Bereits im Juli berichteten wir, dass die Alliance for Creativity (ACE) und die Motion Picture Association (MPA) eine DMCA-Vorladung erhalten hatten, die Cloudflare dazu zwingt, die persönlichen Daten des Sport-Streaming-Dienstes HeHeStreams herauszugeben.

Kurz darauf verschwand die Site – die hauptsächlich den Zugriff auf MLB-, NBA-, NFL- und NHL-Inhalte erleichterte – und begann, auf ACE umzuleiten. Wir können bestätigen, dass eine Einigung erzielt wurde, aber da beide Seiten ihre Vereinbarung einhalten, sind keine weiteren Details verfügbar.

Für den Betreiber von HeHeStreams, der die Seite 2016/17 gründete, war der Shutdown das Ende einer Ära, aus der er weitergehen konnte, aber das sollte nicht der Fall sein. Ein separates strafrechtliches Ermittlungsverfahren, das eine andere Gruppe von Rechteinhabern vertrat, war bereits im Gange, ohne die Möglichkeit eines zivilrechtlichen Vergleichs.

HeHeStreams-Betreiber wegen zahlreicher Verbrechen angeklagt

Joshua Streit, online besser bekannt als Josh Brody, wurde gestern zum Betreiber von HeHeStreams ernannt. Nach Angaben des Justizministeriums wurde Streit wegen zahlreicher Straftaten angeklagt, darunter das Eindringen in Computersysteme bei der Major League Baseball und das illegale Streamen von Inhalten aus MLB, NBA, NFL und NHL an die Öffentlichkeit mit Gewinn. Er wurde auch des Versuchs angeklagt, 150.000 US-Dollar von MLB zu erpressen.

Bevor Sie in diese Details eintauchen, ist eine Erläuterung der Operationen von HeHeStreams angebracht.

HeHeStreams war eine besondere Art von IPTV-Dienst

Die meisten traditionellen IPTV-Anbieter erleichtern den Zugriff auf raubkopierte Streams, indem sie diese von ihren eigenen Servern anbieten. Dies ist ein Modell, das viel Bandbreite verbraucht und als notwendiger Kostenfaktor für die Geschäftsabwicklung angesehen wird. Was HeHeStreams geschafft hat, ist, diese Kosten fast vollständig zu eliminieren, indem es überhaupt keine Raubkopien verwendet.

Stattdessen wurde ein Weg gefunden, HeHeStreams-Benutzer mit echten Streams zu verbinden, die von den Sportsendern angeboten werden. Dies hatte offensichtliche Vorteile – keine massiven Streaming-Serverrechnungen mehr und da offizielle Streams selten zusammenbrechen oder puffern, eine Menge zufriedener Kunden.

„Streit hat den urheberrechtlich geschützten Inhalt erlangt, indem er sich unbefugten Zugriff auf die Websites dieser Sportligen über missbrauchte Anmeldeinformationen von legitimen Benutzern dieser Websites verschafft hat. Eine der Opfersportligen erlitt aufgrund von Streits Verhalten Verluste von etwa 3 Millionen US-Dollar“, stellt das DoJ fest.

Diese Methode, offizielle Streams zu verwenden, um "Piraten"-Kunden zu beliefern, wurde in unserem Interview mit Akamai Anfang dieses Jahres erwähnt. Ein Paar DISH-Klagen gegen SportsBay und Nitro IPTV veranschaulichen ebenfalls das gleiche Problem, das die Sender beheben müssen.

Warum diese klaffenden Schlupflöcher nicht geschlossen werden, ist nicht klar, aber wir wissen, dass die Offenlegung solcher Schwachstellen schrecklich schief gehen kann.

Bug Bounty oder kriminelle Erpressung?

Im Sommer bat TorrentFreak Joshua Streit um einen Kommentar zum ACE/MPA-Vergleichsvertrag. Nachdem er abgelehnt hatte, verlagerte sich die Diskussion auf die offensichtlichen Schlupflöcher bei Sling TV, auf die in ihren Klagen Bezug genommen wurde und die Nichtkunden nicht daran hindern, legale Streams zu verfolgen.

Wie diese ausgenutzt werden, blieb ungeklärt, ohne jedoch besondere Dienste zu erwähnen, gab Streit an, dass er versucht habe, Wissen über schwerwiegende Schwachstellen mit einem (oder mehreren) Anbietern zu teilen. Er drückte eine gewisse Frustration über ihren offensichtlichen Widerwillen aus, zusammenzuarbeiten. Später hatten wir den Eindruck, dass sich die Dinge verbessert hatten, aber das war eindeutig nicht der Fall.

