Cloudflare: 35.000 Mal wurden Domain-Inhaber preisgegeben

Kommentare zu folgendem Beitrag: Cloudflare: 35.000 Mal wurden Domain-Inhaber preisgegeben

Gibt es denn eigentlich noch ein CDN was mal wirklich an die Privacy der Nutzer denkt und die Daten nicht rausrückt?
Da interessiert es mich immer wieder wie es die WAREZ Foren/Seite machen.

Cloudflare: 35.000 Mal wurden Domain-Inhaber preisgegeben

Ich denke, dass sich diese Aussage auf den Absatz im Transparenzreport bezieht?!

0789×518 40.6 KB

https://cfassets.www.cloudflare.com/slt3lc6tev37/7zpcP8gSOsFmvPLzriNINM/4a2f83a4e825e828371f54e5d078f777/Transparency-Report-1H2021.pdf

Faktisch falsch ist dabei allerdings, dass alle Inhaber der betroffenen 35.382 Domains preisgegeben wurden

Wo, bei Cloudflare, soll das denn so bestätigt niedergeschrieben sein Das steht so nämlich einfach nirgends…Die einzige Aussage seitens CF im Transparenzreport dazu ist:

Zivilprozess. Cloudflare reagiert auf gerichtliche Verfahren, in denen Teilnehmerdaten von Zivilklägern angefordert werden, wie z.B. Vorladungen, die gemäß dem Digital Millennium Copyright Act (DMCA) ausgestellt wurden, um Informationen über Nutzer zu erhalten, die angeblich Urheberrechte verletzen.

Dort steht allerdings nirgendwo, in welcher Art und Weise bzw. mit welchem Ergebnis,
Cloudflare reagiert

Hier noch die Erklärungen zum letzten, aktuellen Report, seitens CF:

1. Cloudflare hat niemals seine Verschlüsselungs- oder Authentifizierungsschlüssel oder die Verschlüsselungs- oder Authentifizierungsschlüssel seiner Kunden an jemanden weitergegeben.

2. Cloudflare hat niemals Software oder Ausrüstung zur Strafverfolgung in seinem Netzwerk installiert.

3. Cloudflare hat niemals einer Strafverfolgungsorganisation einen Feed der Inhalte seiner Kunden, die ihr Netzwerk durchlaufen, zur Verfügung gestellt.

4. Cloudflare hat niemals Kundeninhalte auf Anfrage von Strafverfolgungsbehörden oder anderen Dritten verändert.

5. Cloudflare hat niemals das beabsichtigte Ziel von DNS-Antworten auf Anfrage von Strafverfolgungsbehörden oder einer anderen dritten Partei geändert.

6. Cloudflare hat niemals seine Verschlüsselung auf Anfrage von Strafverfolgungsbehörden oder anderen Dritten geschwächt, kompromittiert oder untergraben.

7. Wenn Cloudflare dazu aufgefordert würde, würden sie alle Rechtsmittel ausschöpfen, um seine Kunden vor den unserer Meinung nach, illegalen oder verfassungswidrigen Anfragen zu schützen.

HINTERGRUND ZU DEN DATEN:

Die unten aufgeführten Daten beziehen sich auf den Zeitraum vom 1. Januar 2021 bis zum 30. Juni 2021. Eine Anfrage, die im Juni 2021 eingeht, aber erst im Juli 2021 bearbeitet wird, wird sowohl als „eingegangene Anfragen“ als auch als „Anfragen in Bearbeitung“ angezeigt. Auch Anträge, bei denen wir auf eine Antwort der Strafverfolgungsbehörden warten, bevor wir sie bearbeiten, können unter „Anträge in Bearbeitung“ aufgeführt sein. Die Gesamtzahl der betroffenen Domänen und die Gesamtzahl der betroffenen Konten beziehen sich nur auf Anfragen, die beantwortet wurden.

