Daten aller israelischen Wähler offen im Netz
Über die Website einer Wahlhelfer-App sind in Israel persönliche Informationen aller Wahlberechtigten im Internet öffentlich zugänglich gewesen. Die Daten waren durch die Likud-Partei des rechtskonservativen Ministerpräsidenten Benjamin Netanjahu hochgeladen worden. Laut der israelischen Tageszeitung Haaretz waren dort zu 6,45 Millionen Israelis Daten zu finden wie der vollständige Name, die Adresse, das Geschlecht und in vielen Fällen auch eine Mobiltfunknummer sowie frühere Reaktionen auf politische Umfragen.
Wie lange die Daten online standen und ob sie vor der Entdeckung der Lücke bereits von Dritten kopiert wurden, ist unklar. Die unsichere Website gehört zur Wahlhelfer-App Elector. Die App soll politische Unterstützer der Likud-Partei während der Wahl am 2. März mit Nachrichten, Hochrechnungen und Ergebnissen versorgen. Zudem sammelte der Likud dort zusätzliche Daten über die Wahlberechtigten.
Datenbank mit Verpflichtungen
Jede israelische Partei erhält die nun geleakte Wählerdatenbank vor Wahlen für ihre Kampagnen. Allerdings geht dies mit strengen Verpflichtungen einher: Die Daten dürfen nicht veröffentlicht oder weitergeben werden und müssen ausreichend geschützt sein. Die Likud-Partei verknüpfte die Datenbank dennoch mit der App.
So wurde die Lücke entdeckt
Entdeckt hat die Datenbank ein Frontend-Entwickler vom Dienstleister Verizon Media namens Ran Bar-Zik. Israelische Medien wie Haaretz, Calcalist und Ynet bestätigten Bar-Ziks Entdeckung. Der Entwickler hatte an einer Sicherheitsüberprüfung (security audit) der App gearbeitet. Lokale Medien hatten bereits zuvor über Datenschutzprobleme berichtet, weil man beispielsweise andere Nutzer für den SMS-News-Dienst anmelden konnte, ohne dass diese zugestimmt hatten.
In seinem Blog beschreibt Bar-Zik, dass er im Quelltext der Webseite Administrator-Zugangsdaten mit Benutzernamen und Passwort ungeschützt und frei lesbar vorfand. Der Quellcode einer Website ist für jede Person mit einem einzigen Mausklick aufrufbar. Mit diesen Daten konnte er sich ins Backend einloggen – dem Verwaltungsbereich der Seite. Dort befand sich unter anderem die Datenbank mit den Wählerinformationen.
“Ich habe in meiner Zeit viele Lecks gesehen”, sagte Bar-Zik gegenüber dem Calcalist Business Journal. “Aber ich habe noch nie ein Leck gesehen, das so absurd inkompetent und schädlich war wie dieses.” Prinzipiell konnte jeder Besucher der Webseite mit minimalem Vorwissen an die Daten gelangen. Zudem kritisiert Bar-Zik, dass die Administratoren das Backend nicht mit einer Zwei-Faktor-Authentifizierung geschützt haben – das hätte auch Bar-Ziks Eindringen verhindert.
Likud verteilte Zugangscodes über Social-Media
Die von Bar-Zik entdeckte Lücke war wohl unbeabsichtigt und schlichtweg das Ergebnis schlampiger Programmierung. Doch dass viele App-Nutzer auch ohne Tricks die Datenbank abfragen konnten, war wohl beabsichtigt: Wie die Times of Israel berichtet, verteilte die Likud-Partei Zugangscodes via Social-Media und über Aktivistennetzwerke. Wer die App mit einem solchen Code nutzte, konnte dort Daten über einzelne Personen erfragen und so auf die eigentlich unter Verschluss zu haltende Datenbank zugreifen.
Ob die Anzahl der zulässigen Zugriffe pro Nutzer begrenzt war, um ein automatisiertes Kopieren der gesamten Datenbank zu verhindern, ist laut Times of Israel unklar. Zumindest wurde die App in Google Play am 06.02. aktualisiert. An diesem Tag hatten sich Unterzeichner einer Petition unter anderem über eben diese Funktion beim Zentralen Wahlkomitee beschwert. Mit dem Update schränkten die Entwickler die Anzahl der Suchanfragen ein, die ein Nutzer täglich stellen kann. Was vermuten lässt, dass zuvor keine Begrenzung bestand – oder zumindest eine zu hohe. Die Urheber der Petition, die Anwälte Shahar Ben-Meir und Yitzhak Aviram sehen in der Datenweitergabe durch den Likud an die App-Entwickler einen Gesetzesverstoß.
Der Vorsitzende des Zentralen Wahlkomitees am Obersten Gerichtshof Neal Hendel wies die Partei und die App-Entwickler an, bis zum 12. Februar auf die Petition zu antworten.
Likud keiner Schuld bewusst
Mittlerweile wurde die betroffene Internetseite vom Netz genommen und auch aus dem Cache der Suchmaschinen Google und Bing entfernt. Die Mobil-App kann weiterhin für Android und iOS heruntergeladen, aber nicht mehr in der betroffenen Web-Version verwendet werden.
Auf Medienanfragen teilte die Partei nur mit, dass es sich bei dem App-Anbieter um “einen privaten und externen Anbieter handelt, […] bei dem die professionelle und rechtliche Verantwortung liegt”. Die Entwickler bezeichneten den Vorfall als einmalige Angelegenheit. (hcz)