Thema: StudiVZ-Nutzerdaten ausgespäht

[SiLæncer]

Abermals hat StudiVZ mit Sicherheitspoblemen zu kämpfen: Am heutigen Dienstag haben Unbekannte die Nutzerdatenbank der beliebten Internetplattform für Studenten angezapft. In einer Pressemitteilung erläutert das Unternehmen, dass es den Angreifern gelungen sei, Mailadressen, Zugangsdaten und Freundschaftsverbindungen auszulesen.

Wieviele Profile betroffen sind, sei bislang noch unklar. Als Vorsichtsmaßnahme erhalten sämtliche Nutzer ein neues Passwort, auch wenn diese verschlüsselt in der Datenbank abgelegt seien. Der StudiVZ-Geschäftsführer Ehssan Dariani geht davon aus, dass es den Angreifern bis zum Zurücksetzen der Passwörter nicht gelungen sei, mit den erlangten Passwörtern Schaden anzurichten.

Die Infrastruktur des Studentenportals scheint allerdings mit der Passwort-Rücksetzaktion etwas überfordert zu sein. Inzwischen erhält man beim Aufruf der Webseite von StudiVZ nur noch die Mitteilung, dass die Datenbank in die Knie gegangen sei. Nach Angaben von StudiVZ haben die Hacker lediglich die deutsche Plattform angegriffen. Die internationalen StudiVZ-Seiten sowie SchülerVZ seien nicht betroffen.

Der Software-Fehler, der dem oder den Angreifern das Auslesen der Daten ermöglichte, sei inzwischen gefunden und behoben worden. StudiVZ will außerdem Strafanzeige gegen Unbekannt stellen.

Quelle : www.heise.de

[SiLæncer]

Nach über drei Monaten Diskussion hat die Studentenplattform StudiVZ einen Verhaltenskodex für seine Mitglieder vorgestellt und neue Allgemeine Geschäftsbedingungen (AGB) veröffentlicht. Diese sehen Vertragsstrafen für Nutzer vor, die sich nicht an die Regeln halten. Elektronische Angriffe sollen gar mindestens 6000 Euro kosten.

Das Studentenportal hatte den Verhaltenskodex bereits Ende November angekündigt, nachdem das Portal wegen fragwürdiger Praktiken einiger Nutzer in die Schlagzeilen gekommen war. So soll eine Gruppe männlicher Mitglieder Frauen systematisch belästigt haben. In der Folge zeigte sich StudiVZ besserungswillig und versuchte mit Hilfe der Community einen Verhaltenskodex für Mitglieder aufzustellen, der solche Auswüchse in Zukunft vermeiden sollte. Nach Angaben des Unternehmens haben mehrere Tausend Mitglieder an dem Prozess zur Erstellung der Benutzerregeln beteiligt. Das Regelwerk verbietet zum Beispiel das "Massengruscheln", bei der viele Mitglieder einem bestimmten Mitglied parallel eine Nachricht über das Portal zukommen lassen; untersagt sind zudem pornografische, extremistische oder strafbare Inhalte. Auch will der Anbieter gegen Fake-Profile vorgehen. So dürfen die Mitglieder keine falschen Angaben zu ihrer Person machen, auf ihren Profilbildern sollen sie erkennbar sein.

Während der Verhaltenskodex nur Konsequenzen bis zum Ausschluss eines Mitglieds ankündigt, gehen die neuen AGB wesentlich weiter. Sie sehen nämlich für Mitglieder Vertragsstrafen in unbestimmter Höhe vor, wenn sie sich nicht an die Spielregeln der Portalbetreiber halten. Besonders verpönt sind "elektronische Angriffe". Wer versucht, Viren über die Plattform zu verbreiten oder gezielt Mitgliedsdaten auszulesen, soll nicht nur straf- und zivilrechtlich verfolgt werden, sondern dazu auch eine Vertragsstrafe von mindestens 6000 Euro zahlen. Doch nicht nur eindeutig strafbare Handlungen zählen für StudiVZ zu den elektronischen Angriffen: auch wer nur die Sicherheitsbarrieren von StudiVZ umgeht, ohne weiteren Schaden anzurichten, ist nach den neuen Geschäftsbedingungen zur Zahlung der Vertragsstrafe verpflichtet. Darüber hinaus werden die mit einer Strafe belegte Mitglieder zum Stillschweigen über die Sanktionen verpflichtet, "insbesondere auf Internetforen, in Blogs oder gegenüber der Presse."