HINTERGRUND ZU ANFRAGEN NACH NUTZERDATEN:

Cloudflare erhält Anfragen nach verschiedenen Arten von Daten über seine Nutzer von US-amerikanischen und ausländischen Regierungen, Gerichten und solchen, die in zivilrechtliche Streitigkeiten verwickelt sind. Um zusätzliche Transparenz über die Art der Informationen, die Cloudflare zur Verfügung stellen könnte, zu schaffen, haben wir die Arten von Anfragen, die wir erhalten, aufgeschlüsselt, ebenso wie das rechtliche Verfahren, das wir benötigen, bevor wir bestimmte Arten von Informationen zur Verfügung stellen. Wir überprüfen jede Anfrage auf ihre rechtliche Zulänglichkeit, bevor wir mit Daten antworten.

Wir sind uns auch darüber im Klaren, dass die Anfrage einer Regierung nach Daten im Widerspruch zu den gesetzlichen Regelungen einer anderen Regierung zum Schutz der persönlichen Daten ihrer Bürger stehen kann. Cloudflare ist der Meinung, dass staatliche Anfragen nach persönlichen Daten einer Person, die mit den Datenschutzgesetzen des Landes, in dem diese Person lebt, in Konflikt stehen, rechtlich angefochten werden sollten. Wir haben bisher noch keine staatliche Anfrage erhalten, bei der wir einen solchen Konflikt festgestellt haben.

Dieser Bericht enthält keine Informationen über behördliche Anfragen nach Daten, die bei Cloudflare-Partnern eingehen können.

Anfragen für grundlegende Abonnentendaten:

Die häufigsten Anfragen, die Cloudflare erhält, sind Anfragen nach Informationen, die zur Identifizierung eines Cloudflare-Kunden verwendet werden können. Zu diesen grundlegenden Teilnehmerdaten gehören die Informationen, die unsere Kunden bei der Anmeldung für unseren Service angeben, wie Name, E-Mail-Adresse, Anschrift, Telefonnummer, Zahlungsmittel oder -quelle für den Service und nicht-inhaltliche Informationen über das Konto eines Kunden, wie Daten über Anmeldezeiten und IP-Adressen, die für die Anmeldung beim Konto verwendet werden. Sofern kein Notfall vorliegt, benötigt Cloudflare ein rechtsgültiges Verfahren, wie z.B. eine Vorladung oder ein ausländisches Äquivalent einer Vorladung, bevor diese Art von Informationen an ausländische oder inländische Regierungsbehörden oder Zivilprozessparteien weitergegeben werden.

U.S.-Regierung. Gemäß dem Electronic Communications Privacy Act (ECPA) kann die US-Regierung die Offenlegung von Teilnehmerinformationen durch eine Vorladung erzwingen, eine Art von Gerichtsverfahren, das keine vorherige gerichtliche Überprüfung erfordert. Obwohl Cloudflare in der Regel eine Vorladung verlangt, bevor es Teilnehmerinformationen zur Verfügung stellt, kann Cloudflare in Übereinstimmung mit dem ECPA Informationen ohne Verzögerung an die Strafverfolgungsbehörden weitergeben, wenn die Anfrage eine unmittelbare Gefahr für den Tod oder eine schwere Verletzung einer Person beinhaltet. Cloudflare wird Anfragen zur Offenlegung von Informationen in Notfällen von Fall zu Fall prüfen, sobald sie diese erhalten. Bei dringenden Offenlegungsanfragen bitten sie die Strafverfolgungsbehörden, ein Gerichtsverfahren einzuleiten, wenn es die Zeit erlaubt

Neben den Vorladungen, die unter ECPA ausgestellt werden, können einige US-Regierungsbehörden administrative Vorladungen für Teilnehmerdaten ausstellen. Cloudflare hat eine Reihe solcher Vorladungen von der Securities and Exchange Commission (SEC) erhalten.

Nationaler Sicherheitsprozess. Die U.S.-Regierung kann auch eine Reihe von verschiedenen Arten von nationalen Sicherheitsanfragen nach Daten stellen. Im Rahmen des Foreign Intelligence Surveillance Act (FISA) kann die US-Regierung beim FISA-Gericht eine gerichtliche Anordnung beantragen, um u. a. von US-Unternehmen die Herausgabe von persönlichen Daten der Nutzer zu verlangen. Die US-Regierung kann auch National Security Letters (NSLs) ausstellen, die mit Vorladungen vergleichbar sind und Teilnehmer- und Nicht-Inhaltsdaten betreffen. Sowohl FISA-Gerichtsbeschlüsse als auch NSLs sind in der Regel mit einer Geheimhaltungsverpflichtung verbunden.

