Thema: StudiVZ-Nutzerdaten ausgespäht

[mtron]

schlimme story... ein Wahnsinn dass sowas so enden musste. Wie um alles in der Welt kommt der junge auch auf die idee für ein "just For Fun" Projekt Geld überhaupt zu erwägen 

Das verhalten von VZ ist sowieso indiskutabel, aber wahrscheinlich arbeitet diese Branche so...

[SiLæncer]

Der mutmaßliche SchülerVZ-Erpresser Matthias L. ist sich vor seiner Festnahme mit dem Betreiber des Netzwerkes nach eigenen Angaben nahezu handelseinig gewesen. Dies berichtet das Magazin 'Stern' in seiner morgen erscheinenden Ausgabe.

L. sagte demnach bei der Polizei aus, dass beim Gespräch mit SchülerVZ sogar ein Vertragsentwurf aufgesetzt worden sei. Auch der Geschäftsführer der Betreiberfirma VZnet habe der Zahlung von 80.000 Euro zugestimmt, sofern L. auf die Forderungen der Firma eingehe.

Erst als der 20-Jährige sich weigerte, 17 Adressen von Nutzern preiszugeben, die auch zu den von L. gesammelten Daten gehören, habe VZnet die Polizei gerufen. Der Erlanger wurde daraufhin wegen versuchter Erpressung festgenommen.

L. hatte mehr als zwei Millionen Datensätze von VZnet gesammelt. Er wurde deshalb vom Technikchef der Firma kontaktiert. Aus einem von L. gespeicherten Protokoll des Internetchats gehe hervor, dass VZnet ihn mit Angeboten köderte: Wenn alle Daten gelöscht würden, "darf uns das auch was kosten".

L. hingegen stellte in diesem Chat laut Protokoll keinerlei finanzielle Forderungen, schreibt der Stern. VZnet blieb laut Magazin bei der Darstellung, dass niemals "Angebote finanzieller Art" gemacht worden seien. L. habe von sich aus 80.000 Euro verlangt, woraufhin die Polizei verständigt worden sei, sagte ein Mitarbeiter bei der Vernehmung aus.

Matthias L., der von Hartz IV in einer "Unterbringungswohnung" lebte und wegen etlicher kleinerer Internetgaunereien vorbestraft war, nahm sich in der Nacht zum 31. Oktober in Einzelhaft in der JVA-Plötzensee das Leben. Der 20jährige litt unter einer "kombinierten Persönlichkeitsstörung", was auch den Ermittlern bekannt war.

Quelle : http://winfuture.de

[SiLæncer]

In der Affäre um die bei SchülerVZ gesammelten Daten und den anschließenden Selbstmord des der Erpressung verdächtigten 20-jährigen Erlangers hat der Verteidiger des Verstorbenen Strafanzeige gegen Mitarbeiter des Community-Betreibers VZnet Netzwerke gestellt. Gegen einen Mitarbeiter habe er Strafanzeige wegen des Verdachts der "falschen uneidlichen Aussage" gestellt, teilte Rechtsanwalt Ulrich Dost am heutigen Freitag in Berlin mit. Gegen vier Mitarbeiter des Netzwerkbetreibers richtet sich zudem eine Anzeige wegen falscher Verdächtigung. Er könne sich "des Eindrucks nicht erwehren, dass die tatsächlichen Umstände durch die Unternehmensmitarbeiter gegenüber den Ermittlungsbehörden verdunkelt werden sollten", heißt es in der Mitteilung des Anwalts. VZnet hat eine Bitte um Stellungnahme nicht beantwortet.

Dabei geht es um die Angaben bezüglich finanzieller Angebote, die VZ-Mitarbeiter nach der Festnahme des Verdächtigen gegenüber den Behörden gemacht haben. "Angebote finanzieller Art haben wir nicht gemacht", zitiert Dost aus dem Vernehmungsprotokoll eines Mitarbeiters, bei dem es sich um den Technikchef des Unternehmens handeln dürfe. Das widerspreche dem ebenfalls in den Ermittlungsakten abgelegten Protokoll des Chats, in dem der Technikchef mehrfach mögliche Zahlungen ins Spiel gebracht haben soll: "Wenn wir das schaffen, darf uns das auch was kosten."