Damit vollzieht das Unternehmen eine Kehrtwende. Im November hatte StudiVZ seine Mitglieder noch ausdrücklich ermutigt, Sicherheitslücken zu suchen und dafür sogar Geldprämien ausgesetzt. Nach den neuen Geschäftsbedingungen ist schon eine Suche nach möglichen Sicherheitslücken nicht mehr erlaubt. Das Unternehmen selbst schließt aber eine Haftung für Hacker-Angriffe ausdrücklich aus. So heißt es unter Punkt 6.5: „Der Betreiber haftet nicht für die unbefugte Kenntniserlangung von persönlichen Nutzerdaten durch Dritte (z. B. durch einen unbefugten Zugriff von "Hackern" auf die Datenbank)". Genau dies war Ende Februar passiert. Damals war es einem unbekannten Angreifer gelungen, über eine SQL-Injection eine unbekannte Anzahl von Profilen samt persönlicher Daten wie E-Mail-Adressen auszulesen. Zwar hatte StudiVZ daraufhin sämtliche Passwörter von Mitgliedern ausgewechselt, hielt es aber bis heute nicht für nötig, die Mitglieder über die Folgen des Angriffs zu informieren.

Unklar ist, welche Vertragsstrafen das Unternehmen für kleinere Verstöße gegen die AGB und den Verhaltenskodex erheben will. Nach dem Wortlaut reicht schon ein falsch geschriebener Name aus, um zahlungspflichtig zu werden. Die neuen Geschäftsbedingungen werden derzeit per Mail an die Mitglieder von StudiVZ verschickt. Sie sollen 14 Tage nach Erhalt gültig werden. Wer den AGB widerspricht, muss damit rechnen, von der Plattform ausgeschlossen zu werden.

Ob die neuen AGB vor Gericht gültig sind, muss sich aber erst herausstellen. So bezweifelt Rechtsanwalt Udo Vetter in seinem Weblog die Wirksamkeit der Klauseln, da Vertragsstrafen gegen Verbraucher schwer durchzusetzen seien, den Nutzer unangemessen benachteiligten und die AGB-Klauseln in dieser Form für den Kunden überraschend seien.

StudiVZ ist Deutschlands größtes Studentenportal. Nach eigenen Angaben hat das Unternehmen in Europa inzwischen 1,8 Millionen Nutzer gewinnen können. Im Januar war das Berliner Startup-Unternehmen für einen Betrag von über 50 Millionen Euro von der Verlagsgruppe Holtzbrinck übernommen worden.

Quelle : www.heise.de

[SiLæncer]

Phishing, Pharming und Spoofing – die Palette der Tricks ist lang, mit denen Internet-Betrüger ahnungslose Surfer ausspähen. Dabei haben es Kriminelle nicht nur auf Passwörter und wertvolle Geheimnisse wie Bankdaten abgesehen – inzwischen missbrauchen sie auch die Identität anderer, um im Netz unter falschem Namen aufzutreten. In den USA nimmt der Identitätsklau im Internet drastisch zu, aber auch in Deutschland sind die Datendiebe im Netz unterwegs.

So wurden etwa beim Studentenportal StudiVZ Mitgliederdaten ausgespäht, die mit einem Passwort geschützt waren. Auch bei Online-Auktionshäusern berichten Betroffene immer wieder, dass in ihrem Namen Auktionen veranstaltet oder Dinge ersteigert wurden. "Man kann nur immer wieder raten, mit den eigenen Daten im Internet sparsam umzugehen", sagt Rechtsanwalt Jochen Schneider aus München. Viele Nutzer seien in dieser Hinsicht recht sorglos. Erst mit der derzeit geplanten Änderung des Strafrechts, die das Abfangen von Daten unter Strafe stellen soll, könne ein weiterer Schutz entstehen – denn bislang greift nur das Datenschutzrecht.

Mit Namen, Adresse und dem Geburtsdatum lassen sich in kürzester Zeit Nutzerkonten im Internet eröffnen, ob für eine E-Mail-Adresse oder ein Konto bei eBay. Diese Konten nutzen die Datendiebe dann in ihrem Sinn: um Dinge zu kaufen oder zu verkaufen, um mit anderen in Kontakt zu treten oder um Menschen gezielt zu diffamieren. So sah sich jüngst in Australien ein Richter des Obersten Verfassungsgerichts plötzlich mit einem zweiten persönlichen Profil auf der Plattform Myspace konfrontiert. Eines hatte er nach Angaben des "Sydney Morning Herald" selbst angelegt. Ein anderes erweckte mehr als 15 Monate lang lediglich diesen Anschein – und rückte den Richter dabei nicht gerade in ein sympathisches Licht.

