die haben quasi dort eine, legale Entity. Die haben dort Angestellte. Die haben also ein richtiges Unternehmen. Nicht irgendwie eine Bande, die irgendwo sitzt, sondern einfach eine komplette legale Entity in China mit Angestellten und hast nicht gesehen, die zehntausende Fake Shops betreut und fertig. Ist ja auch super easy. Ich stelle mir das so vor, wenn du jetzt so eine Web-Developerin bei einem Online-Shop bist, hast du mit allem zu tun, aber sicherlich nicht mit dem Lager und sicherlich nicht mit dem First-Level-Support der Kundinnen, die sich dort beschweren. Das heißt, ich kann mir sehr gut vorstellen, dass du da die ganze Zeit so einen Online-Shop pflegst, Produkte rein und guck mal hier oben links noch ein Logo oder so und dann siehst du vielleicht auch, dass da Bestellungen eingehen und das ist alles super. Das würde ich ja zum Beispiel auch potenziell erwarten als Mitarbeiterin oder Zuarbeiterin in irgendeinem Online-Shop, dass ich da halt den Teil, der mich angeht, da kann ich dran und der, der mich nicht angeht, eben nicht. Aber, also okay, krass. Und gut, China zu dealisten ist einfach keine Beschwerde in unserer Jurisdiktion.
Also aus 80 Ländern dieses Planeten, also ungefähr die Hälfte der Länder haben das schon mal bestellt. Mehr als 100 Bestellungen. Ihr hattet auch eine Grafik angefertigt, die konzentrieren sich aber auf Europa, USA. So, jetzt sammeln, jetzt laufen da so diese Shops, irgendwo wird es dann wahrscheinlich ein Modell geben. Ich stelle mir jetzt vor, ich bin da Merchant. Also meine Aufgabe als Merchant ist dann im Prinzip dafür zu sorgen, dass ich da coole Produkte drin habe. Es gibt irgendwie so eine Standardbestückung des Stores, aber ich könnte mir vorstellen, weil es ja viel Kleidung und Schuhe, das ist ja mindestens so ein saisonales Geschäft. Das heißt, da müssen diese 25.000 zum gegebenen Zeitpunkt aktiven Stores ja schon irgendwie auch immer, nicht alles so gnädig wie Doc Martens, die seit vielen Jahrzehnten mit dem gleichen Schuh einfach antreten. Okay. Dann gab es, glaube ich, auch irgendwie so eine Art Business Analytics, die man darüber gemacht hat, um zu gucken, welcher Shop jetzt oder welches Land. Also wenn ich 25.000 Online-Shops habe, das ist ja wirklich… Ja. Und das Payment Gateway wird dann auch einfach ausgerollt. Wenn ich ein Payment Gateway habe auf das, was weiß ich, 20 Online-Shops laufen, dann ändere ich das und die 20 Online-Shops werden automatisch umkonfiguriert, jetzt auf das neue zu werfen? Also schon auch wirklich von Leuten, die ungefähr wissen, wie man sowas macht. So, jetzt... Kai schaut sich das an, teilt das mit Le Monde, teilt das mit Guardian. Guardian spricht mit Betroffenen. Kai schaut sich das Firmennetzwerk dahinter an. Was passiert denn jetzt? Ist der Server denn offline? Hat denn jemand Cloudflare Bescheid gesagt? Andere Wege auf Cloudflare? Behörden. Möchtest du sagen, in welchem Land diese Behörde? Das ist keine deutsche. Also erstmal muss man glaube ich dieses Geschäftsmodell dann doch echt mal mit Anerkennung auch irgendwie sehen, weil du machst halt so ein Kleinstverbrechen, für das am Ende niemand irgendwie, ja, also Kai Biermann ist natürlich irgendwie auch verärgert gewesen, Aber das hat jetzt die Familie nicht in Notstand versetzt, dass er 40 Euro für Doc Martens bezahlt hat. Ich meine sogar, das könnte noch ein zweites Mal passiert sein. Und aber, ne, das heißt, da gibt's dann irgendwie, ja, eine Medienkompetenzschulung für die gesamte Familie beim Kauf von Schuhen oder so, ja, aber der wird jetzt, der wird und in dem Fall, klar, ne, Kalbiermann, Investigativjournalist, der beißt sich fest und, legt diesen ganzen hängt diesen ganzen Laden draußen zum Trocknen auf, ja, aber ähm. Die meisten Leute werden sich vielleicht ärgern, sind aber in ihrer, werden nicht so viel Energie aufbringen. Und wenn du jetzt bei irgendwie bei der Dorfpolizei auftrittst und sagst, ich habe hier eine Regenjacke für 70 Euro bestellt, die ist nicht gekommen, dann sagen die im Zweifelsfall, ja, hatte ich auch schon mal, warte mal noch. Es gibt einfach überhaupt keinen Strafverfolgungsdruck irgendwo, der groß ist. Und dann kannst du das Ding auf Millionen skalieren. Du brauchst halt nur 25.000 Online-Shops. Ich muss schon sagen, dass ich da Anerkennung für habe, dass man das so hochzieht. Stripe wahrscheinlich nicht so bekannt oder vielleicht nicht allen Hörerinnen bekannt ist ein Payment Abwechslungsanbieter ich glaube einer der größten vielleicht sogar der größte vor allem.
