Das SchuelerVZ so ein großes Datenleck hat war mir nicht bewusst!!!

Netzpolitik-Interview: Hintergründe zum SchülerVZ-Datenleck

von markus um 10:01 am Dienstag, 4. Mai 2010 | 86 Kommentare

Als Hintergrund zum aktuellen Datenleck bei SchülerVZ haben wir ein Interview mit Florian Strankowski von der Leuphana-Universität Lüneburg gemacht, der die Sicherheitslücken entdeckt hat.

netzpolitik.org: Was war Deine Motivation, die Daten zu crawlen?

Florian Strankowski: Die Motivation bestand darin, nach den zig Interviews und Statements von Seiten VZ zu zeigen, dass im Endeffekt nichts unternommen worden ist, um die Daten der Nutzer effektiv zu schützen. Auch wollte ich aufzeigen, dass der TÜV in diesem Fall ein Zertifikat ausgestellt hat, das zwar schön aussieht, aber im Endeffekt etwas bestätigt, was so nicht der Fall ist. Die Daten der Nutzer waren nie sicher und sind derzeit nicht sicher vor Crawlern.

Ebenfalls haben sich einige meiner Kommilitonen amüsiert, als ich Ihnen meinen Vorschlag für den zu erbringenden Leistungsnachweis vorgestellt habe, einen Crawler zu schreiben. Ich muss hinzufügen, dass das Schreiben von Crawlern, egal für welchen Zweck, eine große Leidenschaft für mich ist, da ich es faszinierend finde, wie man Daten am effektivsten sammelt, verarbeitet und aufbereitet.

netzpolitik.org: Hast Du SchülerVZ kontaktiert?

Florian Strankowski: Ja. In zwei Mails habe ich in den vergangenen Wochen die VZ-Gruppe auf Sicherheitslücken hingewiesen und meine Hilfe angeboten. Auf beide Mails habe ich keine Reaktion erhalten

netzpolitik.org: Was war Deine Motivation, mit netzpolitik.org Kontakt aufzunehmen?

Florian Strankowski: Meine Motivation mit netzpolitik.org in Kontakt zu treten war es, ein Sprachrohr zu finden, welchem auch Gehör geschenkt wird. Auf meine Mails, welche ich im Rahmen der Responsible Disclosure zwei Mal an VZ geschickt habe, wurde ja nicht geantwortet. Bereits mit meinem Professor habe ich versucht, eine Lösung für den Weg der Veröffentlichung zu finden. netzpolitik.org ist und war für mich immer eine gute Anlaufstelle für aktuelle netzpolitische Thematiken (vor allem als es mit den Zensurplänen anfing). Auch wusste ich, dass Du in Deiner Funktion als Journalist die Möglichkeit hat, in diesem Fall zwischen den zwei Fronten zu vermitteln. Denn einerseits wollte ich den VZ-Netzwerken helfen, andererseits mich selbst aber keinem rechtlichen Risiko aussetzen.

Es wäre zu wünschen, wenn VZ sich mehr um seine Nutzer kümmern würde, vor allem um Mails die Problematiken aufzeigen, welche aber ignoriert werden. Es geht hier schließlich auch um den Ruf der VZ-Netzwerke.

netzpolitik.org: Wie bist Du vorgegangen?

Florian Strankowski: Kurz und Knapp: Jeden Schritt protokolliert (Live-HTTP-Header/ Firefox Addon), Sourcecode der Seiten analysiert, Login-, Logout-, Profilaufrufprozeduren analysiert und alles aufgeschrieben. Dann auf dem guten alten Blatt Papier (ich glaube es waren am Ende 10 Seiten) die Vorgehensweise in Form eines PAP (Programmablauf Plans) aufgeschrieben und letztendlich programmiert. Wie im Paper beschrieben, musste ich mich halt immer neu ein- und ausloggen. Das Erstellen der Accounts hat einige Zeit in Anspruch genommen (Habe hier jetzt knapp 800 Accounts). Dann nur noch Programm anschmeißen und abwarten.

netzpolitik.org: War das crawlen der Daten einfach?

Florian Strankowski: Jein. Da der Sourcecode von den VZ-Seiten recht unsauber ist, war es Anfangs eine Qual alle Regular Expressions zu schreiben, denn auch wenn man vermutet, dass der Aufbau einer Profilseite dem einer Anderen gleicht, ist dies leider nicht der Fall. Auch das letztendliche Crawlen war kinderleicht, nicht einer meiner 800 Accounts wurde gesperrt.

netzpolitik.org: SchülerVZ hat im letzten halben Jahr nach eigenen Angaben viel für eine bessere Sicherheit gemacht. War das ausreichend, bzw. was hat SchülerVZ Deiner Meinung nach falsch gemacht?

Florian Strankowski: Ich frage mich, ob das ein PR-Gag war. Es gab vielleicht mehr Informationen wie man die Privatsphäre seines Profils ändern kann (Tutorials & Co), jedoch wurden die temporär eingesetzten Captchas (reCaptcha) wieder entfernt, was ein großer Rückschritt war. Wie man in diesem Fall gut sieht, bringt die Limitierung von Aktionen pro Account nichts, denn man kann sich selbst ja immer wieder neu Einladen und somit unbegrenzt viele Accounts erstellen -> und somit Aktionen durchführen. Somit ist die derzeitige Lösung ungenügend. Warum der TÜV dies nicht bemerkt hat, verstehe ich jedoch nicht.

Falsch ist einfach die Herangehensweise an die Thematik. Wie ich Dir bereits geschildert habe, sind Profile in Gruppen sichtbar, obwohl sie privat sind, auf Bildverlinkungen stehen die Namen von Profilen, welche auch privat sind. Man kann doch einfach überprüfen, wie das Nutzerverhalten ist. Wenn man merkt, dass ein Nutzer am Tag und damit meine ich über Tage immer die knapp 2000 Aktionen damit verschwendet Profile aufzurufen, müssen die Alarmglocken doch mal klingeln.

netzpolitik.org: Warum hast Du nur 1,6 Mio Datensätze gesammelt?

Florian Strankowski: Ich hatte zwischenzeitlich weit über 2 Millionen Datensätze. Nach einer Optimierung des Codes habe ich jedoch einige Verworfen und habe bei einer Million wieder angefangen. Da mein Crawler jetzt “perfekt” ist und rundläuft, habe ich es dabei belassen. Wenn ich mit der Veröffentlichung eine Woche länger gewartet hätte, so hätte ich dann knappe 4-5 Millionen Datensätze – davon keiner doppelt. Eigentlich gab es noch eine Intention, mehr Datensätze zu sammeln als mein Vorgänger, aber nach der Optimierung habe ich das dann wieder verworfen, ich hatte ja schon > 2 Mio.

netzpolitik.org: Betrifft das Problem auch StudiVZ und MeinVZ, bzw. warum hast Du nur SchülerVZ genommen?

Florian Strankowski: Das Problem betrifft alle Netzwerke von VZ – denn alle basieren auf dem gleichen Code. Dies sieht man auch sehr schön im Quelltext! Daher war es so einfach einen Crawler für alle Netzwerke zu schreiben. Auf SchülerVZ traf meine Wahl, weil es hier besonders wichtig ist, die Daten der minderjährigen Nutzer zu schützen. Ich wage es kaum auszusprechen, aber wenn Millionen Daten von Minderjährigen in die falschen Hände geraten, kann schnell man etwas passieren und später will keiner die Schuld haben, auch nicht der TÜV.

Als Hintergrund zum aktuellen Datenleck bei SchülerVZ haben wir ein Interview mit Florian Strankowski von der Leuphana-Universität Lüneburg gemacht, der die Sicherheitslücken entdeckt hat.