Plattformen wie die Kontaktbörse Xing setzen auf zweierlei Maßnahmen gegen den Datendiebstahl. "Die Nutzer sind interessiert daran, dass die Seite sauber bleibt – darum melden sie unmittelbar jede Auffälligkeit", sagt Sprecherin Daniela Hinrichs in Hamburg. Zugleich setzt die Firma Angriffen von außen technische Maßnahmen entgegen. So laufe auf der Plattform eine "Bot-Falle", die Angriffe anhand ihrer wiederkehrenden Muster entdecken und blockieren könne. Zudem setzt Xing Sicherheitsexperten ein, die Lücken im System aufspüren sollen. Diese sind laut Hinrichs auch in der Nutzergemeinde aktiv und greifen etwa im Fall von rufschädigenden Äußerungen sofort ein. Meldeten mehrere Nutzer wiederkehrende Post von falschen Konten, würden diese ebenfalls gesperrt.

"Wir versuchen dann, diese Leute unter der hinterlegten Telefonnummer zu erreichen", erklärt Hinrichs. Gelinge ein zweifelsfreier Nachweis der Identität nicht, werde das Konto gesperrt und der Nutzer auf eine schwarze Liste gesetzt. Jeder Missbrauch einer real existierenden Identität werde außerdem strafrechtlich verfolgt. Das Studenten-Portal StudiVZ hat zudem eine Belohnung für alle ausgesetzt, die Sicherheitslücken im System aufdecken. 128 Euro soll jeder bekommen, der Schwachstellen entdeckt und meldet – und diese Informationen nicht anderweitig verwertet.

Der Online-Marktplatz eBay will dagegen durch eine genaue Prüfung der Anmeldedaten Betrüger ausschließen, die mit falscher Identität kaufen und verkaufen wollen. "Wir gleichen die Daten eines neu Angemeldeten mit der Schufa ab", sagt Firmensprecher Alexander Lengen in Dreilinden. Damit solle nicht die Kreditwürdigkeit geprüft werden, sondern einzig, ob die angegebene Identität existiert. Neukunden müssten sich mit einem Code freischalten, der an ihre Mail-Adresse geschickt wird. "Wenn Angaben zweideutig sind, schicken wir den Code an die Postadresse", sagt Lengen. Falls ein solcher Freischaltcode unaufgefordert per Post eintrifft, sollten Betroffene daher prüfen, ob sie Opfer eines Identitätsklaus geworden sind.

Anwalt Schneider rät, die Identität durch eine digitale Signatur zu verifizieren. Großen Schaden müssten Betroffene in der Regel allerdings nicht fürchten, wenn in ihrem Namen etwa bei eBay eingekauft wird. "Der Verkäufer muss in diesem Fall nachweisen, dass der Käufer tatsächlich etwas bei ihm gekauft hat." Zudem könnten überrumpelte Käufer von ihrem Widerrufsrecht Gebrauch machen, wenn ihnen ein vermeintlicher Online-Kauf in Rechnung gestellt wird. Ein Problem für soziale Netzwerke im Internet blieben aber die Crawler, sagt Manfred Friedrich, der bei der Seite StudiVZ für den Datenschutz zuständig ist. "Als 'öffentlich' geschaltete Informationen können sowohl von registrierten Nutzern als auch von automatisierten Abfragen gelesen werden." Weniger Daten preiszugeben bleibt also der wichtigste Rat – denn wer seine persönlichen Informationen gar nicht erst öffentlich macht, wird auch nicht so leicht ausspioniert. "Dazu gehört auch die Anonymisierung", sagt Anwalt Schneider.

Quelle : www.heise.de

[SiLæncer]

Über Schwachstellen in StudiVZ hätten Angreifer Anmeldedaten abgreifen oder Mails einsehen können. Das Portal SchülerVZ war ebenfalls betroffenn. Die XSS-Lücke bei StudiVZ befand sich im Login-Formular. Durch die fehlende Filterung von Quotes (") war es möglich, in die Felder "E-Mail" und "Passwort" JavaScript hineinzuschreiben. Bei einer Demo des Entdeckers der Lücke, dem heise-online-Leser Sergej S., wurde das Script ausgeführt, sobald man die Maus über eines der Felder bewegte. Prinzipiell hätte etwa ein Phisher mit einem Skript die eingegebenen Login-Daten von Nutzern abgreifen können. Für einen erfolgreichen Angriff hätte ein Opfer aber auf einen präparierten Link klicken müssen, etwa in einer Mail oder einer Webseite.