I am a proud holder of the German Bundesverdienstcoin. Vielleicht. Aber 5000 ist ja verhältnismäßig wenig, wenn man jetzt so übliche Datenlecks anschaut. Also ein Online-Shop wird oder ein Leak ist gerne mal größer. Aber okay, die glauben dir nicht. Es gibt dann noch also ich meine am Ende sollte doch eigentlich derjenige Interesse daran haben, der den wirklichen Schaden hat. Also neben der Person, deren Geld weg ist. Jetzt hast du aber gesagt, die kriegen das potenziell von ihrer Bank zurück. Wo ich auch überrascht wäre, dass die Banken das tun. Aber wo in der Kette, wo sind denn jetzt, wo entsteht der, also ich würde sagen, größtenteils bei den Opfern entsteht der finanzielle Schaden. Dann vielleicht bei den Leuten, die denen Kreditkarten geben, also die Banken, kartenausgebenden Institute. Aber da ist es wahrscheinlich einfach schon viel zu divers, weil die über so und so viele Länder so und so viele Opfer haben, sodass bei denen kein ausreichend großer Leidensdruck entsteht. Genial. Lass uns das auch machen. Bei dieser Gelegenheit wollte ich nochmal empfehlen, LMP-Shirts könnt ihr bestellen.
Es gibt da so einen schönen Begriff in der Bankenwelt, den fand ich schon immer cool. Rentable Sicherheit. Also man macht das halt so sicher. Wie es sich rentiert. Also wenn halt irgendwie das Aussitzen von Credit Card Fraud weniger Geld kostet, als irgendwas zu unternehmen, so, dann wird halt ausgesessen. Das ist eine reine Kosten-Nutzen-Analyse.
Ich wollte nur diesen Begriff mal einfach in den Raum werfen, dass der halt so existiert. In gewisser Hinsicht ist er ja auch nachvollziehbar. Nur der potenzielle Schaden hier ist ja, dass sozusagen solche kriminellen Aktivitäten nicht runtergefahren werden. Obwohl man ja im Prinzip das sehr gut belegen kann. Ich meine, warum lehnen die dich mit 5000 Kreditkarten ab, weil sie dir nicht glauben? Du kannst sie ja hochladen, dann können sie es ja selber überprüfen.
Ich kann mir vielleicht ein bisschen außen vor gehalten. Ich glaube schon, dass ein größerer Teil der Leute, die halt irgendwie aktuelle Mode bestellen, potenziell auch jünger sind und nicht so hohe Einkommen haben und es für die dann vielleicht doch schon ein Treffer ist, wenn sie da mal um 40 Euro oder 70 Euro verarscht werden, oder? Oder genau umso nicht. So, jetzt also Google hat kein wirkliches Interesse, Cloudflare hat kein wirkliches Interesse, bei Stripe sind sie auch nicht aufgesprungen, PayPal nicht, die Banken nicht.
