Recherche: 6 Spuren, die von Janomine zu dox.sx führen

Jan S. alias Janomine hat die Website dox.sx registriert, die auch 0rbit für einen Teil seiner Leaks genutzt hat – darüber habe ich am Freitag in einem Artikel für die Badische Zeitung berichtet. Zuvor hatten ihn bereits der NDR und die Süddeutsche Zeitung damit in Verbindung gebracht.

Seitdem schimpft Janomine öffentlich bei Twitter und sät Zweifel an seiner Beteiligung (ohne diese tatsächlich zu dementieren).

Womöglich hat der „Privacy & Security-Researcher“, wie er sich in seinem Twitter-Profil nennt, unterschätzt, wie viele Spuren über die Jahre hinterlassen wurden. Ob durch Fahrlässigkeit oder Unwissen. Deshalb will ich hier nachgezeichnen, wieso ich glaube (und unter Umständen auch NDR und SZ), dass er an dox.sx beteiligt war.

Spätestens am 29. April 2017 wurde die Website in Betrieb genommen. Der Dienst Archive.today hat sie damals archiviert.

Unter dem Navigationspunkt FAQ wurden zu jenem Zeitpunkt sechs Domains aufgelistet:

  • dox.sx (als Haupt- und Standarddomain)
  • dox.su (Alternativdomain)
  • dox.host (Alternativdomain)
  • dox.ninja (Alternativdomain)
  • Privatsphäre.de (Alternativdomain)
  • Privatsphäre.com (Alternativdomain)

Bei allen sechs bin ich auf Janomine gestoßen.

1. Janomine nutzt dieselben Cloudflare-Nameserver

Janomine setzt den Dienst Cloudflare ein. Dieser soll Websites in erster Linie vor DDoS-Angriffen schützen, indem er Besucher sozusagen durch eigene Server schleust und die tatsächliche IP der Ziel-Website maskiert. Das macht es zugleich schwerer, herauszufinden, wer hinter dieser steckt. Auch Kriminelle missbrauchen das, wie Wired vor etwa einem Jahr aufgeschrieben hat.

Die Aktivistengruppe Crimeflare will dagegen vorgehen, und sammelt deshalb die Domains, die sich hinter Cloudflare verstecken und auch die damit verbundenen sogenannten Nameserver. Jedem Cloudflare-Account werden wohl zufällig zwei solche zugewiesen. Darunter ist auch Janomines Website janomine.de.

Nach eigenen Angaben hat Crimeflare Daten zu mehr als sechs Millionen Domains erfasst. Nur auf 242 davon soll die Nameserver-Kombination „arch“ und „sharon“ zutreffen. In dieser also relativ kurzen Liste taucht unter anderem die Domain dox.ninja auf. Ein verrückter Zufall?

Die von Crimeflare erfasste Liste ist nicht vollständig. Auch die Besucher von dox.host wurden durch “arch” und “sharon” geleitet.

2. Janomine hat öffentlich über Alternativ-Domains von dox.sx gebloggt

Janomine hat sich offensichtlich intensiv mit dox.ninja und dox.host auseinandergesetzt. Am 8. Oktober 2016 mutmaßte er in einem Blogpost, er habe deren Inhaber identifiziert. Der Artikel wurde längst gelöscht, die Wayback-Machine hat ihn allerdings archiviert. Janomine behauptete darin, dox.host habe einem damals 15-Jährigen gehört, der vermutlich auch die Schwester-Website dox.ninja betrieben habe. In diesem Zusammenhang prahlte er damit, das BKA hierauf aufmerksam gemacht zu haben.

Der von Janomine in dem Blogpost Beschuldigte hat mir gegenüber am Donnerstag bestritten, diese beiden Domains besessen zu haben, berichtet aber, er sei in einer anderen Angelegenheit mit Janomine aneinandergeraten.