Der Anwalt, der mit den Strafanzeigen ein Zeichen setzen will, wirft weiteren Mitarbeitern des Unternehmens zudem falsche Verdächtigung vor. Dem Unternehmen sei offenbar klar gewesen, dass es sich um öffentliche, für jeden Nutzer zugängliche Daten gehandelt habe. Das habe der Technikchef in seiner Unterhaltung mit dem Verdächtigen bestätigt und das Unternehmen anschließend öffentlich erklärt. Eine strafbare Handlung des Ausspähens von Daten habe auch deshalb nicht vorgelegen, weil die fraglichen Daten nicht gegen unberechtigten Zugang gesichert waren und zum Herunterladen die Überwindung von Zugangssicherungen nicht nötig gewesen sei.

"Diese Umstände verheimlichten die Unternehmensmitarbeiter gegenüber den Ermittlungsbehörden", erklärt Rechtsanwalt Dost. Stattdessen hätte eine Mitarbeiterin wider besseres Wissen gegenüber der Polizei erklärt, sie sehe die "Tatbestände des Ausspähens von Daten als erfüllt" an. Zudem widerspricht der Verteidiger erneut dem von VZnet erhobenen Erpressungsvorwurf, der ebenfalls den "Verdacht einer falschen Verdächtigung" aufkommen lasse. VZnet habe "unbezifferte, aber dennoch eindeutige Zahlungsangebote" gemacht. Darauf habe auch der Verdächtige in seiner Vernehmung hingewiesen.

Es bestünden also "erhebliche Bedenken am Vorliegen des subjektiven Tatbestands der Erpressung", zumal nach Aussage des Verdächtigen beide Seiten am späten Abend des fraglichen Sonntags bereits Einigkeit über die Zahlung von 80.000 Euro erzielt hätten und dazu auch ein Vertragsentwurf aufgesetzt worden sein soll. Darauf weise auch eine handschriftliche Notiz aus den Ermittlungsunterlagen hin, in der jemand "Vertrag über Zahlung" vermerkt habe.

Insgesamt waren laut Dost vier Mitarbeiter direkt in die Verhandlungen mit dem 20-Jährigen einbezogen. Nach Informationen von heise online waren darunter neben dem CTO auch eine Mitarbeiterin der Rechtsabteilung sowie ein Mitglied der Geschäftsführung. VZnet weist die Vorwürfe bisher zurück und erklärte, es sei "zu keinem Zeitpunkt" ein "Zahlungsangebot oder gar Schweigegeldangebot" gemacht worden. Weiter macht das Unternehmen keine Angaben, bezeichnete Informationen über eine direkte Beteiligung von CEO Markus Berger-de León an den Verhandlungen gegenüber heise online allerdings als falsch.

Der 20-jährige aus Erlangen hatte sich Zugang zu Daten der Nutzer des Netzwerks verschafft und war unter dem Vorwurf einer versuchten Erpressung festgenommen worden. Der junge Mann hatte sich nach zwei Wochen in der Untersuchungshaft in Berlin Plötzensee das Leben genommen. Nach Justizangaben habe es keine Anzeichen gegeben, die auf etwaige Suizidgefahr hindeuteten. Er habe einen "lockeren und aufgeschlossenen Eindruck" gemacht. Allerdings war den Behörden wohl ein Gutachten bekannt, dass dem 20-Jährigen eine Persönlichkeitsstörung attestierte. Zudem ist inzwischen bekannt, dass der Erlanger kein gänzlich unbeschriebenes Blatt war. Er hatte wegen Betrügereien auf eBay bereits einmal in Untersuchungshaft gesessen.

Quelle : www.heise.de

[SiLæncer]

Erneut gibt es ein Datenschutzproblem bei SchülerVZ – trotz Datenschutzversprechen, TÜV-Siegel und Note "Sehr gut" der Zeitschrift Öko-Test. Die Bürgerrechtsplattform netzpolitik.org berichtet, dass ihr ein aktueller Datensatz von rund 1,6 Millionen aktiven Schülern (30 % aller Profile) von einem Informanten zugespielt wurde.

SchülerVZ hatte zwar diverse Maßnahmen durchgeführt, um nach dem Datenschutzdebakel im vergangenen Herbst das massenweise Abgreifen von Nutzerprofilen mit speziellen Crawler-Tools zu erschweren, das hat aber offenbar nicht gefruchtet. StudiVZ hatte unter anderem Captchas eingeführt und die Profilabrufe limitiert. Die Captchas sind aber mittlerweile wieder verschwunden; vermutlich, weil sie die legitimen Nutzer eher behinderten und für die Profil-Crawler nicht wirklich eine Hürde darstellten.

