Autor: kantorkel

Leakvent 4: Plenar TV Niedersachsen

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

  1. Unter https://landtag-niedersachsen-tv.im-en.com/.git/ befand sich 2021 ein git-Repository. Dort lag Quellcode des Plenar-TV:

./config/config.php
./connect.php
./index2dash_ohneredner.php
./index2dash.php
./index2.php
./index.php
./modules/cms.php
./modules/cutVideo.php
./modules/onlineCutterDash.php
./modules/onlineCutter.php
./modules/test.php
./Mustache/Autoloader.php

  1. In der Datei connect.php sind gültige mysql-Zugangsdaten enthalten.
    $con=mysqli_connect("127.0.0.1","landtag-hannover",█████████████,"█████████████");
  2. Unter https://landtag-niedersachsen-tv.im-en.com/.gitignore befand sich ein Hinweis auf den Pfad https://landtag-niedersachsen-tv.im-en.com/voddb/. Dort lag ein phpMyAdmin. So konnten die mysql-Zugangsdaten genutzt werden, obwohl der mysql-Server selbst nicht direkt von außen erreichbar war.

Leakvent 3: Emma Matratze

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Unter http://www.admin.emma-matratze.de/ leakte ein git-Repository, das neben Quellcode auch gültige Zugangsdaten enthielt:

==> cron/██████████.php <==
<?php
require_once '██████.php';
// todo put to system configuration

$hostname = '{imap-mail.outlook.com:993/ssl}MC';
$username = '██████@bettzeit.com';
$password = '██████████████';

Das Kontaktformular unter https://www.emma-matratze.de/kontakt/ hat meine Meldung blockiert: “Sorry, you have been blocked
You are unable to access emma-matratze.de“, auch meine E-Mail wurde offenbar ignoriert. Die Zugangsdaten sind nach mehr als drei Jahren noch immer gültig.

Leakvent 2: Die Partei

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Weiter geht es mit der Partei Die Partei. Die Entwicklungsumgebung eines Webshops für Parteibedarf mit aktiviertem Symfony Profiler war 2022 offen zugänglich.

The profiler is a powerful development tool that gives detailed information about the execution of any request.

Never enable the profiler in production environments as it will lead to major security vulnerabilities in your project.

Über diesen Profiler konnten u.a. Konfigurationsdaten (“mysql://dev:████████@localhost:3306/dev”) sowie personenbezogene Daten von Bestellenden (Name, Adresse, E-Mail-Adresse) abgerufen werden. Die Daten reichten ein Jahr zurück und umfassten augenscheinlich nicht nur Testdaten.

Leakvent 1: Ferrari Academy

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Es geht los mit der Ferrari Academy. Betroffen waren 2022 nicht besonders viele Menschen. Dafür gab es .git und .env mit Zugangsdaten, eine exponierte dev-Umgebung sowie directory listings und herunterladbare Backups von php-Dateien.

  1. Unter https://academy.ferrari.com/ waren directory listings aktiviert. So konnte u.a. unter https://academy.ferrari.com/<redacted>/HubSync/users.csv eine csv-Datei mit personenbezogenen Daten (u.a. Ausweisnummer) gefunden werden.
  2. “Backups” von php-Dateien erlaubten den Zugriff auf Quellcode, bspw. https://academy.ferrari.com/<redacted>/class.ilCompetence.php.backPrimadiAPOS. Im Quellcode sind auch Zugangsdaten zu finden.

$mail->Username = ‘AKIA████████████████’;
$mail->Password = ‘████████████████████’;

#$mail->addCustomHeader(‘X-SES-CONFIGURATION-SET’,’ConfigSet’);
$mail->Host = ’email-smtp.eu-west-1.amazonaws.com’;
$mail->Port = 465;

  1. Unter https://<redacted>/.env lag eine Datei mit Umgebungsvariablen.

APP_NAME=Laravel
APP_ENV=local

DB_CONNECTION=mysql
DB_HOST=█████████
DB_PORT=3306
DB_DATABASE=█████████
DB_USERNAME=█████████
DB_PASSWORD=█████████

DB_HOST2=█████████
DB_DATABASE2=lmsdb_prod
DB_USERNAME2=█████████
DB_PASSWORD2=█████████

ACADEMYURL=“http://dev.academy.ferrari.com”

  1. Unter https://<redacted>/lms-ferrari/.git/ und https://<redacted>/fixitproject/.git/ lagen zwei git-Repositories mit Quellcode, Konfiguration und personenbezogenen Daten.