Hier ist noch ein Video, was den Crawler bei der Arbeit zeigt (Nicht so spektakulär wie ein Hollywood-Film):

SchülerVZ-Crawler from netzpolitik on Vimeo.

abgelegt in: Datenschutz, Deutschland

getaggt mit: datenleck > Datenschutz > Deutschland > Interview > schülervz > social-networks > verbraucherschutz

Trackback URL | Incoming links

bookmarken bei | del.icio.us | Digg it | Furl | StumbleUpon | Mister Wong | yigg it

« De Maiziere will das Staatsnetz (Ente)

Konstituierung Enquete-Kommission “Internet und digitale Gesellschaft” »

Kommentare

86 Kommentare zu “Netzpolitik-Interview: Hintergründe zum SchülerVZ-Datenleck”

1. Hoffmann aus Stuttgart

Mai 4th, 2010 @ 10:14

Unverantwortlich, um es mit einem Wort zu sagen. Nein, nicht was der Kommilitone da macht, sondern was die VZ-Gruppe da nicht macht.

2. Neues Datenleck bei SchülerVZ : netzpolitik.org

Mai 4th, 2010 @ 10:16

[…] Hintergrund zum aktuellen Datenleck bei SchülerVZ haben wir ein Interview mit Florian Strankowski von der Leuphana-Universität Lüneburg gemacht, der die […]

3. Chuck

Mai 4th, 2010 @ 10:32

Ich finde es immer wieder “lustig”, wie sehr sich Seiten mit Zertifikaten schmücken, die bestätigen, dass sie sicher usw. sind.

Früher wurden Talismane (ist das der Plural von Talisman?) umgehangen, um Unheil abzuwehren, heute schmnückt man sich mit Zertifikaten…

4. annarose

Mai 4th, 2010 @ 10:49

Ich bin jetzt einfach mal froh dass es Florian Strankowski gut geht.

5. markus

Mai 4th, 2010 @ 10:54

annarose: Warum sollte es ihm nicht gut gehen?

6. Wayne … » Blog Archive » Erneutes Datenleck bei SchülerVZ

Mai 4th, 2010 @ 11:15

[…] Tja, da helfen auch keine TÜV-Siegel: In den VZ-Netzwerken kann man weiterhin Daten crawlen. Ein Student hat es geschafft, einen neuen Crawler zu schreiben. Netzpolitik.org berichtet und hat ein Interview mit Video. […]

7. Benedikt

Mai 4th, 2010 @ 11:18

Wahnsinn. Der TÜV sagt: “Ist alles okay!”, aber dann kommt einer und sagt: “Ätsch.”

Hier wurden gleich zwei Institutionen vorgeführt.

8. Web 2.0, Social Media & Recht

Mai 4th, 2010 @ 11:22

Datenleck bei SchülerVZ und die datenschutzrechtliche Meldepflicht…

Aktuellen Meldungen zufolge hat es bei SchülerVZ, einem der größten deutschen Sozialen Netzwerke für Schüler, erneut ein Datenleck gegeben, bei dem offensichtlich 1,6 Millionen Datensätze von aktiven Mitgliedern der Plattform (d.h. Schülern) ausgelesen…

9. Social-Network-Fail rund um die Welt | fidepus.de

Mai 4th, 2010 @ 11:51

[…] Ausgetreten bin ich vor ein paar Monaten schon aus dem Stasi StudiVZ. Ein Glück, denn schon wieder hat jemand aufgedeckt wie einfach es doch ist die Daten von Millionen von Nutzern auszulesen (in diesem Fall aus dem […]

10. Blubb

Mai 4th, 2010 @ 12:01

Naja, ob man Crawlen jetzt wirklich effektiv verhindern kann ist auch die Frage. Wenn es eine Begrenzung der Aktionen pro Account gäbe, dann würde ein Angreifer halt einfach noch mehr gefälschte Konten erstellen, oder nicht? Das Gleiche mit Captchas.

So ein Vorgehen klappt doch sicher fast überall im Internet.

11. schlimmschlimm

Mai 4th, 2010 @ 12:02

Datenleck? – Das ist doch das Kerngeschaeft von den VZs. Gib uns deine Daten.

Ich habe ja keine Ahnung aber dass jemand (nach erfolgreicher Anmeldung von vielen Accounts) die Seite crawlt ist doch weissgott keine Hexenwerk.

\Datenleck bei Google: Durch die Verwendung von mehr als 500.000 verschiedenen offenen Proxy Systemen hat es Strankowski geschaft die Google Suchdatenbank zu kopieren\

12. schülerVZ: Erneut Mitglieder-Datensätze aufgetaucht » netzwertig.com

Mai 4th, 2010 @ 12:08

[…] wurde der neuerliche Vorfall von netzpolitik.org, das außerdem ein Interview mit dem User geführt hat, der die aktuellen Datensätze gecrawlt […]

13. Tim Krischak

Mai 4th, 2010 @ 12:28

Das wirft ein sehr schlechtes Licht auf den TÜV.

14. TM44

Mai 4th, 2010 @ 12:55

Ich bin da auch schon lange raus, aber frech sind die Statments von Studi-VZ: “SchülerVZ-Sprecher Dirk Hensen bewertet das anders: “Ein Nutzer hat für alle SchülerVZ-Mitglieder einsehbare Profilinformationen im eingeloggten Zustand kopiert. Es handelt sich explizit nicht um ein Datenleck.”“

Siehe http://www.spiegel.de/netzwelt/web/0,1518,692822,00.html

So, und nun schaun wir mal, wie hohe Wellen diese Lücke schlägt: Und? Richtig, sie ist weniger hoch als das letzte Mal. Was wird also passieren? man wird sich dran gewöhnen, genauso wie Hungertote in Afrika, die in den täglichen Nachrichten keine Berücksitigung mehr finden, werden Berichte über Datenlecks zur Normalität und verschwinden aus den Medien…

ein Schritt näher zum gläsernen Bürger, mündig ist hier schon lange niemand mehr gewünscht!

mir grausts vor der Zukunft.

15. Steffen

Mai 4th, 2010 @ 12:58

Ich sehe das eigentliche Problem gar nicht in der Datensicherheit, denn wie einer der Vorkommentierer hier schon sagte, trifft das crawlen sehr viele sozialen Netzwerke.

Das Problem ist eher in der Freizügigkeit, welche wir bereit sind uns hinzugeben. Wir bauen 2m hohe Zäune um unsere Grundstücke, damit kein Nachbar Einblick hat, dann drehen wir uns um und tragen unsere sexuellen Vorlieben in irgendein Social Network ein, das jeder Mensch auf der Welt lesen kann…

Ich denke jeder muss für sich aufpassen, welche Daten er über sich selbst und andere veröffentlicht. Und im Falle des SchülerVZ müssen Eltern aufpassen oder/und die Betreiber auf Anonymisierung o.ä. achten.

Wenn wir uns auf der Straße zu laut unterhalten, kann auch jeder mithören!

16. Tharben

Mai 4th, 2010 @ 13:54

@Blubb (#10)

Gute Captchas sind ein wirksamer Schutz. Nur leider sind sie auch unbequem. So ist es immer: entweder bequem, einfach und unsicher oder unbequemer, aber dafür sicherer.

Bei der VZ-Gruppe hat man sich offenkundig bewusst für den bequemen und unsicheren Weg entschieden. Anscheinend will man es den Nutzern möglichst leicht machen, persönliche Daten in die VZ-Netze einzustellen. Denn schließlich ist Datensammeln das Geschäft der VZ-Gruppe.

Frau Aigner, wo sind Sie wenn es nicht um Facebook und Google geht, sondern einem deutschen Datensammler?

17. erlehmann

Mai 4th, 2010 @ 13:58

Da der Sourcecode von den VZ-Seiten recht unsauber ist, war es Anfangs eine Qual alle Regular Expressions zu schreiben […]

HTML mit regulären Ausdrücken zu parsen ist immer eine Qual.