Laut netzpolitik.org wurden die Daten des neuen Satzes über Gruppenmitgliedschaften gesammelt. Damit sollen sich Basisinformationen von Profilen wie Name, Schule, Schul-ID-Nummer und Link zum Bild abfragen lassen, auch wenn ein Profil auf "privat" gestellt ist. Weitere Profile seien dann über Freundeslisten ausgelesen worden. Da viele Schüler aber offensichtlich mit den Datenschutzeinstellungen ihres Profils überfordert sind, lassen sich über Name und Schule hinaus auch Daten wie Alter, Geschlecht, Klasse, Beziehungsstatus, politische Einstellung, Hobbys und Beschreibungen zur Person einsehen.

Die Datensätze enthielten jedoch keine direkten Kontaktdaten wie E-Mail-Adresse oder Postanschrift. Mit derartigen Listen ließen sich aber immerhin Listen erstellen, beispielsweise alle Schüler eines bestimmten Alters an einer bestimmten Schule. Besonders brisant daran findet netzpolitik.org, dass es sich überwiegend um Daten von minderjährigen Schülern handelt, die sich der Tragweite von Datenschutzproblemen nicht bewußt sind. Die Daten von minderjährigen Schülern sollten daher einen besonderen Schutz genießen und besser gegen massenhaftes maschinelles Auslesen gesichert sein.

Wie bereits bei den vergangenen Fällen sollen die Betreiber von SchülerVZ erste Hinweise des Informanten auf das Problem ignoriert und auf Mails nicht geantwortet haben. Auf die Hinweise von netzpolitik.org hat man dann reagiert.

Quelle : www.heise.de

[SiLæncer]

Der Entwickler Florian Strankowski hat in dem Dokument "LENAML - A VZnet Netzwerke Crawler" Details zu dem benutzten Webcrawler veröffentlicht. Unter anderem trickst der Crawler das "Anti-crawler-system" von StudiVZ aus, in dem er 1000 Konten nutzt. Der Schutz beruht nämlich nur auf der Zählung der Klicks eines Anwenders auf der SchülerVZ-Plattform. Bei mehr als 1980 Klicks blockt das System weitere Aktionen. Mit parallelen Konten lässt sich der Schutz umgehen. Nettes Detail am Rande: Das Tool LenaML ist dem Gewinner der Show Unser Star Für Oslo, Lena Meyer-Landrut gewidmet.

Quelle : www.heise.de

[SiLæncer]

Im sozialen Netzwerk SchülerVZ gibt es eine Sicherheitslücke, die das Auslesen von Account-Daten, Cookies und privaten Nachrichten sowie das Unterschieben von Schadcode ermöglicht. Die Lücke kam durch die kürzlich erfolgte Einführung klickbarer Links zustande.

Bei Video-Links wird mit dem neuen System sogar direkt eine Vorschau generiert. In dem dazu verwendeten System existiert offenbar eine Sicherheitslücke, die es ermöglicht, zu verhindern, dass die im Link enthaltenen Zeichen ordnungsgemäß interpretiert werden (nämlich eine Escape-Sequenz durchlaufen). Das ermöglicht einem Angreifer mit entsprechenden Kenntnissen das Einschleusen von aktivem HTML- oder JavaScript-Code.

Über diesen Code kann beispielsweise die Weiterleitung auf eine mit Schadcode verseuchte Website erfolgen. Auch könnten sensible Daten wie Session-Cookies, die geheime E-Mail-Adresse des Accounts oder sogar private Nachrichten ausgelesen und an den Angreifer weitergeleitet werden. Für die erfolgreiche Weiterleitung sowie das Auslesen der Cookies liegt gulli:News ein Proof of Concept vor. Der Schüler und Hacker Armin R. entdeckte die Lücke und setzte sich daraufhin mit gulli:News in Verbindung. Seiner eigenen Aussage nach will der 16-Jährige verhindern, dass die Probleme totgeschwiegen werden, und bei den Benutzern ein Bewusstsein für die Problematik des Netzwerks wecken.

