Der größte Autohändler in den Benelux-Staaten sowie weitere Firmen sind vor einiger Zeit aufgeflogen, weil sie Kundendaten an eine obskure Analytics Firma weitergegeben haben. Dort wurden sie zum Trainieren von AI verwendet.
Es ist ein Vorfall, der bereits im Sommer 2024 bekannt wurde, aber ganz gut in die mehr oder weniger zufällig entstandene Artikelreihe über die Risiken von AI bei unbedarftem Einsatz passt. Und ja, es ist nicht der erste Fall, wo jemand Kundendaten oder öffentliche Daten zum Trainieren von AI-Modellen nutzen will.
Fehlkonfiguration bei Rawdamental deckt Datenskandal auf
Das Ganze ist mir bereits im Juni 2024 untergekommen – und nun bei meiner Suche im Archiv wieder vor die Füße gefallen. Sicherheitsforscher von Cybernews sind bei der Analyse des Internet auf eine Fehlkonfiguration in den Systemen von Rawdamental gestoßen.
Wer ist Rawdamental?
Rawdamental ist ein Unternehmen, das sich auf die Sammlung und Bereitstellung von Nutzerdaten spezialisiert hat, die primär für das Training von KI-Modellen genutzt werden. Der Dienstleister erfasst Clickstream-Daten (also Informationen über das Verhalten und die Interaktionen von Nutzern auf Websites) und führt diese in großen Datensätzen zusammen.
Diese Datensätze dienen Kundenunternehmen als Basis, um KI-Modelle zu trainieren, die z. B. das Verhalten von Nutzern vorhersagen sollen. Die Kritik an Rawdamental lautet, dass das Unternehmen Daten ohne ausreichende Anonymisierung sammelt. So können persönliche Daten von Nutzern plötzlich öffentlich werden.
Fehlkonfiguration einer Datenbank
Am 1. Februar 2024 stieß das Cybernews-Team auf eine gravierende Fehlkonfiguration in den Systemen Rawdamental. Konkret war es eine fehlende Authentifizierung beim Kibana-Dashboard des Unternehmens. Das ist ein Online-Tool zum Suchen, Visualisieren und Analysieren gespeicherter Daten. Über dieses Kibana-Dashboard konnten unbefugte Dritte auf alle Daten, die dort gespeichert waren zugreifen.
Der Fall Van Mossel & Co.
Die Suche im Web ergibt für Rawdamental z.B. bei Google kaum Treffer, und das Unternehmen ist nicht im niederländischen Unternehmensregister zu finden, schreibt Cybernews. Aber man hat herausgefunden, dass die Dienste dieses Unternehmens von zahlreichen niederländischen Unternehmen in Anspruch genommen wurden. Cybernews gibt folgende Firmen an, die mit Rawdamental kooperierten:
-
Autohändler – Van Mossel
-
Softwarefirmen – Simpul.nl und Divtag.nl
-
Marktplatz für Motorrad-Teile – Motorparts-online.com
-
Marketing-Agentur – InovaMedia
-
Feuerwerks-Verkäufer – Vuurwerkbestel.nl
-
Einrichtungshaus – Oletti.nl
-
Weihnachtsgeschenkservice – Kerstpakkettenexpress.nl und kerstcomplimenten.nl
-
Niederländischer Motorsport-Fanclub – Ttassen-fanbase.com
Von diesen Unternehmen landeten die Daten ihrer Kunden bei Rawdamental in der Datenbank und wurden zum trainieren von KI-Modellen verwendet. Van Mossels ist der größte Autohändler in Benelux, und ich habe sogar dieses PDF-Dokument gefunden, in dem der Autohändler bestätigt, dass Cookies von Rawdamental gespeichert würden.
Der Datenskandal
Die fehlende Authentifizierung muss wohl seit Dezember 2021 existiert haben, so dass die Daten der Unternehmen (und damit ihrer Kunden) öffentlich zugänglich waren. Das Unternehmen Rawdamental hat weder auf die Kontaktversuche von Cybernews noch auf die des Computer Emergency Response Team (CERT) in den Niederlanden reagiert. Kurz vor Veröffentlichung des Artikels stellten die Forscher fest, dass das Rawdamental die Kiribati-Instanz abgesichert und so das Datenleck geschlossen hatte.