Cloudflare hat seit langem Bedenken bezüglich dieser Arten von Geheimhaltungsverpflichtungen, insbesondere wenn sie unbefristet sind

Im Jahr 2013, nachdem Cloudflare eine solche NSL erhalten hatte, erhoben sie Einspruch gegen eine administrativ auferlegte Geheimhaltung, die es Cloudflare unter Androhung strafrechtlicher Konsequenzen verbot, Informationen über diese NSL an andere Personen als deren Anwälte und eine begrenzte Anzahl ihrer Mitarbeiter weiterzugeben. Cloudflare stellte keine Kundeninformationen zur Verfügung, die Gegenstand der NSL-12-358696 waren; die Geheimhaltungsbestimmungen der NSL blieben jedoch fast vier Jahre lang in Kraft, bis Dezember 2016, wonach Cloudflare den Erhalt der NSL zusammen mit einer geschwärzten Kopie der NSL bekannt gab.

Regierungen außerhalb der Vereinigten Staaten. Cloudflare antwortet auf Anfragen von Regierungen außerhalb der Vereinigten Staaten nach allen Arten von Informationen, einschließlich Teilnehmerdaten, die durch ein US-Gericht auf diplomatischem Weg wie ein Rechtshilfeersuchen (MLAT) ausgestellt werden. Die Informationen, die Regierungen außerhalb der Vereinigten Staaten als Antwort auf diese Anfragen zur Verfügung gestellt werden, sind die gleichen, die der US-Regierung als Antwort auf eine ähnliche US-Gerichtsanordnung zur Verfügung gestellt werden würden.

Cloudflare prüft von Fall zu Fall Anfragen nach Teilnehmerinformationen von Regierungen außerhalb der Vereinigten Staaten, die nicht durch das US-Gerichtssystem kommen. Cloudflare kann nach eigenem Ermessen Teilnehmerdaten als Antwort auf eine lokale Entsprechung einer Vorladung zur Verfügung stellen, vorausgesetzt, dass die Anfrage mit dem lokalen Recht übereinstimmt und mit internationalen Normen und Cloudflare-Richtlinien vereinbar ist.

Im März 2018 verabschiedeten die Vereinigten Staaten den Clarifying Lawful Overseas Use of Data (CLOUD) Act, der es der US-Regierung erlaubt, Executive Agreements mit anderen Regierungen abzuschließen, um beiden Regierungen einen direkten Zugriff der Strafverfolgungsbehörden auf Daten zu ermöglichen, die im jeweils anderen Land gespeichert sind, um bestimmte Verbrechen zu untersuchen und zu verfolgen. Das Gesetz erlaubt es Ländern, die solche Abkommen mit den Vereinigten Staaten abschließen, Inhaltsdaten von US-Unternehmen direkt anzufordern, indem sie das Rechtsverfahren des jeweiligen Landes nutzen, anstatt dass die Strafverfolgungsbehörden des Landes mit den US-Strafverfolgungsbehörden zusammenarbeiten müssen, um ein US-Rechtsverfahren, wie z. B. einen Gerichtsbeschluss, zu erhalten.

Cloudflare ist der Ansicht, dass der Zugang der Regierung zu Daten mit den Prinzipien der Rechtsstaatlichkeit und des ordnungsgemäßen Verfahrens übereinstimmen muss, einschließlich der vorherigen unabhängigen gerichtlichen Überprüfung von Anfragen nach Inhalten; dass die Nutzer das Recht haben, benachrichtigt zu werden, wenn die Regierung auf ihre Daten zugreift; und dass Unternehmen über Verfahrensmechanismen verfügen müssen, um rechtliche Anfechtungen von Zugangsanfragen vorzubringen. Unabhängig davon, ob wir uns innerhalb oder außerhalb der Vereinigten Staaten befinden, werden wir uns gegen Anfragen der Strafverfolgungsbehörden wehren, von denen wir glauben, dass sie zu weit gehen, illegal sind oder zu Unrecht gestellt wurden, oder die unsere Fähigkeit zur Transparenz gegenüber unseren Nutzern unnötig einschränken.