18. neue schülerVZ-Datensätze im Umlauf | nicwer.de | The World of Nico Werner

Mai 4th, 2010 @ 14:31

[…] Das Netzpolitik-Interview wo der Student Florian Strankowski sein Handeln schildert finden Sie hier. Man sieht mal wieder es liegt an uns wie sicher unsere Daten sind. Also achten Sie immer darauf Was […]

19. Nico Düsing

Mai 4th, 2010 @ 14:44

Mir ist nicht ganz klar, wo genau jetzt die Lücke ist. Wurden denn Daten ausgelesen, die der Nutzer auf Privat gestellt hat? Hat sich jetzt nicht so angehört.

Man kann Crawler nicht verhindern. Alles was ein fremder Nutzer sehen kann, kann auch ein Crawler sehen. Dagegen kann es keinen Schutz geben. Man könnte höchstens durch entsprechende Beschränkungen nur x Seitenabrufe pro Minute/Stunde/Woche erlauben. Aber dann ist der Crawler nur langsamer. Öffentliche Informationen sind nunmal öffentlich. Wer sich darüber wundert, hat irgendwas noch nicht verstanden.

20. Bernd von 4Kanal

Mai 4th, 2010 @ 14:50

Alles klar, IP gespeichert, Anzeige ist raus.

21. Agd_Scorp

Mai 4th, 2010 @ 14:52

mit sowas einfachem sollte man sich nicht wirklich beschäftigen.

ein system was nich k.o. war, ist acuh nciht angegriffen worden.

mfg

22. Snuff

Mai 4th, 2010 @ 15:02

§ 202a StGB, § 202c StGB, vermutlich Rechte aus dem Datenschutzgesetz und natürlich Rechte des Datenbankherstellers i.S.d. UrhG.

Ich hoffe, die Inhaber von SchülerVZ haben nicht vor, Strafverfolgungsbehörden einzuschalten. Das endet möglicherweise ziemlich böse für Florian Strankowski.

23. Yannick

Mai 4th, 2010 @ 15:13

Teilt das mal dem CCC mit 😉

24. pflicht

Mai 4th, 2010 @ 15:16

Wie kann man denn dem TÜV im Internet glauben schenken? Die drucken Ihre Mails doch noch aus…

Und den ganzen “Angriff” finde ich persönlich jetzt auch nicht sonderlich spektakulär (aber gut, Wirtschaftsinformatiker halt >:D). Mitm Crawler Namen auslesen, und? Wen interessieren denn die Namen? Was willst du denn jetzt damit? Beweisen, dass Person XY SchülerVZ hat? Na vielen Dank, das hat mich schon die ganze Zeit brennend interessiert…

PS: Wer bei derartigen Portalen mit echtem Namen ein- und ausgeht hat keinen Schutz verdient.

25. TaTonka

Mai 4th, 2010 @ 15:30

Schade, dass ich keinen SchülerVZ-Account mehr habe. Ich würd jetzt zu gern sehen, wie die sich da wieder rausreden wollen.

Zu dem Video: Wieso ist aus der Titelzeile von Putty der Hostname rausgeschwärzt, wenn man innerhalb des Fensters sehen kann, dass der Crawler auf maileimer.net oder so ähnlich läuft?

26. david

Mai 4th, 2010 @ 15:33

mit diesen Infos liessen sich schon ziemlich fiese Inverse suchen betreiben

z.B. alle Mädchen zwischen 12 und 14 Jahren, die in Gruppen, deren Name das Wort “sex”, “jungfrau” o.Ä. enthält

sind bestimmt auch welche mit klarname und wohnort dabei

das lässt die offizielle VZ suchschnittstelle natürlich nicht zu, obwohl sie ja auf die gleichen Daten zugreift

sie sollten zügig die captchas wieder einführen und statt der 2000 Aktionen Begrenzung etwas ausgereiftere Erkennungsmethoden einführen

der nächste crawler ist vielleicht nicht so verantwortungsvoll

27. JesperL

Mai 4th, 2010 @ 15:42

Wen man unter Buschfunk einen Hyperlink mit der URL zu diesem Artikel einstellt, kommt die Meldung:

“Netter Versuch! Zu sehen gibt’s hier aber trotzdem nix…”

Versucht doch mal, ob das bei euch auch kommt!

28. Ominoko

Mai 4th, 2010 @ 15:43

@TM44

Was für ein Blödsinn vom “mündigen” Bürger. Der Bürger ist doch mündig und kann sagen NEIN. Nur ist der Bürger auch ein Wesen, dass stumpfsinnig der Herde folgt. Bei den Kindern und Halbwüchsigen mag das noch am unausgereiften Verstand liegen aber bei den Studis?.

Der VZ-Sprecher hat im Prinzip recht: So etwas als Datenleck zu präsentieren ist starker Tobak. Es ist – wie im Text schon angedeutet – die Kombination von Webbrowser und Text-Scanner in einem Skript. Das ist etwas, was die StudiVZ-Anhänger ständig manuell machen, nur eben vom Programmierer automatisiert. Der Erlanger “Hacker”, der sich damals in der Haftanstalt umgebracht hat, wäre deshalb wahrscheinlich auch kaum wegen seinem Skript verurteilt worden.

Und dass man für den DAU (aka Dümmster Anzunehmender User) die Captchas weglässt ist auch nur konsequent, denn der würde überhaupt nicht kapieren wozu das gut ist und zu Facebook wechseln. Logisch, wenn ein Wirtschaftsunternehmen wie die VZ-Gruppe sich da lieber für “Kundenfreundlichkeit” entscheidet …

Und im Übrigen werden ja sogar hin und wieder CIA-Dokumente (Daten) geleckt, äh… geleakt, gewhistleblowt, gedownloaded – herrgott: verbreitet!

29. Volker Birk

Mai 4th, 2010 @ 15:46

Ich kann nur wiederholen: SchülerVZ hat kein Datenleck, es ist ein Datenleck.

Genau wie alle anderen “Social Networks”.

Ich verstehe die Aufregung hier nicht: was ist denn der Unterschied, wenn andere oder wenn nur der Betreiber von SchülerVZ die Daten nutzt?

Soll hier das Geschäftsmodell von SchülerVZ geschützt werden?

Wer seine Daten in ein solches “Soziales Netzwerk” eingibt, muss sich endlich bewusst sein: das bedeutet, sie sind zur freien Verwendung veröffentlicht.

Viele Grüsse,

VB.

30. Nico Düsing

Mai 4th, 2010 @ 15:49

@david: Hmm. Stellen wir uns einmal ein 12 bis 14-Jähriges Mädchen vor. Und jetzt überlegen wir mal, aus welchem Grund ein solches Mädchen eine Gruppe mit “sex” beitreten sollte. Also mir fällt da keiner ein. Ich würde eher vermuten, dass “sex” im Gruppennamen 12 bis 14-Jährige abschreckt.

Und selbst wenn, dass ein 12-14-Jähriges Mädchen noch keinen Sex hatte kann man sich auch so denken, da braucht man kein “jungfrau” im Gruppennamen.

Und um das mal deutlich zu sagen: Es können über Gruppen weder Alter noch Geschlecht abgelesen werden (höchstens aufgrund des Gruppennamens vermutet). Damit ist das keine Sicherheitslücke! Wer sein Geburtsdatum nicht auf privat setzt, muss damit rechnen, dass Menschen (oder Maschienen) das Profil öffnen und diese Information lesen können.

31. pflicht

Mai 4th, 2010 @ 15:51

@david

so wie ich das aus dem Text lese, kann der Crawler lediglich Namen in Zusammenhang mit Gruppen auslesen. Vom Alter stand da jetzt nichts ausdrücklich – oder täusche ich mich?

Ne klare Aufzählung, was dieser Pseudo-Neo nun wirklich in Händen hält würde mich dementsprechend auch interessieren. 1,6 mio. private Datensätze könnte so ziemlich alles sein.

