Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de


LNP492 Ölverschmierte Hände

Ein Logbuch:Netzpolitik Spezial zum BogusBazaar

Heute begrüßen wir wieder einmal kantorkel in unserer Runde, da er in den letzten Monaten fleissig Datenklempnerei betrieben hat und ein paar Datenlecks untersucht hat. Am Ende der Recherche stand die Aufdeckung eines riesigen Netzwerks von Fake Shops, die im Netz im großen Stil Luxusgüter feilbieten und die von den Bestellern überwiesenen Zahlungen aber nie mit entsprechenden Lieferungen beantwortet haben. Wir reden darüber, wie kantorkel der Sache auf die Spur gekommen ist und wie diese Netzwerke intern funktionieren und wie schwierig es ist, diesen das Handwerk zu legen.

Dazu gibt es noch etwas Feedback und ein Bonus Datenleck der Gamescom.

https://logbuch-netzpolitik.de/lnp492-oelverschmierte-haende
Veröffentlicht am: 9. Mai 2024
Dauer: 1:34:35


Kapitel

  1. Intro 00:00:00.000
  2. Begrüßung 00:00:29.972
  3. Vorstellung 00:02:43.859
  4. Feedback: DSGVO vs. LLMs 00:09:54.562
  5. Feedback: Bezahlkarte 00:24:30.145
  6. Gamescom Datenleck 00:26:31.415
  7. BogusBazaar 00:28:45.908
  8. Epilog 01:29:09.859

Transkript

Tim Pritlove
0:00:00
Linus Neumann
0:00:01
Tim Pritlove
0:00:02
Linus Neumann
0:00:07
Tim Pritlove
0:00:29
Linus Neumann
0:01:03
Tim Pritlove
0:01:40
Linus Neumann
0:01:43
Tim Pritlove
0:01:45
Linus Neumann
0:01:46
Tim Pritlove
0:02:10
Linus Neumann
0:02:12
Tim Pritlove
0:02:20
Linus Neumann
0:02:22
Tim Pritlove
0:02:26
Linus Neumann
0:02:35
Tim Pritlove
0:02:37
Linus Neumann
0:03:10
Tim Pritlove
0:03:15
Linus Neumann
0:03:47
Tim Pritlove
0:04:21
Linus Neumann
0:04:35
Tim Pritlove
0:06:33
Linus Neumann
0:06:37
Tim Pritlove
0:07:08
Linus Neumann
0:07:14
Tim Pritlove
0:07:19
Linus Neumann
0:07:24
Tim Pritlove
0:08:16
Linus Neumann
0:08:27
Tim Pritlove
0:08:40
Linus Neumann
0:08:44
Tim Pritlove
0:09:27
Linus Neumann
0:09:36
Tim Pritlove
0:09:38
Linus Neumann
0:09:46
Tim Pritlove
0:09:54
Linus Neumann
0:10:06
Tim Pritlove
0:11:33
Linus Neumann
0:11:37
Tim Pritlove
0:11:39
Linus Neumann
0:11:44