Zivilprozess. Cloudflare reagiert auf gerichtliche Verfahren, in denen Teilnehmerdaten von Zivilklägern angefordert werden, wie z.B. Vorladungen, die gemäß dem Digital Millennium Copyright Act (DMCA) ausgestellt wurden, um Informationen über Nutzer zu erhalten, die angeblich Urheberrechte verletzen.

Notfall-Anfragen. Cloudflare erhält von Zeit zu Zeit dringende Anfragen nach Daten von Strafverfolgungsbehörden und Regierungen. Cloudflare wird auf freiwilliger Basis antworten, wenn wir in gutem Glauben davon ausgehen, dass ein Notfall vorliegt, der die Gefahr des Todes oder einer schweren Körperverletzung beinhaltet.

Anfragen für andere Nicht-Inhaltsdaten:

Über die oben beschriebenen Arten von Teilnehmerdaten hinaus erhält Cloudflare manchmal gerichtliche Anordnungen für Transaktionsdaten, die sich auf das Konto oder die Website eines Kunden beziehen, wie z. B. Protokolle der IP-Adressen, die die Website eines Kunden besuchen, oder die Daten und Zeiten, zu denen ein Kunde den Support kontaktiert hat. Da Cloudflare solche Daten nur für einen begrenzten Zeitraum aufbewahrt, hat Cloudflare nur selten Daten, die auf solche Anfragen antworten.

Gerichtliche Anordnungen. Gerichtliche Anordnungen sind Anfragen nach Daten, die von einem Richter oder Staatsanwalt ausgestellt werden. Mit einer gerichtlichen Anordnung kann Cloudflare sowohl die grundlegenden Teilnehmerinformationen, die als Antwort auf eine Vorladung zur Verfügung gestellt werden könnten, als auch andere nicht-inhaltliche Informationen bereitstellen. Die gerichtlichen Anordnungen, die Cloudflare erhält, beinhalten in der Regel eine vorübergehende Geheimhaltungspflicht.

Pen Register Trap and Trace. Cloudflare erhält regelmäßig Pen-Register/Trap-and-Trace-Anordnungen, die von einem Gericht ausgestellt werden und die Offenlegung von Nicht-Inhaltsinformationen in Echtzeit verlangen, wie z. B. IP-Adressen von Besuchern eines Kontos oder einer Website. Als Antwort auf diese Anfragen stellen wir in begrenztem Umfang zukunftsorientierte Daten zur Verfügung.

Anfragen für Inhaltsdaten:

Cloudflare ist im Allgemeinen kein Hosting-Anbieter oder E-Mail-Dienstleister und verfügt nicht über Kundeninhalte - wie E-Mails oder andere Arten von kundengeneriertem Material - im herkömmlichen Sinne. In den seltenen Fällen, in denen die Strafverfolgungsbehörden nach Inhalten wie Missbrauchsbeschwerden oder Support-Kommunikation gesucht haben, hat Cloudflare auf einem Durchsuchungsbefehl für diese elektronische Kommunikation bestanden, in Übereinstimmung mit den in U.S. v. Warshak dargelegten Prinzipien. Bis heute haben wir keine solchen Durchsuchungsbefehle erhalten.

Abhören. Eine Abhöranordnung ist ein Gerichtsbeschluss, der ein Unternehmen dazu verpflichtet, den Inhalt von Kommunikationen in Echtzeit zu übermitteln. Die Strafverfolgungsbehörden müssen sehr detaillierte rechtliche Anforderungen erfüllen, um eine solche Anordnung durchzusetzen. Cloudflare hat nie einen solchen Abhörbefehl erhalten.