32. david

Mai 4th, 2010 @ 16:01

@nico

meinentwegen kann man auch nach 12-15 jährigen suchen

weshalb sie das tun sollten? um zu provozieren und 15-18 jährige Jungen auf sich aufmerksam zu machen…

wenn man auf seinem eigenen rechner unbeschränkt inverse suchen in dieser Datenbank machen kann, dürfte es möglich sein ziemlich zuverlässige Pädo Kataloge zu erstellen

da gibt es sicher noch bessere suchkriterien als diesen ersten ansatz

er hat ja nicht nur die gruppen gecrawlt sondern so ziemlich alles einsehbare

natürlich nur bei leuten, die das einsehen lassen

du kannst aber wirklich nicht von schülern erwarten, dass sie überblicken was das möglicherweise für langzeitfolgen hat

sie stellen die daten nur ein um sich mit ihren freunden auszutauschen und denken nicht an automatisierte crawler

33. Erneut massives Datenleck bei schuelerVZ

Mai 4th, 2010 @ 16:04

[…] Vermeintlich ist das Problem um ein Vielfaches geringer als beim Konkurrenten Facebook. Da es sich jedoch um vorwiegend minderjährige Nutzer im Netzwerk von schuelerVZ handelt, muss deren Schutz entsprechend höheren Anforderungen genügen. Gerade junge Schüler sind sich der Gefahren von offenen Profilen nicht in dem Maß bewusst, wie Jugendliche oder Erwachsene. Dies zeigen die Erfahrungen mehrerer Trainer, die in Schulen gehen, um die Schüler von den Gefahren zu unterrichten. “Das Problem betrifft alle Netzwerke von VZ – denn alle basieren auf dem gleichen Code. […] Auf SchülerVZ traf meine Wahl, weil es hier besonders wichtig ist, die Daten der minderjährigen Nutzer zu schützen.” (Florian Strankowski von der Leuphana-Universität Lüneburg, im Interview mit netpolitik.org) […]

34. Nico Düsing

Mai 4th, 2010 @ 16:21

@david: Natürlich, also 16-Jähriger habe ich auch immer nach Gruppen gesucht, die sowas enthielten, nur um die Mädchen darin anzusprechen und festzustellen, das die meisten > 100 km entfernt wohnten.

Ne, mal Scherz beiseite. So eine Datenbank als Pädo Katalog zu bezeichnen, geht mir deutlich zu weit. Egal nach welchen Begriffen man sucht. Pädophile werden sich entsprechende Bilder ansehen wollen. Diese gibt es natürlich in keinem VZ-Netzwerk. An Adressen oder andere Kontaktdaten kommen sie auch nicht ran. Für einen Pädophilen wäre es viel sinnvoller sich an die nächste Schule zu stellen.

Wenn du schon argumentierst, dann bitte etwas sachlicher und nicht gleich populistisch, aber falsch.

35. Erneutes Datenleck bei SchülerVZ « SocMed.de

Mai 4th, 2010 @ 16:41

[…] Daten von 1,6 Millionen Nutzern wurden dort mithilfe eines Crawlers gesammelt. In einem Interview verriet Florian Strankowski von der Leuphana-Universität Lüneburg, wie er die Sicherheitslücken […]

36. Tim

Mai 4th, 2010 @ 16:54

Klar ist das ein Datenleck. Wenn die Daten in eine Datenbank abgezogen werden können und dadurch Verknüpfungen und Abfragen möglich sind, die das Netzwerk nicht anbietet (ob interne Abfragen wie das Beispiel von @nico oder die Verknüpfung mit anderen Datenbanken), dann werden die Daten missbraucht. Schutz vor Datenmissbrauch ist Pflicht des Anbieters des Sozialen Netzwerk und nicht des Benutzers.

37. Mario

Mai 4th, 2010 @ 16:55

Langsam und sicher glaube ich, dass hier ein neuer Freizeitsport gefunden wurde – suche in allen möglichen Portalen nach Datenlecks.

38. Community

Mai 4th, 2010 @ 16:58

Strankowski nutz eindeutig eine Lücke. Ich würde es aber in diesem Falle nicht als Sicherheitslücke bezeichnen: An der Aufklärung der User hapert es wohl eher. Würden die Privatsphäreneinstellungen enstprechend gesetzt oder der Recaptcha wieder eingfeführt, so könnte der Crawler keine Daten auslesen.

39. Tim

Mai 4th, 2010 @ 17:17

Alle die nach Aufklärung der Nutzer rufen: Ihr habt keine Kinder, oder? Jugendliche wollen neue Kontakte knüpfen und nicht ihr Profil verrammeln. Eine hohe “Privatsphäre” bedeutet für 13-17-Jährige Einsamkeit, ausgeschlossen sein.

40. SchülerVZ: Datensätze von rund 1,6 Millionen aktiven Schülern abgegriffen – datensicherheit.de Informationen zu Datenschutz und Datensicherheit

Mai 4th, 2010 @ 17:20

[…] netzpolitik.org, 04.05.2010 Netzpolitik-Interview: Hintergründe zum SchülerVZ-Datenleck […]

41. Anonymous

Mai 4th, 2010 @ 17:26

[…] […]

42. go-seven.de: Technews, Tipps, Tricks

Mai 4th, 2010 @ 17:31

Wiedermal Datenpanne bei SchülerVZ…

Es ist erschreckend. Wiedermal ist es gelungen über 1,6 Millionen Datensätze des Schülerportals SchuelerVZ.net auszulesen – diesmal zum Glück nicht böswillig, sondern um gravierende Fehler aufzuzeigen; dass man mit 800 (!) Fake-Accounts 30% der S…

43. Jörg-Olaf Schäfers

Mai 4th, 2010 @ 18:07

@Nico Düsing:

Wenn du schon argumentierst, dann bitte etwas sachlicher und nicht gleich populistisch, aber falsch.

Wie wäre es, wenn du das auch selber beherzigen würdest statt hilflos durch die Gegend zu spekulieren? Oder möchtest du bestreiten, dass die Daten die Ansprache (Hobbys, persönliche Vorlieben!) möglicher Opfer erleichtert?

@Volker Birk: Ich habe das Gefühl, dass du trollst, obwohl du es eigentlich besser weisst.

Dem Betreiber VZnet sind in Deutschland vergleichsweise enge Grenzen gesetzt, was die Verwendung der Daten, insbesondere in personalisierter Form, betrifft. Bis zum Nachweis des Gegenteils gehe ich davon aus, dass sich VZnet aus eigenem Interesse zumindest grundsätzlich an diesen Grenzen orientiert.

Datensätze, die auf dem freien Markt oder in irgendwelchen Foren kursieren, sind Freiwild, ebenso wie die Menschen, die sie betreffen.

44. max

Mai 4th, 2010 @ 18:21

für unsauberen html code gibts

Tagsoup (java): http://home.ccil.org/~cowan/tagsoup/

Tagger (C++ port von tagsoup): http://www.jezuk.co.uk/cgi-bin/view/arabica/log?id=3591

Ob man die man die “einfach” mit einem opensource crawler verwenden kann weiß ich nicht…im zweifelsfall kann man sicher einen Adapter schreiben.

Crawler sind wirklich leicht zu schreiben, vor allem deshalb finde ich es unverantwortlich sich vor diesen kaum zu schützen, wie Florian Strankowski schließlich schreibt wurden so gut wie keine Schutzmaßnahmen betrieben.

45. Nico Düsing

Mai 4th, 2010 @ 18:39

@Tim: Du hast vollkommen recht. Es geht nicht darum, sie davon abzuhalten, sondern ihnen Tipps zu geben, wie sie SchVZ nutzen, ohne viel ihrer “Privatsphäre” preis zu geben.

Viele haben das Logo ihres Lieblingsvereins als Profilbild, oft keine Klarnamen oder den Nachnamen abgekürzt und oft auch das ganze Profil, für Nichtfreunde verschlossen. Sie kennen ja sowieso die meisten aus dem Alltag und haben sich zuerst persönlich getroffen.

Genauso spielen die meisten Jugendlichen auf LANs Egoshooter. Das gehört einfach dazu. Ich finde das in Ordnung, wenn sie damit umgehen können.

Und trotzdem sind viele auch begeistert, wenn sie mal was anderes machen. Gemüsedipp geht oft viel schneller weg, als Chips.