Anzeige

StudiVZ konnte den Fehler [Update]nach dem ersten Hinweis von heise Security nachvollziehen und behob den Fehler. Zudem wurde ein weiterer Fehler im Eingabeformular beseitigt. [/Update] Der gleiche Fehler befand sich auch im Login-Formular von SchülerVZ, er wurde dort aber ebenfalls behoben.

1&1 hatte hingegen mit einer Cross-Site-Scripting-Lücke in seinem Webmailer zu kämpfen. In der Betreffzeile enthaltenes JavaScript wurde beim Öffnen im Browser im Kontext von 1&1 ausgeführt. Ein Angreifer hätte mit einer präparierten Mail beispielsweise das Cookie kopieren können oder Zugriff auf weitere Mails erhalten können. 1&1 hat die Lücke innerhalb eines Tages nach der Benachrichtigung durch heise Security geschlossen. Zudem will man den Vorfall laut Pressesprecher Andreas Maurer zum Anlass nehmen, den gesamten 1&1-Webmailer in den nächsten Wochen einem ausführlichen Sicherheitscheck unterziehen.

Siehe dazu auch:

    * Passwortklau für Dummies... oder warum Cross Site Scripting wirklich ein Problem ist. , Hintergrundartikel auf heise Security
    * Cross-Site-Scripting: Datenklau über Bande, Hintergrundartikel auf heise Security

Quelle : http://www.heise.de/security/news/meldung/102378/StudiVZ-und-1-1-beseitigen-Cross-Site-Scripting-Schwachstellen-Update--

[SiLæncer]

Der Antivirenhersteller McAfee hat einen Trojaner gesichtet, der als das populäre StudiVZ-Toolbar daherkommt, im Gefolge aber noch eine Hintertür (eine Variante der Backdoor-CEP) mitbringt. Aus welchen Quellen das Malware-Bundle stammt, gibt McAfee nicht an.

Nach der Installation macht die Schadsoftware Screenshots und liest die Tastatureingaben mit. Da der Installationsprozess am Ende automatisch die Seite von StudiVz mit dem Internet Explorer öffnet, dürften vermutlich die StudiVZ-Anmeldedaten als Erstes dem Spionageangriff zum Opfer fallen.

Anders als andere Schadsoftware versucht die Backdoor zwar nicht, installierte Schutzprogramme abzuschalten und wehrt sich auch nicht gegen Debugging-Versuche. Dafür injiziert sie verschlüsselten Code in laufende Prozesse, der laut McAfee schwer zu entdecken sei und nur im Hauptspeicher vorhanden ist.

Anwender sollten die Toolbar nur von der offiziellen Seite herunterladen: studivz.myuniversitytoolbar.com.

Quelle : www.heise.de

[SiLæncer]

Aus anonymer Quelle wurden der Website Netzpolitik.org Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein Satz umfasst mehr als eine Million Datensätze mit den Feldern Profil-ID, Name und dazugehörige Schule samt ID. Ein kleinerer Datensatz zeigt detailliertere Informationen mit den Feldern Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild (einschließlich Link zum Bild) an.

Zwar enthalten die Datensätze keine direkten Kontaktdaten wie E-Mail-Adresse oder Postanschrift. Dies betonte auch SchülerVZ, das den Vorfall mittlerweile bestätigt hat. Markus Beckedahl von Netzpolitik.org betont, dass der Vorfall dennoch keine Bagatelle darstellt:

"Mit den Listen lassen sich einfache Datenabfragen erstellen wie 'alle Schüler aus Berlin', oder 'alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule'. Man kann sich vorstellen, dass diese Daten nicht aus den Datenbanken von SchülerVZ in einer solchen Größe ausgelesen werden dürfen."

SchülerVZ verlautbarte auch prompt: "Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen. Die VZ-Netzwerke haben die Datenschutzbehörden umgehend informiert und werden rechtliche Schritte gegen Unbekannt einleiten."