Die Verbraucherzentrale hat einen Fake-Shop-Finder. Ich hätte halt jetzt gedacht, okay, haben die beispielsweise eine Blacklist, die ich dann in meinen DNS-Server einbauen kann, also in meinen, wie heißt das denn hier, der DNS-Server, den eigentlich alle haben, ich will jetzt RetroPie heißen, aber der heißt ja Piehole, genau. Genau. Pi holt den klassischen hier DNS-Server, den man sich zu Hause hinstellt, mit Werbeblocken. Dann könnte ich ja auch mal die ganzen Fake-Shops dazu packen. Vermutlich verkaufen die einfach auch keine Produkte, wo ich Gefahr laufe, dass ich sie kaufe. Okay, aber wir könnten auch einfach das Ding auf GitHub hauen, in dem Format, für eine Host-File und dann... Oder wo jetzt schon wieder jemand anders einen Fake-Shop hat, das sind dann gar nicht mehr die, sondern die Konkurrenz. Ja, was war der Moment, den du am beeindruckendsten fandest? Du hast jetzt sich viele Monate on and off damit auseinandergesetzt. Und dann dahinter die Orchestrierung, die dafür sorgt, dass diese Webshops sich alle gleich sind und zentral gesteuert werden. Auf einem Server hattest du glaube ich gesagt so 200 Webshops teilweise auf einem? Ui. Warum mache ich denn unterschiedliche IP-Adressen auf den Server? Brauche ich doch heutzutage gar nicht mehr. Also ich könnte ja entsprechend... Auch mit TLS problemlos alle auf der gleichen IP laufen lassen. Okay. Gut, die werden sicherlich kein Geld verschwendet haben. Und dann, als du gesehen hast, wie viel Kohle die damit machen? Dass du online so viel bestellst.
Und hast du dir da mal irgendwie Gedanken drüber gemacht, dass du da jetzt die ganzen armen chinesischen Webdeveloper, die davon bezahlt werden, dass du denen jetzt Probleme machst? Hast du da gar kein Gewissen? Das legt sich. Also es gibt einfach viele schöne andere Länder. Seitdem ich nicht mehr in die USA reise, habe ich so viele tolle andere Länder kennengelernt. Das ist schon in Ordnung. Türkei bereise ich auch nicht mehr. Da gibt es tolle, Griechenland zum Beispiel. Okay. Ja, eine spannende Sache. Ich glaube, wir müssen noch eine Offenlegung machen. Man muss das an so einer Stelle, eine Offenlegung machen. Ja, das wäre ganz gut.
Tim hat nichts damit zu tun, ich schon. Wir haben eigentlich seitdem Kantorkel da dran ist, ist natürlich sowieso drüber geredet. Ich habe aber jetzt keine nennenswerten Beiträge geleistet, außer klugen Rat. Besonders klugen Rat eigentlich. Immer. Und wir arbeiten zusammen. Das wurde auch von unserem Arbeitgeber oder von unserer Firma entsprechend veröffentlicht.
Das ist dein Problem, wenn du dir die Arbeitszeit nicht wiederholst. Ne, klar, sowas macht man natürlich nicht wirklich im 9-to-5-Ding und allein schon auf dem Camp hatten wir ja auch Urlaub. Aber solche Dinge macht man natürlich auch aus dem Antrieb, der über, was weiß ich, dass es mein Job hinausgeht.
Und das finde ich ja auch ganz spannend, dass du diese Informationen, die du jetzt mehr oder weniger chronologisch, so wie sie im Kontext sind, wiedergibst, die hast du ja zusammen mit deinem Team über die Zeit nach und nach entdeckt. Das war ja nicht am ersten Tag auf einmal klar, sondern ganz im Gegenteil. Am Anfang war nur, es gibt Online-Shops, ja okay.
Nee, es war, also tatsächlich, ich habe ja am Anfang schon gesagt, dass wir mit diesen Feiertagen durcheinander gekommen sind. Und es war bei dieser Veröffentlichung auch eines der Themen, dass Kai Biermann der festen Überzeugung war dass der 9. Mai in Berlin ja kein Feiertag ist oder nee, nur in Berlin ein Feiertag ist, weil das der Kampftag der Frauen ist und den anderen nicht machen und deswegen die Zeit am 9. Mai natürlich erscheint und dann kurzfristig so sagt er so was ich noch sagen wollte die erscheint doch am 8. Die Print, das ist ja ein Printzeit ganzseitig Artikel und dann durften Le Monde und Guardian sagen, ja okay, dann schreiben wir es schneller, um das früher zu machen und Matthias hat sich einen schönen Call auf heute 15 Uhr gelegt, weil es ja kein Feiertag ist.
Warum wir die ganze Zeit Obtained sagen? Weil wir haben die ja nicht gehackt. Und in dem Zeitartikel steht dann zum Beispiel drin so ein größeres Datenleck, das Zeit einsehen konnte. Wir haben die Daten. Und im Guardian-Artikel steht, Security Research Labs and IT Security Consultancy, who obtained gigabytes of data. Und dieses obtained finde ich halt sehr schön, weil, ja, obtained.