# tuDOWN Leaks Laut [Link entfernt, um zu vermeiden, dass die Sache einzelnen Personen angehängt wird. Dies ist eine Taktik solcher Hackinggruppen, um einzelne Personen unter Druck zu setzen.] wurden Daten der TU Berlin durch eine Hackinggruppe veröffentlicht. Im Screenshot sind die Dateinamen von PDFs und JPGs zu sehen, die auf Dokumente mit persönlichen Daten hindeuten. Es kursieren Darknet-Links zum Leak, lest die nicht, die Daten sind privat. :::warning **Ab hier handelt es sich um Spekulationen.** Wir wollen jedoch trotzdem versuchen, mit diesen dem Tweet etwas mehr Kontext zu geben. ::: Woher diese Dateien stammen ist nicht erkennbar. In Frage könnten u. a. Exchange (E-Mails), tubCloud (Cloud der TU Berlin) oder AFS (verteilter Netzwerkspeicher der TU Berlin) kommen. Andere Quellen sind jedoch nicht auszuschließen. Auf der Informationsveranstaltung für Beschäftigte wurde gesagt, dass keine großen Datendownloads bemerkt wurden. Insofern könnten diese Daten mit etwas Glück eher beispielhaft sein. Zweck der Veröffentlichung solcher _Leaks_ ist es ja auch für Unsicherheit darüber zu sorgen, wie viele Daten tatsächlich kopiert wurden, um die _Zahlungsbereitschaft_ der Betroffenen zu erhöhen. Es scheint jedoch nicht ausgeschlossen zu sein, dass _deutlich größere Datenbestände als bisher bekannt_ kopiert worden sind. > **Update 1** Auffällig ist, dass sämtliche Dateien ein Präfix besitzen. Ein Rückschluss auf die Herkunft der Dateien lässt sich hierdurch jedoch nicht treffen. Andere Leaks weisen das selbe Präfix-Schema auf, es scheint sich also hier um eine Struktur der Hackinggruppe zu handeln. > [time=Tue, 25 May, 2021 11:04] **Exchange:** Im Falle von Exchange kann das die E-Mails betreffen, die ihr bekommen habt (bspw. Aktivierungslinks oder Listenpasswörter), aber auch Entwürfe und E-Mails, die ihr geschrieben habt (im Ordner „Gesendete Elemente“ o. ä.). Das kann beispielsweise Ausweiskopien, unterschriebene Dokumente und andere Nachweise einschließen. Und natürlich auch E-Mails, die im Junk- oder Trash-Ordner liegen. **tubCloud:** Im Falle der tubCloud könnte das alle Daten betreffen, die in der tubCloud gespeichert sind. In der Regel sind diese nicht Ende-zu-Ende-verschlüsselt. Möglicherweise sind sie aber auf Dateisystem-Ebene noch einmal verschlüsselt. ~~Die Art der Versionierung legt möglicherweise nahe, dass die Daten *nicht* aus der tubCloud stammen[^1]~~ [Streichung, siehe Update 1]. **AFS:** Im Falle des AFS könnten alle dort gespeicherten Dateien betroffen sein. AFS wird häufig von Fachgebieten und der Verwaltung genutzt. Auch viele Dateien der Typo3-Website werden hier gepeichert. Allerdings sind hier auch die Konfigurationsinformationen von diversen _remote_ erreichbaren Ressourcen gespeichert. **Natürlich können die Dateien auch von ganz woanders kommen**, bspw. als liegen gebliebenes Artefakt einer Kopieraktion, eines Caches oder eines Backups. Es ist auch möglich, dass nur die Dateien bestimmter Nutzer:innen kopiert werden konnten. Wie bereits oben erwähnt, _bluffen_ solche Hackinggruppen auch gerne mal. Es ist aber sinnvoll, davon auszugehen, dass ähnliche Daten auch vom eigenen TU-Account veröffentlicht worden sind. Daher sollte extrem auf Phishingversuche und andere Identitätsdiebstähle geachtet werden. Je nachdem könnte es auch sinnvoll sein, das eigene Bankkonto etwas mehr im Auge zu haben, sofern Überweisungsaufträge via E-Mail versendet oder in der tubCloud gespeichert wurden. Sofern Exchange betroffen ist, könnte es auch sinnvoll sein, Listenpasswörter zu ändern und Accounts bei Diensten im Auge zu behalten, bei denen ihr euch mit dem TU-Account angemeldet habt (bspw. Software oder Services für Studis). [^1]: Fußnote gestrichen, da nicht relevant [siehe Update 1].