Die gesammelten Daten sind zwar grundsätzlich allen Mitglieder der Community zugänglich und somit öffentlich. In dieser Größenordnung lassen sie sich in endlicher Zeit aber nur automatisch mit einem Crawler zusammentragen. SchülerVZ erklärt allerdings unter "Sicherheit " auf seiner Website: "Deine persönlichen Daten sind auf unseren Servern bestmöglich geschützt. Sie können z.B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb vom SchülerVZ auf."

Folglich seien die Daten offenbar mittels einer automatisierten Abfrage über eine ungesicherte Schnittstelle bei SchülerVZ ausgelesen worden, argumentiert Beckedahl. Das weise auf ein großes Sicherheitsloch bei SchülerVZ hin – und dass man aus den Erfahrungen mit StudiVZ vor drei Jahren nichts gelernt habe. Damals wurde bekannt, dass man auf ähnliche Weise aus der StudiVZ-Datenbank viele Informationen aus den Profilen auslesen konnte. Bei SchülerVZ sieht Beckedahl das Problem aber bedrohlicher: "Hier handelt es sich um Kinder und Jugendliche, die einen besonderen Schutzraum brauchen."

Quelle : www.heise.de

[SiLæncer]

Am gestrigen Samstag gaben die Betreiber des Sozialen Netzwerks "schülerVZ" bekannt, dass der für den Datenklau verantwortliche Täter identifiziert und kontaktiert wurde.

Laut einem Artikel auf dem offiziellen "VZ-Blog" soll der inzwischen bekannte Täter die Datensätze auch weiteren Personen zugänglich gemacht haben. Konkrete Namen wurden in diesem Zusammenhang nicht erwähnt. Allerdings wurden die Personen dazu angehalten, die Datensätze zu löschen.

Angeblich wurden die für jeden registrierten Benutzer einsehbaren Datensätze auf manuelle Art und Weise gesammelt. Dies würde bedeuten, dass der Täter die Profile händisch aufgerufen und letztlich die Daten kopiert habe. Auf diversen Online-Portalen herrscht diesbezüglich die Meinung, dass die Daten automatisiert ausgelesen wurden.

Zugespielt wurden mehr als eine Million Datensätze dem Blog "Netzpolitik". Die Betreiber von schülerVZ gehen derzeit nicht davon aus, dass es sich dabei um die Originalquelle handelte. Viel mehr ist die Rede von einem Trittbrettfahrer. Abgesehen davon könnte es sich grundsätzlich um zwei unterschiedliche Fälle handeln.

Obendrein wurde Markus Beckedahl von Netzpolitik über einige kritische Sicherheitslücken bei schülerVZ aufmerksam gemacht, so ein Artikel von "Futurezone".

Quelle : http://winfuture.de/news,50737.html

[SiLæncer]

Nach dem automatisierten Abgriff von Nutzerdaten bei SchülerVZ, dem Social Network speziell für Schüler, hat der Bundesdatenschutzbeauftragte Peter Schaar davor gewarnt, persönliche Daten in Netz zu stellen. "Der Fall zeigt, dass man sich überlegen muss, wo man Daten preisgibt, speziell im Internet", sagte Schaar der Berliner Zeitung. "Daten, die im Internet stehen und von einer großen Zahl von Menschen genutzt werden, können nur schwer gegen Missbrauch geschützt werden."

Auch der Verband der IT-Branche reagierte mit Besorgnis. "Beim Datenschutz von Kindern und Jugendlichen in Online- Netzwerken muss ein Höchstmaß an Sicherheit gewährleistet sein. Das muss allerhöchste Priorität genießen", sagte Bernhard Rohleder, Hauptgeschäftsführer Bitkom, gegenüber der Zeitung. Glücklicherweise gehe es bei SchülerVZ nicht um sensible Daten wie Kontonummern. Doch zeige der Fall, wie wichtig es sei, dass Eltern genau darauf achteten, was ihre Kinder in Online-Netzwerken tun.

Persönliche Daten von möglicherweise bis zu einer Million junger Menschen, die SchülerVZ als Treffpunkt im Netz nutzen, waren illegal durch einen automatisierten Datenabgriff kopiert und weitergeben worden. Auf der Website von SchülerVZ heißt es allerdings:  "Deine persönlichen Daten sind auf unseren Servern (...) bestmöglich geschützt. Sie können z. B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb vom SchülerVZ auf." Mit den automatisch aus den Profilen ausgelesenen Daten ließen sich nun gezielt bestimmte Nutzergruppen nach Orts- oder Schulangaben herausfiltern und ihre Daten zusammentragen.