Die Analyse der zugreifbaren Daten durch Cybernews-Sicherheitsforscher ergab, dass sich unter den gesammelten Daten auch private Nutzerinformationen befanden. Dazu gehörten folgende Daten:
- IP-Adressen der Nutzer
- Aufgerufene URLs
- Titel der besuchten Seiten
- User Agents
In einigen Fällen wurden auch Nutzernamen und Projekte, an denen Kunden gearbeitet haben, eindeutige Nutzer-IDs, die auf der Grundlage verschiedener Arten von Metadaten erstellt wurden etc. geleaked. Das mit privaten Daten trainierte Modell könnte sensible Informationen ohne Zustimmung der Nutzer preisgeben, schreiben die Sicherheitsforscher in ihrem Artikel Data leak reveals auto giant and others harvesting user data to train AI models von Juni 2024.
Abgesehen von den offensichtlichen Cybersicherheitslücken, die zu einem Datenleck geführt und eine Fundgrube für Angreifer geschaffen haben, ist ein weiteres großes Problem die unzureichende Anonymisierung der Benutzerdaten durch das Unternehmen, merken die Sicherheitsforscher an.
"Dies ist ein bekanntes Risiko bei KI-Tools am Arbeitsplatz, das mehrere Unternehmen dazu veranlasst hat, deren Verwendung zu verbieten, aus Angst, dass sensible Unternehmensinformationen an den Betreiber des Tools weitergegeben werden könnten. Diese Datenpanne erinnert auch daran, dass solche Risiken auch bei herkömmlichen Online-Tools bestehen", sagte Aras Nazarovas, Sicherheitsforscher bei Cybernews. Es ist nicht der erste und der letzte Fall aus diesem Bereich, zeigt aber die Gefahren, die durch den unbedarften Einsatz von KI lauern.
Ähnliche Artikel:
KI-Irrsinn Teil 1: Wenn ChaptGPT, Copilot & Co. dich zu Fake-Orten locken
KI-Irrsinn Teil 2: Amazon schickt Unterlassungserklärung an Perplexity AI für Einkäufe über Comet
KI-Irrsinn Teil 3: KI-generiere "Nichtigkeitsklage" vom Gericht abgewiesen
KI-Irrsinn Teil 4: Wenn die Anwender mal selber machen
KI-Irrsinn Teil 5: Deloitte, die KI und der versemmelte Report in Australien
MVP: 2013 – 2016
Ist das nicht sogar ein Verstoß gegen die DSGVO?
Schon, aber die gilt ja bekanntlich nicht für alle gleichermaßen.
Habe ich mich auch gefragt. Wo bleiben eigentlich die Millionenstrafen, mit denen Abmahnanwälte die Handwerkerhomepage-Webmaster in 2 Semester Cookiebanner-Perfektionierungs-Studium getrieben haben?
Das frage ich mich als Handwerkerhomepage-Webmaster auch. Es sind etliche Stunden in zahlreiche DSGVO-Maßnahmen geflossen und wir müssen auf so einiges verzichten, um DSGVO-Gerecht zu sein. Selbst die gängigen Captchas dürfen wir wg. DSGVO nicht benutzen.
Die DSGVO ist nur eine Gelddruckmaschine für Anwälte und Berater und Unternehmen die sich darauf spezialisiert haben.
So ein Unsinn!
Kann überall nachgelesen werden, wenn man das objektiv betrachten will.
Für spezialisierte Berater, Kanzleien, IT-Dienstleister und Anbieter von Datenschutz-Services bildet sie aber ein bedeutendes und nachhaltiges Geschäftsfeld.[it-service +2]
Schwachsinn – muss sowas hier stehen, Günther Born?
Wieso? Das ist einfach die Wahrheit.
Ist nicht so extrem, dass ich es zensieren will, auch wenn ich es anders sehe – DSGVO sollte imho von Unternehmen gelebt werden.
Du solltest auch andere Ansichten respektieren, ich tue das auch ohne komisch zu werden.
DSGVO egal ob am Telefon, Kasse im Supermarkt oder irgendwo im Internet hat mich schon fast mehr Lebenszeit gekostet als … ein Jahr diesen Blog hier zu lesen!
Was hat das mit Ansichten, TBR?
Das ist im besten Falle Trollerei, im schlechtesten bewusste Irreführung.
Alleine die paar Firmen, die zentral gehostete "Cookie-Banner" anbieten (die alleine technisch schon wieder wegen der externen Abrufdaten ein zusätzliches DSGVO Problem darstellen) sind ein Riesenbusiness.
Ob es ein riesen Business ist, weiß ich nicht. Aber es steckt bei Consent Management-Plattformen schon mehr dahinter als "ein zentral gehosteted Cookie-Banner" anzubieten. Aber das müssen wir hier nicht weiter vertiefen, da es a) an obigem Artikelthema vorbei geht und b) imho kaum einer der Leser, der nicht selbst als Publisher auf so etwas angewiesen ist, durchdringt.