BKA: Biometrische Marktforschung ohne Rechtsgrundlage

Das BKA hat mehrere Millionen Gesichtsbilder aus INPOL-Z ohne Rechtsgrundlage an Fraunhofer weitergegeben. Dagegen klagt ein Betroffener mit Unterstützung des CCC.

When using the maps, content is loaded from third-party servers. If you agree to this, a cookie will be set and this notice will be hidden. If not, no maps will be displayed.

Düsseldorf testet Radwegüberwachung ‒ ohne Rechtsgrundlage

Obwohl es “bislang keine rechtliche Grundlage für die automatisierte Kontrolle von Parkscheinen oder digitalen Parkberechtigungen” gibt, testet die Stadt Düsseldorf den Einsatz von Kamera-Autos. Diese sollen auf Radwegen abgestellte Fahrzeuge erkennen und ggf. automatisch Bußgeldverfahren einleiten.

Parkraumüberwachung in Heidelberg

Nachdem ein Berliner Pilotprojekt zur Parkraumüberwachung Anfang 2025 wegen mangelnder Rechtsgrundlage beendet wurde, beginnt in Heidelberg am 18.09.2025 der Einsatz von Kamera-Fahrzeugen. Durch Kennzeichenerfassung und Abgleich mit einer zentralen Park-Datenbank sollen Fahrzeuge, die ohne Parkschein abgestellt wurden, erkannt werden.

Zuvor wurde der öffentliche Parkraum kartiert. Während der Pilotphase sollen keine Strafzettel verteilt werden.

Parkraumüberwachung in Berlin

In Berlin wurde in den Bezirken Mitte und Friedrichshain-Kreuzberg von 2021 bis 2025 ein Pilotprojekt zur Parkraumüberwachung betrieben. Kamera-Autos fuhren durch die Straßen, um Kennzeichen zu erfassen und mit einer zentralen Park-Datenbank abzugleichen.

Diese zentrale Datenbank sollte kein Problem darstellen: Bezirksbürgermeisterin Monika Hermann war der Auffassung, dass sich die Kameras der sog. “Scancars” so einstellen lassen, dass sie ausschließlich die Kennzeichen erfassen. Wegen fehlender Rechtsgrundlage wurde das Projekt 2025 beendet.

Hessisches LKA testet Pimeyes

In den Jahren 2021 und 2022 hat das Hessische LKA die Gesichtersuchmaschine Pimeyes getestet.

Der Hessische Datenschutzbeauftragte wurde dabei nicht informiert. Es gab auch keine Vereinbarung zur Auftragsdatenvereinbarung. Pimeyes wurde nicht ins Verfahrensverzeichnis aufgenommen. Es wurden keine Maßnahmen zur Sicherstellung der Rechte Betroffener getroffen.

Innenminister Peter Beuth meint, dass “die hessische Polizei Systeme zur automatischen Datenverarbeitung nur dann in den regulären Wirkbetrieb überführt, wenn die für einen Einsatz notwendigen rechtlichen Voraussetzungen erfüllt sind.” Bei einem Testbetrieb schert sich die Hessische Polizei offenbar weniger um die notwendigen rechtlichen Voraussetzungen.

Ertrinkendenerkennung soll auch Personalnot mindern

Mit einem Produkt der israelischen Firma Lynxight werden in Schwimmbädern Becken überwacht, um Ertrinkende zu erkennen ‒ bestenfalls vor dem Ertrinken. Nebenbei soll die Personalnot in Schwimmbädern gemindert werden. Dazu werden die Streams von Überwachungskameras angezapft und ‒ teilweise auch für Trainingszwecke ‒ analysiert. Außerdem liefert das System Zahlen und Grafiken zur Beckenauslastung.

Es gibt in den verschiedenen Bädern Unterschiede bezüglich Verarbeitung und Speicherung der erfassten Daten. Im Piorama sollen die Videoaufnahmen “in Echtzeit in Daten umgewandelt und nach der
Analyse sofort gelöscht” werden”. Das heißt offenbar nicht, dass die Videoaufnahmen sofort gelöscht werden, denn diese werden für 72 Stunden vorgehalten.

Grundsätzlich behält sich Lynxight vor, die erfassten Daten auch für Trainingszwecke zu nutzen. In Hamburg soll nicht mit Daten von Badegästen kalibriert werden.

Die Einrichtung des Systems kostet in Wittlich einmalig 46.172,00 Euro und jährlich weitere 15.351,00 Euro. In Beckum werden für drei Bädes zur Einrichtung rund 158.000 Euro und jährlich rund 50.000 Euro fällig.

Das System kann nur kaschieren, dass zu viele Kinder nicht schwimmen können und manche Eltern lieber auf ihre Handys als auf ihre Kinder aufpassen.