Die Betreiber von SchülerVZ betonten, es handle sich ausschließlich um Namen, Alter, Geschlecht und die besuchte Schule sowie um Porträtfotos der Betroffenen – lauter Informationen, die für alle Mitglieder von SchülerVZ zugänglich seien. Sensible Daten wie Adressen, Telefonnummern oder Passwörter seien hingegen nicht betroffen. Der Geschäftsführer der Berliner VZnet Netzwerke Ltd., Markus Berger-de León, sagte am Sonntag gegenüber dpa, künftig müssten die Anwender viel häufiger als sonst Buchstaben- und Zahlenkombinationen (Captchas) eintippen, um bestimmte Anfragen an das Netzwerk zu stellen. "Damit wird die Bedienbarkeit von SchülerVZ zwar derzeit weniger schön. Aber die Anwender haben angesichts des aktuellen Vorfalls Verständnis dafür."

Berger-de León sagte, das Kopieren der Daten sei illegal und ein schwerer Verstoß gegen die Allgemeinen Geschäftsbedingungen. Daher habe man am Wochenende die Datenschutzbehörden informiert und eine Strafanzeige gegen Unbekannt gestellt. Mit rund 15 Millionen Nutzern gelten SchülerVZ und die Schwesterportale StudiVZ sowie MeinVZ als Marktführer bei Online-Netzwerken in Deutschland.

Quelle : www.heise.de

[SiLæncer]

Die Umstände der Veröffentlichung von massenweise Nutzerdaten des sozialen Netzwerkes SchülerVZ werfen eine Reihe von Fragen auf. So sind offenbar mehr Daten im Umlauf als der Datensatz, der dem Blog Netzpolitik.org zugespielt wurde. Derzeit gibt es Hinweise auf mindestens einen weiteren Satz mit Daten des Community-Anbieters VZnet Netzwerke. Die Polizei hat mittlerweile einen Tatverdächtigen verhaftet. Dabei handelt es sich allerdings offenbar nicht um die Quelle von Netzpolitik. Zudem ist unter Juristen umstritten, ob und inwieweit sich der Verdächtige mit dem Auslesen der Daten strafbar gemacht hat.

Nach dem Datenklau ist am Montag in Berlin ein Verdächtiger festgenommen worden. Wie ein Polizeisprecher am Abend erklärte, handelt es sich um einen 20-jährigen Mann aus Erlangen. Er sei in den Räumen der VZnet, dem Betreiber von MeinVZ, SchülerVZ und StudiVZ, festgenommen worden. Ein Sprecher der Berliner Staatsanwaltschaft sagte der dpa, es werde gegen den Mann wegen Ausspähen von Daten und Erpressung ermittelt. Er soll versucht haben, die Daten zu verkaufen. Ob ein Haftbefehl gegen den Mann ergehen soll, werde bis zum Dienstag entschieden.

Offenbar handelt es sich bei dem Verhafteten um einen Blogger, der in einem Blog-Eintrag vom Wochenende zugegeben hatte, SchülerVZ-Daten mit einem Datensammelprogramm (Crawler) im großen Stil abgegriffen und in einem geschlossenen Forum veröffentlicht zu haben. Die Domain seines Blogs, das inzwischen vom Netz genommen und nur noch im Google-Cache abrufbar ist, ist auf eine Adresse in Erlangen registriert. Er widersprach dabei jedoch der Darstellung von VZnet, es seien seine Daten gewesen, die Netzpolitik.org zugespielt wurden. Seine Datenbank habe mehr Datenfelder je Person enthalten.

VZnet legt Wert auf die Feststellung, dass es sich bei dem Vorfall nicht um ein Datenleck handele. Ein unberechtigter Zugang zu Post- und E-Mail-Adressen, Zugangsdaten oder Telefonnummern habe nicht bestanden. Abgegriffen wurden lediglich Informationen, "die für jeden anderen SchülerVZ-Nutzer öffentlich einsehbar sind". Das Unternehmen sei mit dem Verantwortlichen in Kontakt getreten. Er habe auch Daten von den nahezu funktionsgleichen Portalen StudiVZ und MeinVZ gesammelt, diese jedoch noch nicht veröffentlicht.