Schon ist aber ein Antragsdelikt! Wo kein Kläger da kein Richter!
Ich versteh den Sinn der Überschrift nicht, es wird ein Autohändler angeteasert, aber eigentlich geht es inhaltlich nur um die Firma Rawdamental.
Die Weitergabe der Daten durch durch den Autohändler scheinen durch die Zustimmungen der Cookies ja abgedeckt zu sein. Ob das ganze überhaupt in den Bereich KI gehört sei mal dahingestellt, eine Auswertung der Websitebesuche inkl. Klickverhalten, Verweildauer und wiederkehrenden Besuchern gibt es schon immer. Nur weil bei sowas heute KI draufsteht ist noch lange keine KI drin.
Die Überschrift müsste also eher lauten. Daten eines Dienstleisters für KI Training öffentlich zugänglich, zahlreiche Firmen und deren Kunden betroffen.
Nein, der größte Autohändler in den Niederlanden, Belgien und Luxemburg (sowie einige andere Unternehmen) haben Kundendaten an einen Dienstleister transferiert, der nicht im niederländischen Unternehmensregister steht (für mich obskur, weil man bei einer Suche nur das herausfindet, was CyberNews publiziert hat). Verantwortlich für die Datenverarbeitung ist der Betrieb, an dem die Daten angefallen und weitergegeben wurden.
Da fehlt imho schon die informierte Einwilligung der Nutzer – eine Erwähnung eines Cookies für die Webseite in einem PDF ist was anderes.
Weil es mir heute zufällig wieder als alte Mail untergekommen ist, ein Link.
ChatGPT und der Datenschutz: So bewertet der LfD Niedersachsen den Chatbot (aus DSN von 2024).
Nein, es wird KI angeteasert. Und dann kommt ein Fall, der schon 1.5 Jahre im Kohlenkeller liegt.
Ist bald kein Problem mehr:
Aus vier wird eins: EU-Digitalreform weicht Datenschutz auf
Die EU plant eine drastische Überarbeitung der DSGVO: Weniger Schutz für pseudonymisierte Daten, Cookie-Tracking ohne Einwilligung und KI-Training mit persönlichen Daten sollen erlaubt werden. Was das für euren Datenschutz bedeutet.
https://winfuture.de/news,154821.html
—-
GB: Muss mal schauen, ob ich es aufbereite – die bessere Primär-Quelle ist netzpolitik.org und deren Artikel:
"Digitaler Omnibus": EU-Kommission will Datenschutzgrundverordnung und KI-Regulierung schleifen
Und weil es so wunderbar passt, noch der aktuelle Artikel von Bianca Kastl:
Degitalisierung: Sei ein Esel: Menschen sind irgendwie auch Herdentiere, die kopflos in eine Richtung mitlaufen. Im KI-Enthusiasmus müssen wir aber nicht blind aufgescheuchten Innovationsherdentieren folgen. Dafür brauchen wir vielleicht nur ein besseres Wappentier, das mehr Bewusstsein hat als jede sogenannte künstliche Intelligenz.
Datenschutz war schon immer Eigenverantwortung, wer sich da auf andere verlässt ist verlassen. Blocken blocken blocken und Datenvermeidung! Daten die nicht existieren können auch nicht abgeschnorchelt werden!
Wir haben stets unsere Rechner so ausgeliefert, dass die Browser beim Beenden alle Cookies gelöscht haben.
Der DSGVO-Cookiebannerterror hat dazu geführt, dass viele unserer Privatkunden darauf bestehen, die Cookiebanner bei jedem Browserstart nicht mehr sehen zu wollen. Das geht nur zuverlässig, wenn man die Browser so einstellt, dass die Cookies nach der Browsersitzung nicht gelöscht werden. Sprich: der DSVGO-Cookiebannerterror, der sich ja über Cookies merkt, welchen Cookies der User bereits zugestimmt hat, führt zum genauen Gegenteil.
> Datenschutz war schon immer Eigenverantwortung
Was für ein Blödsinn. In dem im Artikel benannten Kontext (und vielen anderen) ist das völlig irrelevant.
"Free flow of data". Achso, da redet man plötzlich von mehr Freiheit.
#1984bvibes 😉
Was bewirkt denn die DSGVO in den Benelux Staaten – IMHO gar nichts. Es ist teilweise deutscher Schwachsinn und nicht mehr. Wer weis denn wie in diesen Staaten die Weitergabe von Daten geregelt ist?
so long
Yumper