Vor einiger Zeit wurden André Zilch und ich zur Diskretion auf dem Kunstmarkt angesprochen. Der Verkauf und die Ersteigerung wertvoller Kunstgegenstände ist ein äußerst verschwiegenes Geschäft - Verkäufer millionenschwerer Gemälde bleiben häufig anonym. Diese Anonymität gilt es zu schützen, sagen die großen Auktionshäuser laut New York Times:
„Many in the art world believe that eliminating anonymity would damage the market and invade privacy. Some sellers, they say, are families only looking to avoid the embarrassment of crushing debt.“
Die New York Times führt allerdings noch eine weniger freundliche Erklärung für den Wunsch nach Anonymität an:
„Artworks are particularly suitable vehicles for money launderers, experts said, because they transfer easily and store quietly, perhaps in a basement or in an offshore tax haven.“
Führendes Auktionshaus auf dem Kunst- und Antiquitätenmarkt ist Christie‘s mit einem Umsatz von 8,4 Milliarden USD in 2022. Der Verkauf mit Christie‘s ist einfach, laut dem eigenen ‘Selling Guide’ besteht der erste Schritt in der Schätzung der Gegenstände. Hierzu sind für jeden Gegenstand mindestens drei Fotos mit begleitender Beschreibung hochzuladen:
Klassische Schwachstelle mit großem Risiko
Wie sich allerdings mit einem Blick in die Entwicklerkonsole des Browsers offenbarte, gab es da nur ein Problem: Die Fotos konnten nicht nur hoch, sondern auch wieder heruntergeladen werden. Und zwar weltweit, von jederman. Dazu musste lediglich die Internetadresse (URL) bekannt sein, unter der das Foto heruntergeladen werden konnte. Diese URLs sind jedoch immer nach dem gleichen Schema unter Verwendung fortlaufender Nummern aufgebaut - also vorhersagbar:
Um alle verfügbaren Fotos aller Verkäufer herunterzuladen, musste ein Angreifer systematisch alle möglichen Nummernkombinationen ausprobieren - für Computer eine Sache von Sekunden. Es handelt sich also um eine klassische IDOR-Schwachstelle.
Ein einfacher und leicht zu behebender Mangel, aber mit großem Schadpotential:
- Die Bilder lassen den genauen Wert und die Sicherung der Gegenstände erkennen
- Häufig waren auch die GPS-Koordinaten und damit der genaue Aufbewahrungsort der Gegenstände in den Bild-Metadaten enthalten
- Die Adresse lässt häufig auf den Verkäufer schließen - jegliche Diskretion war damit aufgehoben!
Christie‘s zeigt kein Interesse an Behebung
Also haben wir Christie‘s kontaktiert, alle Informationen zum Mangel und zur Behebung zur Verfügung gestellt und gebeten, den Mangel abzustellen.
Nur hat Christie‘s den Mangel nicht behoben. Also schrieben wir erneut an Christie‘s und boten an, den Mangel erneut zu besprechen. Gleichzeitig verwiesen wir auf die auch datenschutzrechtlich gebotene Notwendigkeit, doch bitte im Sinne der Betroffenen unverzüglich zu handeln.
Versuch einer Coordinated Disclosure
Nur hat Christie‘s den Mangel weiterhin nicht behoben. Also haben wir uns im Sinne der Betroffenen dafür entschieden, mit Verweis auf die Coordinated-Vulnerability-Disclosure-Leitlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine angemessene Frist bis zur Behebung des Mangels zu setzen.
Daraufhin erhielten wir folgende Antwort von Christie‘s:
„Thank you for your email but as stated already, we do not require any advice or assistance.“
Christie‘s hat den Mangel dann auch weiterhin nicht behoben. Freundlicherweise hat Max Hoppenstedt sich der Sache angenommen und bat Christie‘s nach Verstreichen der Frist um Stellungnahme. Jetzt endlich kam Bewegung in die Sache: Innerhalb weniger Stunden war der Mangel behoben.
Gerne hätten wir gewusst: Warum nicht gleich so? Doch eine Antwort darauf blieb Christie‘s auch weiterhin schuldig:
„Christie‘s […] declined to answer questions about or confirm the researchers’ findings.“
Max Hoppenstedt hat die Geschichte und auch die Sicht der Betroffenen in der Washington Post sowie im Spiegel aufgeschrieben.
Disclosure Timeline
| Datum | Beschreibung |
|---|---|
| 05.06.2023 | Kontaktaufnahme mit Christie‘s |
| 09.06.2023 | Videokonferenz mit Christie‘s, Übersenden der detaillierten Befundbeschreibung und notwendiger Maßnahmen |
| 17.06.2023 | Rückmeldung von Christie‘s: „System im Prozess der Ablösung“ |
| 19.06.2023 | Der Mangel besteht weiterhin |
| 19.06.2023 | Hinweis an Christie‘s auf die Notwendigkeit unverzüglichen Handelns |
| 28.06.2023 | Der Mangel besteht weiterhin |
| 28.06.2023 | Hinweis an Christie‘s auf die Notwendigkeit unverzüglichen Handelns und Angebot erneuter Videokonferenz |
| 29.06.2023 | Rückmeldung von Christie‘s: Befundbeschreibung „[…] forwarded this on to our internal Information Security and Data Governance Team who will assess the risk. Christie’s has a robust process in place for dealing with such issues and if there are any concerns after they have completed this process it will be dealt with internally by our Team of Professionals“ |
| 04.07.2023 | Der Mangel besteht weiterhin |
| 04.07.2023 | Fristsetzung gegenüber Christie‘s im Einklang mit BSI-CVD-Richtlinie zum 13.08.2023 |
| 04.07.2023 | Rückmeldung von Christie‘s: „As stated already, we do not require any advice or assistance“ |
| 14.08.2023 | Der Mangel besteht weiterhin |
| 15.08.2023 | Christie‘s behebt den Mangel offenbar wenige Stunden nach Eingangsbestätigung der Presseanfrage |
Lessons Learned (or not…)
- Sicherheitsmängel kommen vor. Der Umgang ist entscheidend.
- Ein Reaktionsprozess muss vorher etabliert sein.
- Verantwortliche sollten Ansprechpartner und Meldepflichten kennen.