Dabei ist durchaus plausibel, dass es sich bei den Netzpolitik zugespielten Daten nicht um die des Erlanger Bloggers handelt und entgegen der "Trittbrettfahrer"-Theorie von VZnet verschiedene Datensätze im Umlauf sind. Im Internet existiert ein regelrechter Markt für Datensammelprogramme aller Art. Die Programmierjobbörse GetACoder.com etwa listet bei der Eingabe von bekannten Namen wie Facebook, Xing oder StudiVZ gleich eine ganze Reihe von Aufforderungen zur Entwicklung derartiger Sammelprogramme. In einem konkreten – und inzwischen abgeschlossenen – Auftrag ist sogar beschrieben, wie sich das StudiVZ-Captcha, das das Crawling der Daten erschweren soll, mit Hilfe der Gruppenfunktionen ohne aufwändige Entwicklung einer Captcha-Erkennung umgehen lasse.

Ob es sich bei dem Sammeln der User-Daten allerdings tatsächlich um eine Straftat handelt, ist alles andere als eindeutig. Klar ist nur, dass dadurch sowohl gegen die AGB des Betreibers VZnet als auch gegen Vorschriften des Datenschutzes verstoßen wurde. Ob es sich aber bei den genutzten Crawlern um "Hacker-Tools" im Sinne des § 202c des Strafgesetzbuches (StGB) handelt, ist ebenso wenig eindeutig wie die Einordnung des Abgreifens der Daten als strafbares "Ausspähen von Daten" nach § 202a StGB.

Dabei ist unter Strafrechtsexperten umstritten, ob es sich bei einem Captcha um eine Zugangssperre im Sinne des Gesetzes handelt. Zwar vertritt VZnet den Standpunkt: "Das Crawlen eines Netzwerks unter Umgehung von Zugangssperren (Captchas) ist illegal". Dies wird allerdings bezweifelt, da Captcha zwar den automatisierten Zugriff auf Daten erschweren, die entsprechenden Informationen aber trotzdem öffentlich zugänglich sind.

Quelle : www.heise.de

[SiLæncer]

Der Crawler, mit dem die sozialen Netzwerke der VZ-Gruppe ausgelesen wurden, stammt aus Erlangen. Nach einigen Hinweisen und einer Recherche im Google-Cache sieht es so aus, als ob der Entwickler Mathias L. die Daten nicht nur aus sportlichen Gründen unerlaubt ausgelesen hat.
Den Crawler, mit dem Daten aus dem Netzwerk SchülerVZ ausgelesen worden sind, hat "3x1t" (sprich: exit) entwickelt. Dahinter steckt der in Erlangen wohnende 20-jährige Matthias L., der laut eigener Website sein Geld als Freelancer, Webentwickler und Administrator verdient. Mit sehr großer Wahrscheinlichkeit ist es L., den die Berliner Polizei nach einer Anzeige von StudiVZ am gestrigen Sonntag als dringend Tatverdächtigen verhaftet hat.

Crawler bereits im Mai 2009 auf Youtube demonstriert

Die 3x1t-Webseiten von L. sind zwar nur noch teilweise zu erreichen, aber von Google ist das Blog mit Kommentaren noch zwischengespeichert - und enthält auch einen Link zu einem Youtube-Video , das L. als "matt56444" bereits am 22. Mai 2009 veröffentlicht hatte und das dort noch zu finden ist. In der Beschreibung seines Videos erklärte L., dass er seinen "sVZ Crawler" auf Basis von PHP, JS, Ajax und verschiedenen Shell-Scripts entwickelt habe. Zu dem Zeitpunkt sei der Crawler noch etwas verbuggt, habe aber aber innerhalb von vier Stunden über 48.000 Profile besucht.

Über seine Pläne ist in der Beschreibung zum Youtube-Video aus dem Mai 2009 folgendes nachzulesen: "Ich probiere das gesammte VZ zu crawlen und werde dann eine grafische Auflistung generieren lassen wer wen kennt über welche Ecken...". Das Auslesen hat L. offenbar realisiert - bei allen drei VZ-Netzwerken. Es ging ihm jedoch nicht nur ums Datenauswerten, sondern um mehr: "Bereits eingebaut ist eine Funktion die die Benutzer 'verkuppelt'. Der Bot sucht jeweils ein weibliches und ein männliches Profil und schreibt beiden eine Pinnwand MSG. Leider können aufgrund des Spamschutzes pro Tag nur maximal 20 Einträge auf Fremde Pinnwände geschrieben werden. Ach und die Captchas werden auch automatisch ausgelesen und gecracked "

