Neue Lücke bei SchülerVZ
Netzpolitik.org berichtet über ein neues Datenleck bei SchülerVZ und davon, dass man 1,6 Millionen Datensätze, quasi als Beleg, zugeschickt bekommen hat.
Diese neue Meldung fand ich u.a. auch deshalb interessant, weil der Justitiar der VZ-Gruppe Dr. Schenk bei einem Vortrag am 30.04.2010 auf dem Reh..Mo Sysmposium in Passau noch betont hatte, dass Datenschutz bei der VZ-Gruppe oberste Priorität habe, dass man in diesem Punkt mittlerweile damit auch bei Tests von Verbrauchermagazinen gewinnen würde und man dies zudem als Wettbewersbvorteil gegenüber der amerikanischen Konkurrenz sehe.
Dass es in der Praxis freilich anders aussieht, zeigt der Bericht von netzpolitik.org. Man muss allerdings auch immer wieder betonen, dass es sich bei diesen Daten nicht um vertrauliche Nutzerdaten handelt, sondern vielmehr um solche Daten, die die Nutzer selbst offen eingestellt haben und die grundsätzlich jeder registrierte Nutzer von SchülerVZ einsehen kann. Woran man sich zu stören scheint, ist deshalb der Umstand, dass sich diese Daten mittels eines Crawlers automatisiert abgreifen und zusammenführen lassen.
Viel Wind um nichts. Keine Datenlecks oder Sicherheitslücken wir hier überall zu reden ist. Er hat sich einfach nur viele Accounts erstellt und die öffentlichen Daten der Nutzer ausgelesen und damit wahrscheinlich auch gegen die Nutzungsbedingungen verstoßen.
Öffentliche Daten sind eben „öffentlich“, also für jederman zugänglich. Dass die Teilnehmer auf SchülerVZ ihre Daten nicht richtig schützen, ist ja wohl nicht SchülerVZ anzurechnen.
Comment by Sebastian — 4.05, 2010 @ 11:03
Aktuell bei spiegel.de:
Mögliche Sicherheitslücke
1,6 Millionen Daten bei SchülerVZ abgegriffen
Und sehr intelligent im Text:
Für Beckedahl lässt der Fall nur zwei mögliche Schlussfolgerungen zu: „Entweder investiert die VZ-Gruppe nicht genug in Sicherheit, oder die Daten unserer Schüler sind generell nicht sicher im Netz.“
Das die öffentlich zugänglichen Daten im Netz nicht sicher sind, ist doch offensichtlich. Da nützen auch zusätzliche Inestitionen in die Sicherheit nichts.
Comment by Horst — 4.05, 2010 @ 12:18
Wenn man das Interview mit Florian Strankowski liest (http://www.netzpolitik.org/2010/netzpolitik-interview-hintergruende-zum-schuelervz-datenleck/) wird allerdings schnell klar, dass vor einem Auslesen viel Handarbeit nötig war, insbesondere Accounts erstellt werden sowie Quellcode angepasst werden mussten.
Florian Strankowski: Kurz und Knapp: Jeden Schritt protokolliert (Live-HTTP-Header/ Firefox Addon), Sourcecode der Seiten analysiert, Login-, Logout-, Profilaufrufprozeduren analysiert und alles aufgeschrieben. Dann auf dem guten alten Blatt Papier (ich glaube es waren am Ende 10 Seiten) die Vorgehensweise in Form eines PAP (Programmablauf Plans) aufgeschrieben und letztendlich programmiert. Wie im Paper beschrieben, musste ich mich halt immer neu ein- und ausloggen. Das Erstellen der Accounts hat einige Zeit in Anspruch genommen (Habe hier jetzt knapp 800 Accounts).
Ein richtiger Datenskandal wäre es für mich nur, wenn die Daten von wirklich jedermann mit einfachen Mitteln oder etwa von Suchmaschinen-Crawlern ausgelesen werden könnte. Der hier verwendete Crawler wurde speziell und eigens dafür programmiert.
Dafür ist jedoch schon einiges an professionellen Kenntnissen erforderlich, um diese Daten auszulesen. Dass es überhaupt geht, ist sicherlich zu kritisieren. Ein richtiger Skandal ist es in meinen Augen nicht, zumal private Daten nicht gecrawlt wurden.
Comment by Duke — 4.05, 2010 @ 16:53
Das ist kein Datenskandal, das ist ein schlechter Witz. Da wird also moniert, dass öffentlich einsehbare Daten öffentlich eingesehen werden können. Und darüber wurde tatsächlich ein Paper veröffentlicht?
Derartiges habe ich schon vor vielen Jahren bei Online-Spielen à la ogame gemacht, um einen strategischen Vorteil gegenüber der Konkurrenz zu erhalten. Im Gegensatz zu dem Paperschreiber konnte das meine Lösung aber vollautomatisch und ohne 10-Seiten PAP.
Der Gag ist, dass sich hier übergewolltes Verhalten des Social Networks aufgeregt wird. Das Einzige was derartiges verhindern kann, ist entweder diese Dienste nicht zu nutzen. Alternativ kann man die Betreiber verpflichten diese so abzuschotten wie beispielsweise Xing, das liefe dem Sinn von StudiVZ und Co. doch aber deutlich zuwieder …
Comment by noamik — 5.05, 2010 @ 12:02