Nein ich schweife nicht ab: Ich will darauf hinaus, dass das Internet großartige Möglichkeiten bietet.

Man kann sich über Soziale Netzwerke, Killerspiele, oder die ungesunde Ernährung der “Jugend von Heute” aufregen. Sie zu verbieten ist jedoch nicht der Richtige weg, sondern ihnen Alternativen auf zu zeigen.

Ob Gemüsedipp, Jugendräume, Medienkompetenz oder “Killerspiele” mit Wasserpistolen (oder Schneebällen im Winter) im RL, sowas wird von Jugendlichen angenommen.

Einige feiern ihren 18. Geburtstag sogar wie einen Typischen Kindergeburtstag mit Topfschlagen und co., einfach weil es lustig ist.

Tim, wenn wir über Jugendliche reden, dürfen wir dessen Alltag natürlich nicht vergessen, aber wir sollten auch nicht vergessen, aber wir können sie auf den richtigen Weg bringen. Um aus Kindern jedoch selbst bestimmte Erwachsene zu machen, müssen diese lernen auf sich selbst auf zu passen. Man kann ihnen nicht verbieten bei SchVZ zu sein, aber man kann sie über die Gefahren aufklären und Verbesserungsvorschläge machen.

Das kannst du als Vater, ich als Betreuer und das machen die Jugendlichen auch untereinander (und gerade dann ist es am effektivsten).

46. Nico Düsing

Mai 4th, 2010 @ 19:10

@Jörg-Olaf Schäfers: Hobbys könnten da wahrscheinlich hilfreich sein sie anzusprechen. Es ist jedenfalls ein VIEL besseres Argumen, als das von david.

Ich halte das dennoch nicht für einen effizienten Weg, aus vielen Gründen, die ich hier nicht genau erläutern möchte. Wenn du Interesse hast können wir da gerne gesondert mal drüber sprechen.

Nur so viel: Hobbys und Interessen lassen sich Leicht an Kleidung und Verhalten ablesen (oder an Vereinsmitgliedschaften …). Jugendliche sind nicht dumm und sind skeptisch, wenn sie von fremden angesprochen werden (in vielen Fällen aus der Presse sind die Täter Verantwortliche aus dem Umfeld (siehe Kirche)). Nach der Schule kann man in SchVZ genauso gut suchen (in der normalen Suche). …

47. Benni

Mai 4th, 2010 @ 19:47

Ich muss trotz all der Aufregung sagen: Respekt an den Programmierer!

48. Ausgestiegen Facebook Soziale 🙂 Netzwerke | Ten Targets Blog

Mai 4th, 2010 @ 19:47

[…] Hintergrund zum aktuellen Datenleck bei SchülerVZ haben wir ein Interview mit Florian Strankowski von der Leuphana-Universität Lüneburg gemacht, der die Sicherheitslücken […]

49. web008

Mai 4th, 2010 @ 20:13

Zusammenfassung:

Florian Strankowski hat es geschafft mittels eines PHP-Scripts (, was nicht unbedingt eine Leistung ist) öffentliche Daten auszulesen.

Ich wiederhole: ÖFFENTLICHE Daten

Sinn und Zweck des ganzen?

50. Fabian

Mai 4th, 2010 @ 20:15

Einfach nur (im traurigen Sinne) genial, was man alles anstellen kann, wenn man nur Bots programmieren kann.

Die Idee mit den Fake-Accounts habe ich mir schon einmal überlegt. Der Bot wiederum würde nach meinen Plänen mit Greasemonkey laufen. So einfach!

Daten klauen ist das eine. Wie wäre es aber, wenn mal mit genau der gleichen Geschwindigkeit dieses Fakeaccounts SVZ-Seiten zuspammen? Dies würde genau so leicht gehen.

Allerdings sehe ich das alles nicht so dramatisch wie einige hier. Wer kann denn wirklich etwas mit meinem bei SVZ angegebenen namen “Fabian W.” und meinem Foto etwas anstellen?

51. Halo: Reach

Mai 4th, 2010 @ 20:46

[…] Dieser vermittelt nun zwischen “SchülerVZ” und dem Hacker. Alles weitere auf netzpolitik.org Aisha Taylor, Crawler, Datenleck, Hacker, Halo: Reach, iPad, SchülerVZ, World of Warcraft, XBox […]

52. Jochen S.

Mai 4th, 2010 @ 21:31

Hier wurde gestern auch schon auf die fehlende Sicherheit aufmerksam gemacht:

http://forum.chip.de/blogs-communities/schuelervz-neue-funktion-zwingt-herausgabe-persoenlicher-daten-1378887.html#post8251161

53. Simon Lange

Mai 4th, 2010 @ 22:07

Moinsen liebes Netzpolitik.de-Team.

Darf man fragen ob Google-Bots bzw. Crawler von Suchmaschinen täglich als Skandal und Datenleck von Euch postuliert werden? Denn technisch ist nichts anderes passiert, als das jemand öffentlich zugängliche Informationen mittels eines selbstgeschriebenen Crawlers gespeichert hat. Nicht öffentliche Informationen wurden aber eben – nach allen vorliegenden Infos – nicht gesammelt.

Sollte man daher Worte wie Skandal und Datenleck nicht lieber wirklichen Skandalen und Datenlecks vorbehalten? Hier sehe ich beim besten Willen (auch durch die Nebelbrille) keinen Skandal geschweige denn ein Datenleck.

Nur so ein Gedanke. Sollte ich mir irren, bitte ich freundlichst um “Erleuchtung”.

Danke.

Simon

54. mario

Mai 4th, 2010 @ 22:15

Prahlehans und Effekthascherei. Mal etwas realistischer beäugt sind Beschreibungen wie Datenleck oder -Panne hier überflüssig.

Datencrawlen nach einem solchen Schema lässt sich mit technischen Mitteln nicht verhindern. Wenn man nur genug Fake-Accounts anlegt, und die Spider in angemesseneren Intervallen zugreifen lässt, kann kein Provider sowas feststellen oder unterbinden.

Peinlich für DummiVZ ist nur, daß hier jeder Crawler-Account 2500 Profile innerhalb weniger Tage aufgerufen hat. Das sollte schon im feststellbaren Bereich liegen. (Ob man andererseits möchte, daß der Anbieter das Surfverhalten derart überwacht…)

Und genauso peinlich ist, daß alle 2Mio Zugriffe wohl von einem einzigen Rechner stattfanden.

Wenn so ein Crawler-Netzwerk über Proxies hereinkommt, oder aus ActiveX-Malware auf Botnet-Windows-PCs besteht, könnte man das kaum feststellen. – Aber bitte, bei *einer* IP, und über ner Mio Zugriffen – ..!

Technisch interessant an dem Bericht finde ich jetzt nur, daß viele Profil-Daten als Metainformationen auf irgendwelchen Gruppen-Seiten sichtbar sind. Und wenn dort auch noch “geheime” Profile aufgelistet werden, zeugt das nicht von ernsthaften Bemühungen beim tüvgeprüften DatenschutzVZ.

Aber das Auslesen jetzt mit einer großen Anzahl von Profilen aufzubauschen, ist doch albern.

55. Toddi

Mai 4th, 2010 @ 22:49

Um an die Daten zu kommen, muss man sich bei SchülerVZ registrieren und einloggen. Die Daten die dort abgegriffen wurden waren allein darum schon nicht öffentlich.

Auch der Vergleich mit dem abschreiben aus dem Telefonbuch, das quasi frei verfügbar, ohne Umstände jedermann, mit oder ohne Telefonanschluß, zugänglich ist, ist dadurch hinfällig.

Was hier offensichtlich einige nicht verstanden haben:

Die Daten stammen aus den Gruppen in denen sich ein Mitglied angemeldet hat. Erst ab hier war der Zugriff auf die, im Profil für Nichtmitglieder der Gruppe gesperrten, Daten möglich.