3. Mehrere Alternativ-Domains sind offenbar auf Janomines Email-Adresse registriert

Der Dienst ViewDNS.info ermöglicht eine Rückwärtssuche nach Domains desselben Eigentümers. Wer dort nach Einträgen sucht, die auf Email-Adressen mit „janomine.de“ registriert wurden, bekommt 16 Ergebnisse aufgelistet. Darunter sind zum Beispiel drei inzwischen wohl abgestellte Domains zu BlackProtect, Janomines „Unternehmen“, das auf seiner Website Dienstleistungen im IT-Bereich anbietet. Oder zwei mutmaßliche Alternativ-Domains von Janomine.de.

Man stößt in dieser Liste auch auf dox.su (registriert am 21.1.2017) und Privatsphäre.com (registriert am 8.4.2010).

4. Janomines Klarname steht in einem gelöschten WHOIS-Eintrag

Auch zu Privatsphäre.de ließen sich im Netz einmal aufschlussreiche WHOIS-Daten finden – über den Dienst Domaintools.de. Sie wurden dort inzwischen zwar gelöscht, Archive.today hat sie aber am 17. April 2017 gespeichert. Demzufolge gehörte Privatsphäre.de damals Janomine und wurde weitergeleitet auf dox.sx.

Die Cloudflare-Nameserver, die dafür genutzt wurden, waren erneut „arch“ und „sharon”.

5. Eine weitere Website Janomines verwies auf dox.sx

Es gibt ein zum damaligen Zeitpunkt wohl schon etwas älteres Schreiben des Amtsgerichts Heilbronn, das Janomine selbst am 16. Oktober 2016 bei Twitter veröffentlicht und später wieder gelöscht hat. In diesem wird er aufgefordert, „seine Website stresser.cc” zu deaktivieren. Diese hatte am 18. April 2015 auf dox.sx verwiesen, wie die Wayback-Machine festgehalten hat – also rund drei Wochen nach der Registrierung von dox.sx.

6. Ein Amazon-Affiliate-Link verweist auf Janomines „Minecraft“-Dienst

Auf dox.sx wiederum war zeitweise ein Banner eingebunden, das mit einem sogenannten Affiliate-Link auf Amazon.de verwiesen hat. Das kann man aus dem Quelltext sehen, wenn man sich dessen von Archive.today gespeicherten Stand am 23. Juli 2017 ansieht.

Landet der Besucher einer Seite über einen Affiliate-Link bei Amazon.de und kauft dort ein, erhält der Seitenbetreiber eine Provision. Damit das funktioniert, muss dieser sich mit einem eindeutigen Identifikationsnamen für ein Amazon.de-Partnerprogramm registrieren. Dieser Identifikationsname wird dann auch in den Affiliate-Links hinterlegt. Der Identifikationsname, der bei dox.sx genutzt wurde, lautete „serverliste“ (Nachtrag: Strenggenommen gehört auch noch „-21“ zur ID, wird aber wohl durch Amazon.de hinzugefügt).

Janomine und ein Freund aus Niederbayern hatten für einige Zeit den Dienst „serverliste.org“ betrieben, mit dem sie „Minecraft“-Server auflisteten.

Auf seinem YouTube-Kanal kann man noch immer ein Video aus dem März 2017 schauen, in dem er erzählt, wie das Bundeskriminalamt dieses Projekt nach einer unglücklichen Verkettung von Zufällen gestoppt haben soll. Am 25. Juli 2017 hat jemand mit Zugang zum Twitter-Account von Serverliste.org in einem Tweet behauptet, die Domain verkauft zu haben. Janomine hat den Tweet gelikt.

Irgendjemand betreibt den offiziellen dox.sx-Nachfolger weiter und veröffentlicht sensible Daten

Im Juni 2018, kurz bevor dox.sx deaktiviert wurde, leitete jemand die Domain auf eine Nachfolgeseite mit ähnlichem Inhalt weiter. Diese war in den Tagen nach Bekanntwerden der 0rbit-Leaks offline. In der Nacht auf Freitag habe ich bei meiner Recherche mit dem Betreiber gechattet, der das Pseudonym Reiko nutzt.

Seit Freitag ist die Nachfolgeseite von dox.sx nun wieder am Netz. Auch die 0rbit-Leaks wurden dort wie angekündigt veröffentlicht.