Kann man online was für dich bestellen. Tim Prillaf ist am Sohn zu schicken geboren. Stattdessen werden einzelne Tokens gespeichert, die nicht zwangsläufig ganze Wörter sein müssen. Wie LLMs Sätze in Tokens runterbrechen, wissen meines Wissens selbst die Programmierer nicht. Zudem wird gewichtet, wie wahrscheinlich bestimmte Tokens in der Nähe voneinander auftreten. Diese Kombinationen aus Tokens und Wahrscheinlichkeiten sind an sich keine personenbezogene Daten. Aus ihnen lassen sich über personenbezogene Daten mit einer gewissen Genauigkeit oder Fehlerhaftigkeit rekonstruieren. Das wird eine Herausforderung für die Richterinnen, denn nun ist doch die Frage, ob die DSGVO überhaupt anwendbar ist. Eine weitere Herausforderung wird, dass bei der Verarbeitung von personenbezogenen Daten ihre Korrektheit sichergestellt werden muss. Auch das steht in der DSGVO. Ein halluzinierendes LLM ist da nicht vorgesehen. Das könnte man eigentlich grundsätzlich sagen, sondern einfach nicht vorgesehen. Hinsichtlich der DSGVO spielt übrigens keine Rolle, ob die genutzten Daten auf Webseiten öffentlich verfügbar sind oder nicht sobald sie gesammelt oder verarbeitet werden handelt es sich um eine Verarbeitung, für die ein Rechtsfertigungsgrund benötigt wird. Bei LLMs ist das das berechtigte Interesse der Anbieter, also OpenAI und Co. Wie bereits von anderen angemerkt, muss dafür eine Abwägung zwischen den Interessen der Betroffenen und den Verarbeitenden stattfinden. Ob die Daten in LLM in Binärcode oder menschenlesbarem Format gespeichert sind, ist ebenfalls unerheblich. Es ist möglich, menschenlesbare Daten hineinzugeben und auch wieder herauszuholen. Das Speicherformat wird bei den TUM, technischen und organisatorischen Maßnahmen, relevant. Es hat aber keinen Einfluss darauf, ob die Verarbeitung erlaubt ist. Wiebke, ich glaube, du bist juristisch gebildet Nein, aber es ist ja sehr gut wiedergegeben und bevor jetzt bevor wir jetzt wieder Kommentare bekommen weil in den drei Sätzen von Wiebke die, Funktionalität eines LLM nicht 100% in allen Details wiedergegeben wurde können wir nochmal es gab da so einen sehr guten Vortrag beim Kongress von einer, Forscherin in dem Bereich. Mir fällt gerade ihr Name nicht ein, aber den nehmen wir mit in die Shownotes auf.

Tim Pritlove
0:14:09
Linus Neumann
0:14:11
Tim Pritlove
0:14:26
Linus Neumann
0:14:32

Ja, der war super. Den verlinken wir nochmal für Leute, die sich darüber aufregen. Zum gleichen Thema. Stefan Tesing sagte zu eurer Diskussion über Datenschutz und LLMs. Ich meine, wie fast immer, wenn ihr euch nicht einig seid, mal wieder beobachtet zu haben, dass ihr auf zwei verschiedenen Ebenen argumentiert habt. Linus-Argumente bewegen sich im Wesentlichen auf der ersten Ebene. Ich würde sagen, auf der oberen Ebene. Auf der Meta-Ebene oder was? Nee, die Meta-Ebene gehört dir. Okay, ist in Ordnung. Ich bin auf der ersten Ebene, du bist auf der Meta-Ebene. Wenn Technologiebedingungen verändert, hören Gesetze selbstverständlich nicht auf zu gelten. Tim argumentiert eher auf der Meta-Ebene, auf welche Weise Gesetz und Verortungsgeber, rechtliche Regeln den neuen Gegebenheiten anpassen sollten. Auf dieser zweiten Ebene ist natürlich mehr los. Sinnvoll ist es hierbei, sich Gedanken darüber zu machen, welche Interessen der Allgemeinheit das ursprüngliche Gesetz schützen sollte, um es dann entsprechend zu reformieren. Das geht gerne mal schief, hatte Wiebke ja auch gesagt. Das Urheberinnenrecht wurde ursprünglich eingeführt, um Autorinnen vor der Ausbeutung durch jene zu schützen, die eine Druckerpresse besitzen. Das Interesse der Allgemeinheit war, wenn Autorinnen vor Ausbeutung geschützt sind, bekommen wir mehr Werke. Als das Internet um die Ecke kam, wurden die rechtlichen Regeln leider nicht so reformiert, dass Autorinnen und Allgemeinheit weiter vor der Ausbildung durch Verlagshäuser und andere Rechteverwerter geschützt wurden, sondern die Geschäftsmittel der Rechtsverwerter wurden vor den neuen Möglichkeiten geschützt, die Autorinnen und der Allgemeinheit nun zur Verfügung standen. Das ist, finde ich, eine sehr gute Zusammenfassung. Hat natürlich gerade mit dem Thema, zu dem Stefan sich hier äußern wollte, überhaupt nichts zu tun, weil wir ja eigentlich über Datenschutz sprechen. Aber gut, gut Stefan. Regelungen zum Datenschutz sowie einzelne Regelungen wie das Recht am eigenen Bild sind dazu ersonnen worden, die allgemeinen Persönlichkeitsrechte der Bürgerinnen vor unangemessenen staatlichen Maßnahmen sowie ökonomischer Ausbeutung zu schützen. Anpassungen der rechtlichen Regelungen sollten daran gemessen werden, inwiefern sie diesen Zielen dienen. Ihr kamt ja aber auf das Thema über die Frage, wie die Klage von Neub zu bewerten ist. Hier kann man meines Erachtens festhalten, dass sie auf der ersten Ebene klagen, um auf der zweiten Ebene sinnvolle Änderungen zu erzwingen, bevor Gesetz und Verordnungsgeber das geltende Recht so verschlimmbessern, wie es Anfang der 2000er mit dem Urheberrecht geschehen ist. Ja, finde ich eine super Perspektive.