Diese Tatsache, dass man einerseits seine Daten gesperrt haben kann, diese dann aber eine Ecke weiter ohne eigenes Zutun wieder verfügbar sind, würde ich schon als ‘Leck’ bezeichnen – Sofern nicht an geeigneter Stelle ganz eindeutig und unmißverständlich auf genau diesen Umstand hingewiesen wird.

56. Michel Deutschmann

Mai 4th, 2010 @ 23:04

Gratulation zur Meldung in den Tagesthemen.

57. Phil

Mai 4th, 2010 @ 23:22

Beachtliche (und vor allem sehr schnell aufgebaute) Resonanz für euren Bericht diesmal, wobei mir das \Leck\ diesmal auch weniger kritisch vorkommt als noch beim letzten VZ-Fall oder Facebook.

58. Nico Düsing

Mai 4th, 2010 @ 23:26

Ich habe mal probeweise das HTML einer Gruppenseite angesehen. Außer den Namen und dem Profilbild derer, die in der Gruppe ihre Sichtbarkeit erlaubt haben, sowie den Postern im Forum, sind da keine Benutzerinformationen zu finden. Also nur “öffentliche” informationen und kein Leck. Wenn jemand einen HTML-Schnipsel in Gruppen findet, bei dem das anders ist, gerne her damit.

@Toddi: Es ist natürlich im klassischen sinne nicht öffentlich. Andererseits ist es für Millionen von Menschen abrufbar, die man nicht kennt. Wer zugriff darauf haben will muss nur einen dieser Millionen finden, der ihn einlädt. Privat oder sonderlich geschützt ist das sicherlich nicht.

59. Christians Blog » SchülerVZ Crawler

Mai 4th, 2010 @ 23:43

[…] viaNetzpolitik-Interview: Hintergründe zum SchülerVZ-Datenleck : netzpolitik.org. […]

60. Wieder Datenklau bei SchülerVZ | DirectWatch

Mai 5th, 2010 @ 0:02

[…] Netzpolitik-Interview: Hintergründe zum SchülerVZ-Datenleck […]

61. markus

Mai 5th, 2010 @ 0:02

@mario: Aus der Datenschutz-Beschreibung von SchülerVZ:

Darauf kannst du dich verlassen: VZ Datenschutz – Deine Daten gehören Dir.

* Deine persönlichen Daten sind auf unseren Servern (den Speicherorten für diese Daten) bestmöglich geschützt. Sie können z.B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb vom schülerVZ auf.

Offensichtlich kann dieses Versprechen nicht gehalten werden, wie wir hier nachgewiesen haben, und was Du mit den Worten “Prahlehans und Effekthascherei” kommentierst.

62. markus

Mai 5th, 2010 @ 0:04

@Phil: Da der Fall diesmal sehr ähnlich war zu den Datenlecks bei SchülerVZ im vergangenen Herbst und SchülerVZ viele Maßnahmen versprochen hat, damit sowas nicht mehr vorkommt, gab es quasi eine Vorpremiere.

63. markus

Mai 5th, 2010 @ 0:06

@Simon Lange von der Piratenpartei: Offensichtlich bist Du hier falsch, denn die URL hier lautet netzpolitik.org und nicht netzpolitik.de. Falls Du Dich vertan hast: Darf ich weiterhin fragen, wie Dein Verständnis von einem Google-Bot zu einem geschlossenen System ist, wo laut Datenschutz-Erklärung keine Daten nach außen kommen? Ich empfehle für den Einstieg mal zu googlen, wie Such-Robooter arbeiten und welche Daten sie sammeln.

64. VZ-Sicherheit: Keiner zuhause? : netzpolitik.org

Mai 5th, 2010 @ 0:53

[…] kann sicherlich viele Gründe haben, warum SchülerVZ auf die Hinweise von Florian Strankowski bezüglich der Möglichkeit eines massenhaften-maschinellen Auslesens nicht reagiert hat. […]

65. Thomas Mueller, 28

Mai 5th, 2010 @ 1:16

Bei genauerer Betrachtung sitzt das Datenleck dann wohl doch eher vor dem Bildschirm bzw. dem entsprechend medienkomponenten Erziehungsberechtigten.

66. Das Toastbrot

Mai 5th, 2010 @ 1:27

24. Post pflicht

“PS: Wer bei derartigen Portalen mit echtem Namen ein- und ausgeht hat keinen Schutz verdient.”

Die Namen sind eher ein unwichtiges Detail. Viele Firmen geben mengen an Geld aus um an solche Daten für Personen(gruppen) spezifizierte Werbung zu machen…

Nebenbeibemerkt handelt es sich normalerweise um Kinder die in den AGB und Verhaltenscodex ein “Wir wollen korrekte Inhalte” eingeflößt bekommen.

—–

28. Post Ominoko

“Und dass man für den DAU (aka Dümmster Anzunehmender User) die Captchas weglässt ist auch nur konsequent, denn der würde überhaupt nicht kapieren wozu das gut ist und zu Facebook wechseln.”

Und dass man wissen sollte, dass in Facebook für jeden Scheiß die Recaptcha eingesetzt werden…

—–

29. Post Volker Birk

“Ich kann nur wiederholen: SchülerVZ hat kein Datenleck, es ist ein Datenleck.”

Das kommt auf die Sichtweise an.

Ich würd das schon als solches bezeichnen, da es normalerweise nicht möglich sein sollte so massenhaft Daten zu sammeln. Technisch ist es zwar schwerer zu realisieren, aber Sicherheit ist ja bekanntlich ein Prozess und kein Zustand.

—–

34. Post Nico Düsing

“Egal nach welchen Begriffen man sucht. Pädophile werden sich entsprechende Bilder ansehen wollen. Diese gibt es natürlich in keinem VZ-Netzwerk.”

Dazu zittire ich mal einen Eintrag aus dem Feedbackforum:

“Liebes Schülervz-Team,

bitte holt den alten Fotoloader zurück,

bei mir isses schon so weit, dass leute nacktbilder von sich hochladen und ich die im schnappschüsse album mit angucken darf -.-

is nich so schön..”

Soviel zum Thema gibts nicht…

Ich hab erst gestern wen wegen vergleichbarem gemeldet. Die VZs sind absolut keine heile Welt!

—–

37. Post Mario

“Langsam und sicher glaube ich, dass hier ein neuer Freizeitsport gefunden wurde – suche in allen möglichen Portalen nach Datenlecks.”

Das glaub ich irgendwie auch und irgendwie finde ich das gut, denn es ist besser wenn es öffentlich bekannt ist, dass ein System nicht sicher ist. Dann hat der Nutzer aufgrund des Misstrauens eher das Bewusstsein dafür nicht allzu private Details von sich Preis zu geben die nicht jeder sehen sollte.

—–

39. Post Tim

“Alle die nach Aufklärung der Nutzer rufen: Ihr habt keine Kinder, oder? Jugendliche wollen neue Kontakte knüpfen und nicht ihr Profil verrammeln. Eine hohe “Privatsphäre” bedeutet für 13-17-Jährige Einsamkeit, ausgeschlossen sein.”

Stimmt ich hab noch keine (halte mich mit unter 20 noch für zu jung ^^), aber eine hohe Privatsphäre heißt nicht gleich Einsamkeit & ausgeschlossen sein. Aber es muss ein entsprechendes Bewusstsein dafür geschult werden. Das fehlt derzeit bei vielen anderen, daher ists Aufgabe der Eltern das zu schulen und vor allem des VZs auch “ungeschulten” einen Schutz zu bieten.

—–

49. Post web008

“Zusammenfassung:

Florian Strankowski hat es geschafft mittels eines PHP-Scripts (, was nicht unbedingt eine Leistung ist) öffentliche Daten auszulesen.

Ich wiederhole: ÖFFENTLICHE Daten

Sinn und Zweck des ganzen?”

Du beantwortest deine Frage selbst.

Gerade da es keine Kunst ist muss ja was getan werden!

Ich Sage: NICHT öffentliche Daten, denn für das schülerVZ benötigt man einen Account, welchen man über ne Einladung bekommt…

—–

52. Post Simon Lange

“Moinsen liebes Netzpolitik.de-Team.

