Kuketz-Blog 🛡Mar 12

Signal musste auf eine US-Grand-Jury-Vorladung reagieren – für 37 Telefonnummern. Für 6 Accounts wurde tatsächlich etwas geliefert: Das Erstellungsdatum. Das war alles, was Signal herausgeben konnte. Keine Nachrichten, keine Kontakte, keine Gruppen, kein Profil. Minimale Datenhaltung in der Praxis.

https://signal.org/bigbrother/district-of-columbia/

#Signal #Datenschutz #Verschlüsselung #Privacy

/kuk

Grand jury subpoena for Signal user data in the United States District Court for the District of Columbia

Signal end-to-end encrypts both content and metadata by default far beyond most of our peers. Our aim is to have access to as close to no data as possible, meaning that we have a fraction of the personal information compared to the average communications service. We simply don’t have access to th...

Signal Messenger
Show threadLennyMar 12

@kuketzblog Mir ist immer noch schleierhaft, wo die Assoziation zu Google FCM und Apple APNS Push Tokens ist. Die muss rein technisch aber existieren, sonst funktioniert das nicht auf Mobile ohne permanente Verbindung (die Signal nicht hält). Und über diese Tokens bekommt man dann weitere Informationen heraus, sehr wahrscheinlich die Accounts (falls verknüpft - auf Android kann man ja FCM auch ohne Google Account nutzen) und dann u.U. den Namen usw.

Hat das mal jemand recherchiert?

Show threadMarvin WMar 12

@f09fa681 @kuketzblog
Diese Daten wurden schlicht nicht angefragt, siehe https://mastodon.social/@larma/116216499552108692

Warum die Daten nach 18 USC §2703 abgefragt wurden kann ich nicht sagen, nach diesem Gesetz sind aber nur wenige, ganz bestimmte Daten abrufbar und man kann nicht einfach sagen, dass alles herausgegeben werden soll was gespeichert wurde. Und viele der nach diesem Gesetz abrufbaren Daten wie Name, Adresse und Zahlungsmittel hat Signal wirklich nicht.

Show threadMarvin W
@f09fa681 @kuketzblog
Unter den abfragbaren Daten sind übrigens "telephone or instrument number or other subscriber number or identity, including any temporarily assigned network address". Ob jemals (erfolgreich) versucht wurde auf dieser Basis Push Tokens abzufragen weiß ich nicht, aber "subscriber identity" könnte an dieser Stelle eventuell so interpretiert werden.
Mar 12 at 2:10pmMastodon for Android
Show threadLennyMar 12
@larma @kuketzblog Danke. Unter dem Aspekt finde ich es zumindest irreführend wenn Mike Kuketz davon spricht, dass das "alles sei was Signal herausgeben könne".