Laut der von der US-Regierung eingereichten Strafanzeige schickte Streit etwa im März 2021 eine E-Mail an einen MLB-Mitarbeiter und teilte mit, dass er zuvor eine Netzwerkschwachstelle offengelegt hatte, aber von der Reaktion des Unternehmens enttäuscht war. „Der Mangel an Dankbarkeit ist ehrlich gesagt schockierend“, schrieb er angeblich.

Streit schickte später eine weitere E-Mail, in der er darauf hinwies, dass er dem Unternehmen an einem bestimmten Wochenende weitere Sicherheitslücken gemeldet hatte und dass er zwei Reporter hatte, die MLB-Angelegenheiten behandelten, die an der Geschichte interessiert waren. Ein namentlich nicht genannter MLB-Manager kontaktierte Streit dann telefonisch und fand ihn Berichten zufolge „verärgert“ über das Versäumnis der MLB, seine Bemühungen anzuerkennen.

Streit soll den MLB-Manager darüber informiert haben, dass er eine finanzielle Entschädigung für seine geleistete Arbeit erwartet, ihm wurde jedoch mitgeteilt, dass MLB zwar kein Bug-Bounty-Programm habe, das Unternehmen jedoch seine Enthüllungen „schätze“. Streit antwortete, dass Bug-Bounty-Programme für die Zusammenarbeit nützlich seien und fügte laut Beschwerde hinzu, dass es schlecht für MLB wäre, wenn die Medien von der Schwachstelle erfahren würden.

Nach einer mehrmonatigen Pause habe Streit angeblich erneut eine E-Mail an die MLB geschickt, in der Hoffnung, dass die früheren Gespräche fortgesetzt werden könnten. Der MLB-Manager antwortete und teilte Streit mit, dass „die Leute hier besorgt sind, dass es sich um unbefugten Zugriff auf unsere Systeme handelt“, fragte dann aber Streit, welche Art von Geld er erwarte. 150.000 Dollar, anscheinend.

Schwerwiegende Sicherheitslücken können große Bug Bounties auslösen und es steht außer Frage, dass diese Sicherheitslücke schwerwiegend ist. In der Klage gegen Streit heißt es, dass eine Analyse, die nur von einer der Sportligen durchgeführt wurde, Verluste von fast 3 Mio. Und hier liegt das Problem.

Es ist nicht bekannt, ob MLB auf einen neutralen Drittoffenbarten besser reagiert hätte, aber zumindest was FBI Special Agent Joshua Williams betrifft, bedeutet Streits allgemeines Verhalten, dass seine Zahlungsaufforderung einer Erpressung gleichkam.

„[Ich] glaube, dass … obwohl der Angeklagte MLB unter dem Vorwand, für MLB hilfreich zu sein, ansprach, sein gleichzeitiges Eindringen in MLB-Konten und das illegale Streamen von MLB-Inhalten auf der illegalen Streaming-Website darauf hindeuten, dass Streit wissentlich und in der Absicht handelte, MLB zu erpressen “, schreibt Agent Williams.

Potenziell schwere Gefängniszeit

Nach Angaben des Justizministeriums wird der 30-jährige Streit aus Minnesota angeklagt:

Ein Fall des wissentlichen Zugriffs auf einen geschützten Computer zur Förderung einer kriminellen Handlung und zum Zwecke des kommerziellen Vorteils und des privaten finanziellen Gewinns, der mit einer Höchststrafe von fünf Jahren Gefängnis bestraft wird.

Ein Fall von wissentlichem Zugriff auf einen geschützten Computer zur Förderung von Betrug, der mit einer Höchststrafe von fünf Jahren Gefängnis bestraft wird.

Ein Fall von Drahtbetrug, der mit einer Höchststrafe von 20 Jahren Gefängnis bestraft wird, und ein Fall von illegaler digitaler Übertragung, der mit einer Höchststrafe von fünf Jahren Gefängnis bestraft wird. Ihm droht auch eine Anklage wegen zwischenstaatlicher Drohungen mit Erpressungsabsicht, die mit einer Höchststrafe von zwei Jahren Gefängnis geahndet wird.

Von unmittelbarem Interesse ist hier der Hinweis auf „illegale digitale Übertragung“. Diese Terminologie wird im Protecting Lawful Streaming Act (PLSA) verwendet, einem Gesetz, das bestimmte Streaming-Verhalten zu einem Verbrechen machte. Es wurde im Dezember letzten Jahres in Kraft gesetzt und wurde unseres Wissens bis jetzt nicht verwendet.

Die Strafanzeige finden Sie hier (pdf)

via Torrentfreak • CC BY-NC 3.0 license