Darf man fragen ob Google-Bots bzw. Crawler von Suchmaschinen täglich als Skandal und Datenleck von Euch postuliert werden? Denn technisch ist nichts anderes passiert, als das jemand öffentlich zugängliche Informationen […]”

Bin zwar nicht vom Netzpolitik.org Team, aber ich möchte nochmal wiederholen, dass es eben nicht wirklich öffentliche Daten sind. BTW Um den Google Chrome gibts entsprechende Diskussionen…

—–

So hab genug Kommentare kommentiert… ^^

Ich denke meine Meinung dazu kann man sich aus diesen herauslesen.

67. Gunnar

Mai 5th, 2010 @ 2:33

Warum muss denn unbedingt ein Foto von im mit in den Artikel?

68. Floh

Mai 5th, 2010 @ 7:46

@66 Toastbrot: Endlich mal einer, der mir aus der Seele spricht. Nur weil man es machen kann, ist es noch lange nicht toll.

@67 Gunnar: Weil es die Textwand auflockert und gut aussieht. Und so hässlich ist der Florian auch nicht, dass man dagegen protestieren müsste. Aus selbstdarstellerischen Gründen hat er das meines Erachtens nicht getan.

-”caucus of”-

PS: Hier gibts noch mind. einen weiteren Floh. Wir sind nicht immer der selben Meinung. Wir sind nicht die selbe Person.

69. Floh

Mai 5th, 2010 @ 7:50

Eben festgestellt, dass man meinen Kommentar zu #66 auch falsch verstehen kann… Ich meinte natürlich – nur weils jeder machen kann, heißt es nicht, dass es möglich sein sollte. Wenn einer hergeht und das von Hand macht, braucht er ewig. Daher sollten Crawler, die das doch wesentlich schneller erledigen können, in sozialen Netzwerken nicht oder möglichst schlecht arbeiten können.

-”described beverages”-

70. Rammstainer

Mai 5th, 2010 @ 7:59

VZ ist wirklich ein SAULADEN, sagen meine Freunde!

Null Service!

Null Sicherheit!

Dauernd techn. Probleme!

Ich bin jedenfalls geheilt. Von mir bekommen soziale Netzwerke keine Daten.

71. Bresenham

Mai 5th, 2010 @ 10:31

Ich meine, es handelt sich in diesem Fall NICHT um eine Sicherheitslücke. Es wurde nur den automatisierten Crawlern einfach gemacht, Massendaten zu sammeln. Es wird IMMER möglich sein, öffentliche Daten in einem bestimmten Umfang zu sammeln.

Anders ist es, wenn es möglich wäre, eine Struktur in der Dateinamensgebung (z.B. jan_private001.jpg) zu finden. Das ist sehr wohl eine Sicherheitslücke. Bitte korrigiert mich, aber dieses tritt in diesem Fall nicht auf, oder?

72. Tharben

Mai 5th, 2010 @ 10:41

Ich verstehe die Verharmlosung von einigen nicht.

1.) Wenn VZ nicht einmal Captchas einsetzt, dann tun sie lange nicht alles, was sie tun könnten, um das maschinelle Auslesen der Daten zu verhindern.

2.) Es geht um besonders sensible Daten von Kindern und Jugendlichen.

3.) Die Datenschutz-Beschreibung von SchülerVZ finde ich irreführend, denn Daten werde sehr wohl maschinell ausgelesen.

Es ist möglich, dass bereits viele komplette Datensätze der Schüler im Umlauf sind. Ich finde sehr wohl, dass man ernst nehmen sollte.

Einerseits will man uns kontraproduktive Zensurinfrastruktur zum Schutz von Kindern verkaufen (“Zensursula”, “Censilia”), aber wenn es um echte Gefahr und Geschäftsinteressen geht, schau man lieber weg. Ja, ich finde, man kann das einen Skandal nennen.

73. Bresenham

Mai 5th, 2010 @ 12:16

@Tharben:

zu 1. Captchas verhindern kein Crawling, sie erschweren es höchtens. Und mittlerweile ist das Hacken von Captchas durch Bildanalyseverfahren ein “motivierender Sport” geworden.

zu 2. Um welche Daten geht es denn genau? Ich finde, man sollte durchaus differenzieren zwischen Daten, aus denen Trends ablesbar sind, und Daten, mit denen man gezielt Rückschlüsse auf eine bestimmte Person ziehen kann (gerade wenn diese Person bestimmte Daten als privat deklariert hat). Letzteres wäre unverantwortlich und ein Skandal. Aber ist es in diesem Fall auch wirklich so?

zu 3. In der Datenschutzbeschreibung habe ich gerade keine Passage gefunden, die darauf hindeutet, dass die Daten nicht maschinell ausgelesen werden.

Den eigentlichen Schaden hat doch VZnet selber, denn es hat hier jemand Datenpakete gesammelt, aus denen man Trends ablesen kann. Und diese Trends sind eine beliebte Handelsware.

Eigentlich müsste die Debatte weiter in die Richtung gehen, wer den eigentlich verantwortlich ist, wenn Minderjährige einen Service wie SchuelerVZ nutzen und nicht richtig mit ihren eigenen Daten umgehen. Da sind Eltern und Lehrer, aber auch VZnet gefragt…

74. Lesenswerte Artikel 5. Mai 2010

Mai 5th, 2010 @ 13:02

[…] Netzpolitik-Interview: Hintergründe zum SchülerVZ-Datenleck „Die Motivation bestand darin, nach den zig Interviews und Statements von Seiten VZ zu zeigen, dass im Endeffekt nichts unternommen worden ist, um die Daten der Nutzer effektiv zu schützen. Auch wollte ich aufzeigen, dass der TÜV in diesem Fall ein Zertifikat ausgestellt hat, das zwar schön aussieht, aber im Endeffekt etwas bestätigt, was so nicht der Fall ist. Die Daten der Nutzer waren nie sicher und sind derzeit nicht sicher vor Crawlern.“ […]

75. Tharben

Mai 5th, 2010 @ 13:05

@Bresenham (#73)

1.) Mir ist bewusst, dass einfache Captchas maschinell gelesen werden können. Gute Captchas hingegen sind nicht maschinell zu lesen. Sie sind also ein effektiver Schutz.

2.) Es geht um folgende Daten: Name, Alter, Geschlecht, Schule, Klasse, Bild, Beziehungsstatus, Hobbys, politische Einstellung, Lieblingsfach, -musik, -filme, -bücher, wie lange man im SchülerVZ aktiv ist und individuelle Selbstbeschreibungstexte. Wenn, wie von “vielen Schülern” gehandhabt, nicht scharfe Datenschutzeinstellungen aktiviert wurden. [Link]

3.) “maschinell auslesen” kann missverständlich sein. Ich meine damit massenhaft und automatisiert auslesen. Ich finde, dass SchülerVZ suggeriert, dass dies unmöglich sei:

* Deine persönlichen Daten sind auf unseren Servern (den Speicherorten für diese Daten) bestmöglich geschützt. Sie können z.B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb vom schülerVZ auf.

Deine Bedingungen für einen Skandal sehe ich erfüllt.

76. Graf Zahl

Mai 5th, 2010 @ 13:36

Dass der Datenschutz bei vielen sozialen Netzwerken mangelhaft ist, ist eine Sache, aber

dass dieser Sache in einigen Kreisen so viel Aufmerksamkeit gewidmet wird, eine andere.

Datenschutz in sozialen Netzwerken ist eben, verglichen zu den übrigen Problemen dieser Welt, kein wirklich wichtiges Thema.

Den Menschen, die dieses Thema aber als extrem wichtig ansehen, unterstelle ich einen

Kassandra-Komplex (“Ich möchte die unwissenden, naiven Nutzer mit meiner geistigen Überlegenheit vor der großen, bösen und gierigen kapitalistischen Maschinerie retten….”).