Tim Pritlove
0:17:10
Linus Neumann
0:17:26
Tim Pritlove
0:17:30
Linus Neumann
0:18:23
Tim Pritlove
0:18:28
Linus Neumann
0:18:33
Tim Pritlove
0:19:45
Linus Neumann
0:20:05
Tim Pritlove
0:20:08
Linus Neumann
0:20:33
Tim Pritlove
0:20:37
Linus Neumann
0:21:08
Tim Pritlove
0:21:24
Linus Neumann
0:22:17
Tim Pritlove
0:22:44
Linus Neumann
0:23:17
Tim Pritlove
0:23:21
Linus Neumann
0:23:23
Tim Pritlove
0:23:27
Linus Neumann
0:23:29
Tim Pritlove
0:23:30
Linus Neumann
0:23:49
Tim Pritlove
0:23:52
Linus Neumann
0:24:00
Tim Pritlove
0:24:02
Linus Neumann
0:24:24
Tim Pritlove
0:24:27
Linus Neumann
0:24:32
Tim Pritlove
0:25:29
Linus Neumann
0:26:14
Tim Pritlove
0:26:36
Linus Neumann
0:26:37
Tim Pritlove
0:26:40
Linus Neumann
0:26:47
Tim Pritlove
0:28:18
Linus Neumann
0:28:20
Tim Pritlove
0:31:45
Linus Neumann
0:32:10
Tim Pritlove
0:34:10
Linus Neumann
0:34:23
Tim Pritlove
0:34:27
Linus Neumann
0:34:30
Tim Pritlove
0:36:41
Linus Neumann
0:36:50

Ne?

Tim Pritlove
0:36:50
Linus Neumann
0:36:51
Tim Pritlove
0:36:53
Linus Neumann
0:38:06
Tim Pritlove
0:39:09
Linus Neumann
0:39:15
Tim Pritlove
0:39:17
Linus Neumann
0:39:24
Tim Pritlove
0:39:30
Linus Neumann
0:39:35
Tim Pritlove
0:39:52
Linus Neumann
0:39:54
Tim Pritlove
0:41:05
Linus Neumann
0:41:45
Tim Pritlove
0:41:46
Linus Neumann
0:42:33
Tim Pritlove
0:43:14
Linus Neumann
0:43:28
Tim Pritlove
0:44:00
Linus Neumann
0:44:12
Tim Pritlove
0:44:31
Linus Neumann
0:45:38
Tim Pritlove
0:46:24
Linus Neumann
0:48:02
Tim Pritlove
0:48:15
Linus Neumann
0:48:56
Tim Pritlove
0:49:04
Linus Neumann
0:49:11
Tim Pritlove
0:50:18
Linus Neumann
0:50:36
Tim Pritlove
0:51:46
Linus Neumann
0:52:47
Tim Pritlove
0:52:54
Linus Neumann
0:53:36
Tim Pritlove
0:55:20
Linus Neumann
0:56:15
Tim Pritlove
0:59:17
Linus Neumann
0:59:35
Tim Pritlove
1:00:13
Linus Neumann
1:00:25
Tim Pritlove
1:00:51
Linus Neumann
1:00:54
Tim Pritlove
1:00:58
Linus Neumann
1:01:08
Tim Pritlove
1:04:19
Linus Neumann
1:04:26
Tim Pritlove
1:04:28
Linus Neumann
1:04:31
Tim Pritlove
1:04:33
Linus Neumann
1:04:36

