Find a more detailed German version of the statement below.

The attack as described by the scientists at Imperial College London is purely theoretical. It was never actually carried out and based on our measurements on real databases, the conditions under which it could work are so rare as to be practically non-existent. The vulnerability never-the-less will be addressed in our next update to Diffix.

Transparency and being open to contributions from the community, as mentioned by the team from Imperial, is something we have always considered crucial for the further development of Diffix. That’s why we actively encourage scientists and hackers to attempt this or other attacks against the Diffix-System through our Aircloak Attack Challenge — the world’s first bounty program for re-identification of anonymized data.

Felix Bauer, CEO, Aircloak GmbH


Statement zu dem Angriff auf Diffix durch Forscher des Imperial College

erweitert am 7. Mai 2018, 12.22 Uhr

Negative Schlagzeilen zu Aircloak und Diffix nach Attacke durch Imperial College London

In den letzten Tagen waren Diffix und somit auch Aircloak durch negative Schlagzeilen aufgefallen. Forscher des Imperial College London rund um Yves-Alexandre de Montjoye hatten eine vermeintliche Schwachstelle in Diffix gefunden und Nachrichtenagenturen schrieben bald kaum recherchierte Artikel aufgrund eines Blog Posts.

Aircloak unterstützt Angriffe auf das System aktiv durch die Attack Challenge

Zunächst: Wir freuen uns, dass Forscher und Hacker Angriffe auf das Diffix-System fahren. Wie von den Imperial-Kollegen erwähnt, ist Transparenz und Offenheit gegenüber Vorschlägen aus der Community auch für uns ein elementarer Aspekt bei der Entwicklung von Diffix. Deswegen fördern und unterstützen wir dies auch durch unsere einzigartige Attack Challenge und bezahlen Angreifer sogar für Erfolge. Wir sind stolz darauf, auf diese Art und Weise mit internationalen Spezialisten des MIT oder des UCL zusammenarbeiten zu können und das Diffix-System so gemeinsam zu verbessern. Bis zum heutigen Zeitpunkt sind hierfür über 33 Millionen Angriffs-Abfragen gegen Diffix gefahren worden.

Die Attacke ist in der Praxis irrelevant

Allerdings ist die Attacke der Forscher des Imperial College rein theoretisch — sie wurde in der Praxis nie durchgeführt. Leider gab es in der Presse dazu anders klingende Aussagen. Dass sie nicht getestet wurde (oder sich die Forscher dazu nicht äußern) mag einen guten Grund haben: Die Attacke setzt extreme Rahmenbedingungen voraus, die in echten Datensätzen so kaum vorkommen.

Natürlich nehmen wir den Input trotzdem sehr ernst und haben den Ansatz gleich nach Bekanntwerden an realen Datensätzen getestet. Bei Daten über insgesamt 3,6 Millionen Personen war nicht eine einzige dabei, bei der der Angriff erfolgreich durchgeführt hätte werden können. Nähere Informationen zu unserer sofortigen Untersuchung der Attacke gibt es im Blog-Post von Paul Francis, Wissenschaftlichem Direktor des Max-Planck-Instituts für Softwaresysteme.

Der nächste Patch behebt die Schwachstelle bereits

Diffix ist ein System, das sich in ständiger Weiterentwicklung befindet, um komfortabler und performanter, aber vor allem sicherer zu werden. So wird auch der durch das Imperial College beschriebene Angriff bereits im nächsten Update unmöglich gemacht. Der Patch war bereits vor dem Bekanntwerden dieser Attacke geplant gewesen.

Warum kein Coordinated Disclosure?

Nicht nachvollziehen können wir, warum die Forscher des Imperial College London keine sogenannte ‚Coordinated Disclosure‘ vorgenommen haben — das heißt, sie haben die Entwickler und Vertreiber des Diffix-Systems nicht vor Veröffentlichung auf die vermeintliche Schwachstelle aufmerksam gemacht. So ein Vorgehen ist unüblich, da man den Betreibern normalerweise die Möglichkeit geben möchte, einen sicherheitsrelevanten Fehler vor Bekanntwerden zu beheben. Leider haben die Forscher auch auf Nachfragen dazu bisher nicht Stellung genommen.

Noch einmal: Die öffentliche Diskussion ist entscheidend

Die vergangene Berichterstattung hat uns deutlich gemacht, wie relevant unser Thema in diesen Tagen ist. Der verantwortungsvolle Umgang mit persönlichen Daten ist zur Chefsache geworden — und zum Gegenstand öffentlichen Interesses. Ich begrüße sehr, dass man sich kritisch mit Angeboten wie Aircloak Insights auseinandersetzt. Nur durch eine öffentliche Diskussion werden wir alle gemeinsam weiterkommen und mit Daten nachhaltigen Wert für die Gesellschaft generieren.


Felix Bauer, CEO, Aircloak GmbH
www.aircloak.com
https://twitter.com/aircloak
felix@aircloak.com


This statement refers to the following published articles:

“Researchers’ attack on data privacy system shows noise leaks the very data it is trying to protect”, techxplore.com, 01.05.2018
https://techxplore.com/news/2018-05-privacy-noise-leaks.html

“IT-Forscher knacken gehyptes Datenschutzsystem”, pressetext.com, 03.05.2018
https://www.pressetext.com/news/20180503025

“IT-Forscher knacken gehyptes Datenschutzsystem”, IT-Daily.net, 04.05.2018
https://www.it-daily.net/shortnews/18567-it-forscher-knacken-gehyptes-datenschutzsystem

“IT-Forscher knacken gehyptes Datenschutzsystem”, wallstreet-online.de, 03.05.2018
https://www.wallstreet-online.de/nachricht/10509168-it-forscher-knacken-gehyptes-datenschutzsystem

“Britische Forscher knacken Kryptosystem Diffix”, moobilux.com, 03.05.2018
https://www.moobilux.com/2018/05/britische-forscher-knacken-kryptosystem-diffix/


Categorised in: ,