Ein anderer Grund könnte sein, dass viele Menschen aus Neid versuchen, Mängel an solchen Websites zu finden. Der Neid entsteht gerade deshalb, weil sie so genial einfach sind.

77. Ominoko

Mai 5th, 2010 @ 14:59

@Das Toastbrot

Es dürfte hier ja wohl keinen verwundern, dass ich nicht in Facebook bin. Deshalb muss ich das auch nicht wissen und es ist auch nebensächlich. Es geht um Marktwirtschaft und VZler oder Facebook-Datenschutzaktivisten haben die ja offenbar nicht so genau verstanden:

Dass bei Facebook “für jeden Scheiß” ReCaptchas eingesetzt werden, weiß der User u.U. erst, wenn er schon drin ist. Aus Sicht eines Unternehmens wie VZnet ist die Frage aber doch nicht nur, ob Facebook das auch macht, sondern ob ein “Kunde”, der sich aus diesem Grund von VZnet verabschiedet, gleich wieder zurück kommt, wenn er feststellt, dass es anderswo auch nicht besser ist.

Keine Ahnung ob das im Internet eher der Fall ist, als vielleicht beim Inet-Provider oder Stromanbieter. Trotzdem versucht man als Unternehmen doch nicht auch noch eine solche Motivation zu fördern. Erst recht nicht, da Facebook aufgrund der Internationalität ohnehin immer mehr (Studi-)VZler abzieht und für einen VZ-Flüchtling vermutlich die einzige Alternative ist.

Captchas trüben auf die Dauer insgesamt das Nutzungsempfinden. Das kann sich vielleicht der Marktführer leisten. Für die kleineren Anbieter wird es aber zu einer strategischen Entscheidung, auch wenn man dieses Unterscheidungsmerkmal lieber nicht so genau bewirbt um die Expertenschelte zu vermeiden. Man bewirbt lieber was anderes und wer jetzt immer noch nicht weiß was: dazu gleich mehr…

Das subjektive Empfinden beim Laien ist jedenfalls in aller Regel besser ohne als mit Captchas. Es stehen sich also Bedienungsfreundlichkeit (Usability) und Sicherheit konträr gegenüber.

Da die Differenzen zwischen Bedienerlebnis und Sicherheit im Falle von Captchas jedenfalls nicht so einfach aufzuheben sind, bedient man sich klassischerweise dem Marketing, was die Vereinbarkeit des Unvereinbaren als Heilsversprechen unters Volk bringt.

Und jetzt zum mitschreiben: VZnet’s Strategie (bisher): “Wir nehmen etwas mehr Unsicherheit für einfache und angenehme Bedienung in Kauf und kommunizieren lieber, dass wir sicher sind. Am besten mit TÜV-Zertifikat!”

Wie gesagt: es ist MARKETING!

Und das ich wohl nicht ganz so falsch liege, zeigt ja offenbar

a) der vakante Posten eines IT-Sicherheitsbeauftragten

b) die Tatsache, dass es Captchas bei VZ ja schonmal gab und evtl. konnte VZnet feststellen, dass die Aktivität im Netz dadurch zurück ging….

ABER WEN WUNDERT ALL DAS BEI EINEM MEDIEN- und MARKETING UNTERNEHMEN DAS GELD VERDIENEN WILL????

Und nachwievor sorgen auch Captchas weiter nur für ein gutes Gefühl indem sie vielleicht jetzt auch Crawler-Angriffe ausschließen. Am sichersten sind aber immer noch die Daten, die einfach nicht in einem globalen Netz zugänglich gemacht werden.

Selbst wenn Hacking kein Volkssport wäre würden sich unter Milliarden Internetnutzern trotzdem noch genügend mit krimineller Energie finden. Und auch ganz ohne Hacker, gibt z.B. Facebook die Daten dann halt selbst raus (Marktwirtschaft!). Es braucht also schon ein gehöriges Maß an Naivität seine Daten im Netz sicher oder gar privat zu wähnen. Erst recht bei den beliebtesten und bekanntesten Seiten/Angriffszielen!

Aus Sicht eines Unternehmens denken zu lernen und sich ein bisschen über die Technik zu informieren ist die Aufgabe des Sozialnetzwerkers. Ansonsten ist er doch nur ein DAU.

Und DAUs müssen keine schlechten Menschen sein. Ich sehe das eigentlich eher pragmatisch…

78. Lüneburger Informatikstudent deckt Datenleck bei SchülerVZ auf

Mai 5th, 2010 @ 16:24

[…] Interview mit Florian Strankowski auf netzpolitik.org […]

79. FelixWelberg.de » Blog Archive » SchülerVZ.net immer noch unsicher

Mai 5th, 2010 @ 21:16

[…] Quellen: http://www.netzpolitik.org/2010/vz-sicherheit-keiner-zuhause/ http://blog.studivz.net/2010/05/04/vz-netzwerke-danken… http://www.netzpolitik.org/2010/netzpolitik-interview-hintergruende… […]

80. Datenschutzproblem bei SchülerVZ – BürgerClub-Magazin

Mai 7th, 2010 @ 8:21

[…] netzpolitik.org, 04.05.2010 Netzpolitik-Interview: Hintergründe zum SchülerVZ-Datenleck […]

81. werbephilosophieren II – nervigererererererererer « I have recently become happy and I find it over-rated

Mai 8th, 2010 @ 22:21

[…] werbephilosophieren II – nervigererererererererer Veröffentlicht 8. Mai. 2010 Nicht kategorisiert Hinterlasse einen Kommentar Schlagwörter:ebay, geld, internet, kapitalismus, paypal, schülervz, u-bahn, werbung wenig finde ich im moment so penetrant wie den mit paypal-werbung vollgekleisterten bahnsteig der u2 am alexanderplatz. auf jedem hintergleisplakat, von jeder stützsäule sowie von diversen fußmatten schreit mich weiße schrift auf blauem grund an. dabei haben gefühlte 20 verschiedene werbesprüche immer die gleiche aussage: paypal ist sicherererer(erererer). dabei muss man erstmal so dreist/faul/die leute für so dumm haltend sein, dass man denkt, man kann auf jedem plakat den selben witz bringen – eben den mit den vielen er. paypal sei eben sicherererer heißt es. sicherer als was? sicherererer als der tüv steht auf einem werbeplakat. da kann man ja nur hoffen, dass damit nicht das tüv-siegel gemeint ist, dass zum beispiel dem portal schülervz hohe sicherheitsstandards bescheinigt. mit der sicherheit ist esdort nämlich nicht so weit her, wie wir diese woche erneut lernen mussten. […]

82. Erneutes Datenleck bei SchülerVZ entdeckt | f-thies.de

Mai 11th, 2010 @ 22:28

[…] von Schüler-Profilen seitens SchülerVZ offenkundig nicht ausreichend waren. In einem Interview mit Netzpolitik.org schildert Florian Strankowsk, was seine Motivation war und wie er dabei vorgegangen ist. Besonders […]

83. Lüneburger Informatikstudent Florian Strankowski deckt Datenleck bei SchülerVZ auf

Jun 6th, 2010 @ 14:36

[…] Interview mit Florian Strankowski auf netzpolitik.org […]

84. Fabian

Jun 20th, 2010 @ 23:51

Finde das auch unverantwortlich, aber sauber arbeiut flo

85. Soso

Aug 25th, 2010 @ 16:08

Es sist schlimm das datanklau so einfach ist, aber manche geben im schuelerVZ ihre ganze adresse, name, alter und usw. oder wenn mädchen sexy fotos reinstellen.

Ich würde besser aufpassen was man da rein stellt/schreibt.

86. Krüdewagen Blog » Blog Archiv » Webkonferenz zum E-Postbrief online

Sep 16th, 2010 @ 18:03

[…] der Sicherheit zu sein. Welchen Wert ein TÜV-Zertifikat hat, konnten wir z.B. bei einem Datenleck für SchülerVZ oder bei Libri […]

Advertisements

Über jj_wedemyer

Ich bin ein Schüler der FWS Göttingen!!

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s