Also aus 80 Ländern dieses Planeten, also ungefähr die Hälfte der Länder haben das schon mal bestellt. Mehr als 100 Bestellungen. Ihr hattet auch eine Grafik angefertigt, die konzentrieren sich aber auf Europa, USA. So, jetzt sammeln, jetzt laufen da so diese Shops, irgendwo wird es dann wahrscheinlich ein Modell geben. Ich stelle mir jetzt vor, ich bin da Merchant. Also meine Aufgabe als Merchant ist dann im Prinzip dafür zu sorgen, dass ich da coole Produkte drin habe. Es gibt irgendwie so eine Standardbestückung des Stores, aber ich könnte mir vorstellen, weil es ja viel Kleidung und Schuhe, das ist ja mindestens so ein saisonales Geschäft. Das heißt, da müssen diese 25.000 zum gegebenen Zeitpunkt aktiven Stores ja schon irgendwie auch immer, nicht alles so gnädig wie Doc Martens, die seit vielen Jahrzehnten mit dem gleichen Schuh einfach antreten. Okay. Dann gab es, glaube ich, auch irgendwie so eine Art Business Analytics, die man darüber gemacht hat, um zu gucken, welcher Shop jetzt oder welches Land. Also wenn ich 25.000 Online-Shops habe, das ist ja wirklich… Ja. Und das Payment Gateway wird dann auch einfach ausgerollt. Wenn ich ein Payment Gateway habe auf das, was weiß ich, 20 Online-Shops laufen, dann ändere ich das und die 20 Online-Shops werden automatisch umkonfiguriert, jetzt auf das neue zu werfen? Also schon auch wirklich von Leuten, die ungefähr wissen, wie man sowas macht. So, jetzt... Kai schaut sich das an, teilt das mit Le Monde, teilt das mit Guardian. Guardian spricht mit Betroffenen. Kai schaut sich das Firmennetzwerk dahinter an. Was passiert denn jetzt? Ist der Server denn offline? Hat denn jemand Cloudflare Bescheid gesagt? Andere Wege auf Cloudflare? Behörden. Möchtest du sagen, in welchem Land diese Behörde? Das ist keine deutsche. Also erstmal muss man glaube ich dieses Geschäftsmodell dann doch echt mal mit Anerkennung auch irgendwie sehen, weil du machst halt so ein Kleinstverbrechen, für das am Ende niemand irgendwie, ja, also Kai Biermann ist natürlich irgendwie auch verärgert gewesen, Aber das hat jetzt die Familie nicht in Notstand versetzt, dass er 40 Euro für Doc Martens bezahlt hat. Ich meine sogar, das könnte noch ein zweites Mal passiert sein. Und aber, ne, das heißt, da gibt's dann irgendwie, ja, eine Medienkompetenzschulung für die gesamte Familie beim Kauf von Schuhen oder so, ja, aber der wird jetzt, der wird und in dem Fall, klar, ne, Kalbiermann, Investigativjournalist, der beißt sich fest und, legt diesen ganzen hängt diesen ganzen Laden draußen zum Trocknen auf, ja, aber ähm. Die meisten Leute werden sich vielleicht ärgern, sind aber in ihrer, werden nicht so viel Energie aufbringen. Und wenn du jetzt bei irgendwie bei der Dorfpolizei auftrittst und sagst, ich habe hier eine Regenjacke für 70 Euro bestellt, die ist nicht gekommen, dann sagen die im Zweifelsfall, ja, hatte ich auch schon mal, warte mal noch. Es gibt einfach überhaupt keinen Strafverfolgungsdruck irgendwo, der groß ist. Und dann kannst du das Ding auf Millionen skalieren. Du brauchst halt nur 25.000 Online-Shops. Ich muss schon sagen, dass ich da Anerkennung für habe, dass man das so hochzieht. Stripe wahrscheinlich nicht so bekannt oder vielleicht nicht allen Hörerinnen bekannt ist ein Payment Abwechslungsanbieter ich glaube einer der größten vielleicht sogar der größte vor allem.

