Blog

Für Whistleblower ungeeignet

Ab und zu gucke ich mir mal die Whistleblowerszene an. Heute mal die Teile davon, die anderen Leuten die Möglichkeit geben wollen Missstände aufzudecken. Ich bin dann mal auf whistleblower.org gestoßen. Bevor ich mal auf diese Webseite eingehe, könnt Ihr Euch eine kurze Definition von Whistleblower auf Wikipedia durchlesen. Kurz zusammengefasst: Ein Whistleblower deckt Missstände auf. Einige tun es offen, andere bleiben versteckte Quellen. In der Regel sind es Quellen, die nicht weiter enttarnt werden wollen. Also, wenn Ihr in Zeitungen oder Blogs lest, dass nicht genannte Personen Informationen herausgegeben haben. Man kann aber auch Worte nutzen wie Quelle, anonyme Quellen, Informanten oder Personen die Ihren Namen nicht in der Zeitung lesen dürfen. Gibt noch mehr! Einem Journalisten (selten einem Blogger) nimmt man das ab. Doch was passiert, wenn Ihr bspw. auf der Webseite whistleblower.org als Informant tätig werden wollt? Schauen wir es uns an.

Als erste Zeile wird darauf hingewiesen, dass keine IPs gespeichert werden. Angeboten wird auch die Privacy Policy.

1

Wenn man sich die Datenschutzerklärung nun durchliest (englisch), kann man schnell feststellen, dass es wohl bessere Texte gibt.

Sie behaupten für die Rechte der Amerikaner zu kämpfen. Sie wollen also angeblich keine Daten speichern, die Besucher oder Whistleblower identifizieren können. Der Inhalt der Privacy Policie ist dann aber trotzdem irgendwie merkwürdig.

Unter anderem bieten sie an, dass Besucher spenden sollen. Dafür wird der Dienst salsa labs genutzt. Ist ein Online-Spendensammler. Was macht also der richtige Whistleblower? Richtig: Er spendet nie! Der Zahldienst speichert nämlich Name und Adresse, Kreditkartennummer und wofür bzw. für wen die Spende ist. Sollte man nicht tun, wenn man mehr Aktion vor hat.

Dann gibt es die Möglichkeit einen Newsletter zu empfangen. Hier kann man freiwillig Daten hinterlassen. Was tut der Whistleblower?

2

Richtig: Er meldet sich nicht dafür an! Dann liegt nämlich seine eMail-Adresse, die anhand von Metadaten zurückverfolgt werden könnte in einer Datenbank bei fremden Leuten. Und schon gar nicht gibt er Post-Adressen an.

Folgend kommen die Punkte Intake Application und Confidential GAP Client Names and Witnesses. Hier überzeugt dann voll der Satz, Zitat: “All intake applications are confidential.” Alle aufgenommenen Informationen sollen durch den Anbieter vertraulich behandelt werden. Ist das wirkich so? Nee, natürlich nicht. Wenn man auf der Webseite dem Menüpunkt Report waste, fraud or illegality folgt, dann landet man auf einer Seite mit einem Formular, wo man als Whistleblower neben seinen persönlichen Infos auch alles zu seinem Fall reinhauen kann.

3

Das geladene Formular jedoch ist nicht etwa bei der Webseite whistleblower.org gehostet – hier fehlt ja auch die SSL-Verbindung – sondern ist bei dem externen Formularserviceanbieter http://www.wufoo.com/ hinterlegt. Das Javascript ruft zwar SSL-Verbindung auf, aber eine sichere Datenablage gibt es hier definitiv nicht. Werden die Daten beim Fremdanbieter gespeichert, ist der Whistleblower nicht geschützt. Werden sie einfach nur per E-Mail weitergeleitet an den Formularersteller, sind die Daten auch nicht geschützt.

4

Das Outsourcing heikler Daten und hauptsächlich der dahinterstehenden Whistleblower ist schlicht “holy shit”.

Das E-Mail-Angebot der Webseite beinhaltet außerdem noch nicht einmal die Möglichkeit einer verschlüsselten Kommunikation. PGP? S/MIME?

Im Quelltext habe ich dann noch den externen Dienst sharethis.com mit Javascript entdeckt, damit dann auch der letzte Besucher alles schön teilen kann. Der Whistleblower, der dieses Formular ausfüllt, sendet auch gleich im Hintergrund eine Webseite die Ihn identifizieren könnte, wenn er bspw. zufällig in einem sozialen Netzwerk angemeldet ist.

5

Wenn Ihr also diesen Dienst nutzt, wundert Euch nicht, wenn Ihr auf der NoFly-Liste landet. Wer sich dieses Projekt ausgedacht hat, hat gar nichts verstanden und zudem auch noch Alles falsch gemacht. Unabhängig wie ehrenhaft das Ziel auch ist/war.

Tagged , , ,