Nationaler Sicherheitsprozess. Die US-Regierung kann gerichtliche Anordnungen beim FISA-Gericht beantragen, um von US-Unternehmen zu verlangen, den Inhalt der Kommunikation von Nutzern an die Regierung zu übermitteln. Wie bereits erwähnt, hat Cloudflare keinen Zugang zu der Art von traditionellen Kundeninhalten, die im Allgemeinen von FISA-Gerichtsanordnungen verlangt werden. Da die öffentliche Berichterstattung über alle nationalen Sicherheitsprozesse stark reglementiert ist, würde Cloudflare, wenn es eine solche Anordnung erhalten würde, als Teil einer kombinierten Anzahl von NSLs und FISA-Anordnungen mit und ohne Inhalt in einer Bandbreite von 250, beginnend mit 0-250, gemeldet werden.

HINTERGRUND ZU ANTRÄGEN AUF ENTFERNUNG ODER SPERRUNG VON INHALTEN:

Cloudflare betreibt ein globales Netzwerk, das Sicherheits- und Leistungsverbesserungen für Websites und Anwendungen im Internet auf der ganzen Welt bietet. Da die Infrastruktur von Cloudflare zwischen den Websites unserer Kunden und den Internetnutzern steht, um diese Websites vor direkten Angriffen zu schützen und Anfragen an und von diesen Servern zuzustellen, können die Nameserver von Cloudflare in den WHOIS-Daten und die IP-Adressen von Cloudflare in den DNS-Einträgen von Websites erscheinen, die unseren Service nutzen.

Als die Kontaktstelle, die in den entsprechenden Aufzeichnungen aufgeführt ist, erhält Cloudflare Anfragen zur Entfernung von Inhalten aus unserem Netzwerk von Urheberrechtsinhabern, die eine Verletzung behaupten, oder von Regierungen, die den Standpunkt vertreten, dass die Inhalte rechtswidrig sind. Da Cloudflare nicht in der Lage ist, Material aus dem Internet zu entfernen, das von anderen gehostet wird, leiten wir Anfragen zur Entfernung von Inhalten in der Regel an den Website-Hosting-Anbieter weiter, der Zugang zu den Website-Inhalten hat und in der Lage ist, das zugrunde liegende Problem zu lösen.

Eine kleine, aber wachsende Anzahl von Cloudflare-Produkten beinhaltet Speicherplatz. Für Inhalte, die endgültig im Cloudflare-Netzwerk gespeichert werden, im Gegensatz zu Transit- oder vorübergehendem Caching im Netzwerk, prüfen wir die Beschwerde sorgfältig, um festzustellen, ob zusätzliche Maßnahmen ergriffen werden müssen.

Eine kleine, aber wachsende Anzahl von Cloudflare-Produkten umfasst die Speicherung. Cloudflare hat andere Nutzungsbedingungen und einen anderen Prozess, um auf Missbrauchsbeschwerden zu reagieren, die sich auf Inhalte beziehen, die in unserem Netzwerk gespeichert sind, im Gegensatz zu Inhalten, die durch das Netzwerk hindurchgehen oder dort vorübergehend zwischengespeichert werden. Dies spiegelt die unterschiedlichen rechtlichen Anforderungen und Erwartungen für definitiv gehostete Inhalte wider. Dieser Bericht enthält Details zu den Anfragen, die wir erhalten, um den Zugang zu Inhalten zu sperren, die in unserem Netzwerk gespeichert sind.

Anträge auf Entfernung von Inhalten aufgrund von Urheberrechten:

Cloudflare prüft sorgfältig Anfragen, die wir zur Entfernung von Inhalten gemäß dem Digital Millennium Copyright Act (DMCA) erhalten. Wenn wir eine DMCA-Beschwerde in Bezug auf die begrenzte Menge an Inhalten, die wir hosten, erhalten, werden wir den Benutzer über die angebliche Verletzung benachrichtigen, dem Benutzer die Möglichkeit geben, eine Gegendarstellung zu übermitteln, in der er die Behauptung der Verletzung bestreitet, und den Inhalt in Übereinstimmung mit dem DMCA entfernen.