Der Angriff bietet ein erhebliches destruktives Potential. Wird die Weiterleitung entsprechend implementiert, kann sie versteckt erfolgen, so dass der betroffene Benutzer nichts davon mitbekommt. Denkbar wäre sogar, ein Script zu schreiben, über das sich der bösartige Link selbst weiterverbreitet. So ließen sich mit überschaubarem Aufwand in kurzer Zeit erhebliche Mengen an Daten gewinnen. Auch für die Malware-Verbreitung wäre diese Vorgehensweise vielversprechend, da zahlreiche Benutzer "automatisiert" auf Websites mit entsprechendem Schadcode weitergeleitet werden könnten. Der Angreifer selbst hat bei diesem Angriff kaum Traffic- und Rechenaufwand. Das unterscheidet diese Form der Datensammlung vom bereits mehrfach bei VZ-Netzwerken praktizierten Einsatz eines Crawlers. Auch ist der hier vorliegende Angriff, wie bereits beschrieben, weit vielseitiger einsetzbar.

Da der Exploit auf der Video-Vorschau-Funktion basiert, funktioniert er nur, wenn der für die zuständige Dienst oohembed erreichbar ist. Ist dieser - wie es momentan häufiger der Fall zu sein scheint - durch Überlastung nicht erreichbar, kann entsprechend auch der Angriff nicht erfolgreich durchgeführt werden.

Die VZ-Netzwerke fielen in der Vergangenheit bereits mehrfach durch Sicherheitslücken auf. Am prominentesten war der Fall des auch im gulli:Board aktiven Matthias L. ("exit", "Matthew"), der mit Hilfe eines Crawlers erfolgreich auch als privat gekennzeichnete Daten auslesen konnte (gulli:News berichtete). SchülerVZ warf dem 20-Jährigen vor, er habe mit dem Wissen um die Sicherheitslücke und der Drohung, die gefundenen Daten zu veröffentlichen, SchülerVZ erpressen wollen, was der Hacker stets bestritt. Matthias L. kam in Untersuchungshaft, wo er kurze Zeit später tot aufgefunden wurde. Allem Anschein nach hatte er sich selbst das Leben genommen (gulli:News berichtete). Der Anwalt von Matthias L. zeigte die Betreiber von SchülerVZ wegen des Verdachts einer falschen uneidlichen Aussage und falscher Verdächtigungen an (gulli:News berichtete). Das Verfahren wurde aber kürzlich eingestellt (gulli:News berichtete). Auch vor einem Monat tauchten wieder berichte über den erfolgreichen Einsatz eines Crawlers bei SchülerVZ auf (gulli:News berichtete).

Es ist nicht unwahrscheinlich, dass andere VZ-Netzwerke (StudiVZ, meinVZ) ebenso wie SchülerVZ für den neuen Angriff anfällig sind.

Update:

Der Entdecker der Sicherheitslücke bestätigte gegenüber gulli:News mittlerweile, dass der Angriff in jedem Fall auch bei StudiVZ und meinVZ funktioniert.

Quelle: www.gulli.com

[SiLæncer]

Update 2:

SchülerVZ reagierte mittlerweile auf die Sicherheitslücke, indem das angreifbare Thumbnail-Feature deaktiviert wurde. Momentan besteht also kein diesbezügliches Sicherheitsrisiko für die Nutzer der VZ-Netzwerke.

Quelle: www.gulli.com

[SiLæncer]

Update 3:

Auszug einer aktuellen E-Mail eines Technikers der VZnet Netzwerke Limited: „Ich habe heute Mittag mit dem Finder der Lücke zweimal telefoniert, er hat uns seinen proof of concept code geschickt. Wir konnten die Lücke nachvollziehen, haben sie behoben und sind gerade dabei ein neues release auf die produktiv plattform zu schieben.“ Das betroffene Feature wird bald wieder aktiviert, die Sicherheitslücke ist damit behoben. „Nochmal vielen Dank für den Hinweis und die Vermittlung zwischen dem Finder und VZ.“ Zudem würde man sich wünschen, dass wir der Firma derartige Bugs vor einer Veröffentlichung ankündigen, damit man dort genügend Reaktionszeit zur Verfügung hat. Das Unternehmen hatte uns im Vorfeld schriftlich zugesagt, dass der Hacker Armin R.strafrechtlich nicht von ihnen belangt wird. Unter dieser Voraussetzung waren wir zu einer Vermittlung bereit, damit der Bug so schnell wie möglich behoben werden kann.

Quelle: www.gulli.com