Tim Pritlove
1:14:08
Linus Neumann
1:14:24
Tim Pritlove
1:14:27
Linus Neumann
1:14:31
Tim Pritlove
1:14:34
Linus Neumann
1:15:11
Tim Pritlove
1:17:13
Linus Neumann
1:17:40
Tim Pritlove
1:17:54
Linus Neumann
1:17:56
Tim Pritlove
1:17:57
Linus Neumann
1:18:23
Tim Pritlove
1:18:26
Linus Neumann
1:18:29
Tim Pritlove
1:18:33
Linus Neumann
1:18:43
Tim Pritlove
1:20:02
Linus Neumann
1:20:05

Die Verbraucherzentrale hat einen Fake-Shop-Finder. Ich hätte halt jetzt gedacht, okay, haben die beispielsweise eine Blacklist, die ich dann in meinen DNS-Server einbauen kann, also in meinen, wie heißt das denn hier, der DNS-Server, den eigentlich alle haben, ich will jetzt RetroPie heißen, aber der heißt ja Piehole, genau. Genau. Pi holt den klassischen hier DNS-Server, den man sich zu Hause hinstellt, mit Werbeblocken. Dann könnte ich ja auch mal die ganzen Fake-Shops dazu packen. Vermutlich verkaufen die einfach auch keine Produkte, wo ich Gefahr laufe, dass ich sie kaufe. Okay, aber wir könnten auch einfach das Ding auf GitHub hauen, in dem Format, für eine Host-File und dann... Oder wo jetzt schon wieder jemand anders einen Fake-Shop hat, das sind dann gar nicht mehr die, sondern die Konkurrenz. Ja, was war der Moment, den du am beeindruckendsten fandest? Du hast jetzt sich viele Monate on and off damit auseinandergesetzt. Und dann dahinter die Orchestrierung, die dafür sorgt, dass diese Webshops sich alle gleich sind und zentral gesteuert werden. Auf einem Server hattest du glaube ich gesagt so 200 Webshops teilweise auf einem? Ui. Warum mache ich denn unterschiedliche IP-Adressen auf den Server? Brauche ich doch heutzutage gar nicht mehr. Also ich könnte ja entsprechend... Auch mit TLS problemlos alle auf der gleichen IP laufen lassen. Okay. Gut, die werden sicherlich kein Geld verschwendet haben. Und dann, als du gesehen hast, wie viel Kohle die damit machen? Dass du online so viel bestellst.

Tim Pritlove
1:23:50
Linus Neumann
1:24:50
Tim Pritlove
1:25:51
Linus Neumann
1:25:53
Tim Pritlove
1:26:21
Linus Neumann
1:26:30
Tim Pritlove
1:27:22
Linus Neumann
1:28:36
Tim Pritlove
1:29:07
Linus Neumann
1:29:19
Tim Pritlove
1:29:24
Linus Neumann
1:29:41
Tim Pritlove
1:30:35
Linus Neumann
1:30:36
Tim Pritlove
1:30:40
Linus Neumann
1:30:46
Tim Pritlove
1:30:49
Linus Neumann
1:30:50
Tim Pritlove
1:31:26
Linus Neumann
1:31:30
Tim Pritlove
1:31:47
Linus Neumann
1:31:52
Tim Pritlove
1:31:57
Linus Neumann
1:32:01
Tim Pritlove
1:32:03
Linus Neumann
1:32:06
Tim Pritlove
1:32:08
Linus Neumann
1:32:13
Tim Pritlove
1:32:21
Linus Neumann
1:32:24
Tim Pritlove
1:32:34
Linus Neumann
1:32:35
Tim Pritlove
1:32:40
Linus Neumann
1:32:52
Tim Pritlove
1:32:57
Linus Neumann
1:33:00