Anträge auf Blockierung von Inhalten:

Cloudflare kann auch schriftliche Anfragen von Strafverfolgungsbehörden, Regierungsbehörden oder ausländischen Gerichten erhalten, um den Zugang zu Inhalten zu sperren, basierend auf dem lokalen Recht der Gerichtsbarkeit. Aufgrund der erheblichen potenziellen Auswirkungen auf die Freiheit der Meinungsäußerung wird Cloudflare jede Anfrage zur Sperrung von Inhalten von Fall zu Fall prüfen und die faktische Grundlage und die rechtliche Autorität für die Anfrage analysieren.

Wenn wir feststellen, dass der Auftrag gültig ist und Cloudflare Maßnahmen erfordert, können wir die Sperrung des Zugangs zu den Inhalten auf die Gebiete beschränken, in denen sie gegen das lokale Recht verstoßen, eine Praxis, die als „Geo-Blocking“ bekannt ist. Wir werden versuchen, zu weit gehende Anfragen zu klären und einzugrenzen, wenn dies möglich ist.

Anträge auf einheitliche Beilegung von Domänennamenstreitigkeiten:

Als ein von der ICANN akkreditierter Domain-Registrar befolgt Cloudflare die Uniform Domain-Name Dispute Resolution Policy (UDRP) der ICANN für markenbasierte Domainnamenstreitigkeiten. In Übereinstimmung mit dieser Richtlinie wird Cloudflare nach Erhalt eines gültigen UDRP-Überprüfungsantrags von einem von der ICANN genehmigten Streitschlichtungsausschuss: (1) den/die strittigen Domainnamen sperren, um eine Änderung der Registrier- und Registrierstelleninformationen für die Dauer des Streitfalls zu verhindern, und (2) die zugrundeliegenden WHOIS-Informationen dem Streitschlichtungsgremium offenlegen oder zur Verfügung stellen.

Nach Erhalt eines gültigen Bescheids eines von der ICANN anerkannten Streitschlichtungsgremiums und basierend auf der Entscheidung wird Cloudflare, je nach Bedarf, die Domain entsperren, um dem Beklagten die Verwaltung der Domain zu ermöglichen, die Domain zu einem vorher festgelegten Zeitpunkt an den Kläger übertragen, um dem Beklagten die Möglichkeit zu geben, einen Rechtsstreit mit seinem lokalen Rechtssystem, das der Gerichtsbarkeit des Registrars unterliegt, einzuleiten, oder die Domain löschen.

Gegenfrage: Warum sollte ein CDN denn überhaupt so reagieren, wenn die Anfrage der Daten juristisch einwandfrei ist Warum sollte ein IT-Diensteanbieter nicht gegen Kunden vorgehen dürfen, die gegen geltendes Recht und somit auch gegen die eigenen AGBs handeln
Ein „Content Delivery Network“ ist technisch gesehen, nichts anderes, wie ein großer Load-Balancer. Dieses Netzwerk ist absolut nicht vergleichbar mit z.B. VPN und / oder -Proxy-Netzwerken, deren Einsatz primär auf Verschleierung ausgelegt ist…
Die Verschleierung von IP, DNS und direkten Server-Daten ist bei Cloudflare quasi ein netter Nebeneffekt, auf Grund seiner technischen Infrastruktur - vergleichbar bei einem Intranet mit dem Internet

Zu deiner Frage, wie die ganzen Warez-Projekte das machen mit Cloudflare, kann ich nur sagen: Teilweise falsch aber auch teilweise richtig…

Aber mal ernsthaft → Wer sein Warez-Projekt oder irgend eine andere illegale Site, mit nachvollziehbaren Real-Daten bei Cloudflare oder sonst wo registriert, gehört verprügelt Die Sicherheit des Betreibers ist dabei zweitrangig - schließlich trägt dieser auch die Verantwortung für die Sicherheit seiner Nutzer - und das wäre erstrangig…
Da CF sowieso jegliche Art von Fake-Daten wortlos akzeptiert, sehe ich absolut keinen verständlichen Grund, seine echte Vita dort zu hinterlegen
Abgesehen davon, sollten Betreiber von Warez-Projekten u.ä. noch andere Techniken einsetzen, als Ergänzung zu Cloudflare…

Ja, die Qualität und der Wahrheitsgehalt der Nachrichten hier sinken immer mehr.
Und dann reagiert der Spinner nicht mal auf solche Hinweise.