Die mit dem eigenen Crawler aus den für angemeldete Nutzer frei zugänglichen Daten hat L. Mitte Oktober 2009 anderen zur Verfügung gestellt, ohne StudiVZ zu informieren. Im eigenen Blog schrieb er am 17. Oktober 2009, also einen Tag, nach dem Marcus Beckedahl von Netzpolitik.org von den ausgelesenen Daten berichtet hatte, dazu: "Vor einiger Zeit hatte ich ja schonmal was über meinen StudiVZ / SchülerVZ Crawler geschrieben. Tjo, vor 2 Tagen hab ich mich entschlossen in einer Community die komplette Datenbank vom Bot (SchülerVZ) zum Download bereitzustellen. Und was muss ich heute auf Zeit Online/golem.de lesen? *klick* *klick* [...] Ich bin mal gespannt, wie die Sache ausgeht. Wer die DB auch immer an den Netzpolitik Blog weitergegeben hat, “danke” dafür.. gerade da ich diese im 'Level-2' Bereich der besagten Community gepostet habe – und das nicht umsonst."

17 Kopien heruntergeladen

Laut 3x1t-Blog habe sich in den am Wochenende erfolgten ICQ-Gesprächen mit VZ und einigen Telefonaten herausgestellt, dass es sich bei den von ihm veröffentlichten Daten nicht um die Daten handelte, die Netzpolitik vorgelegen haben und vor dem Wochenende für Aufregung sorgten: "Es sind also zz. zwei Datenbanken im Umlauf – die von mir ist jedoch um einiges 'ausführlicher'. Hier stehen zusätzlich die Hobbys, die Lieblingsmusik, Lieblingsfilme etc. drin. Darüber hinaus handelt es sich um Datenbanken aus allen drei Portalen – wobei nur die aus dem SchülerVZ public war – und genau von dieser Datenbank dürften im Internet noch einige Kopien rumfliegen da diese von meinem Server 17x heruntergeladen wurde."

Die angeblich weniger ausführlichen Daten wurden Netzpolitik offenbar von einer zweiten Person zugespielt, die sich auf diesem Weg um Offenlegung bemüht zu haben scheint. StudiVZ bezeichnete diesen mutmaßlichen zweiten Datenkopierer als " Trittbrettfahrer" von L..

L. selbst war am zurückliegenden Wochenende um Schadensbegrenzung bemüht, nachdem ihm bewusst geworden war, dass StudiVZ die Angelegenheit nicht auf die leichte Schulter nimmt. Er bat in seinem Blog um Hinweise auf Downloadlinks zu den unerlaubt ausgelesenen Daten und wollte sich dann um deren Entfernung kümmern. Seine Beweggründe für die Entwicklung des Crawlers hat L. nicht bekannt gegeben. Unbestätigten Gerüchten zufolge wollte 3x1t den Crawler weiterentwickeln und kommerziell verwerten.

Verdacht auf versuchte Erpressung

Dazu passt eine Meldung von Spiegel Online, der zufolge am Montagabend Haftbefehl gegen den aus Erlangen stammenden Mann erlassen wurde. Das Landeskriminalamt habe mitgeteilt, dass der Verdacht der versuchten Erpressung bestehe. Der Tatverdächtige soll StudiVZ damit gedroht haben, die Daten ins Ausland, etwa nach Osteuropa, zu verkaufen, falls er kein Geld erhalte.

StudiVZ-Techniker im 3x1t-Blog

Dass es L. nicht um Sport ging, vermutete StudiVZ-Cheftechniker Jodok Batlogg am Sonntag, den 18. Oktober in Kommentaren direkt im 3x1t-Blog. Batlogg schrieb dort, es sei eine Sache, Sicherheitslücken zu finden und den Exploit gegenüber dem Betreiber zu beweisen, das sei Ehrensache. Man möge die Sicherheitslücke auch publizieren, auch wenn das "dem Exploiteten nicht schmecken" sollte. Daten zu sammeln und dann auch noch zu veröffentlichen seien jedoch "absolute No-Gos" und "weder ehrenhaft, noch sportlich".

StudiVZ - wie Golem.de Teil der Verlagsgruppe Georg von Holtzbrinck - hatte als Betreiberin der VZ-Portale Anzeige gegen den Datenkopierer erstattet. Im offiziellen VZ Blog steht dazu: "Das Crawlen eines Netzwerks unter Umgehung von Zugangssperren (Captchas) ist illegal. Zudem verletzt das Crawlen und das Veröffentlichen der gecrawlten Informationen Datenschutzrecht. Wir wollen genauso aber auch darauf hinweisen, dass der Täter die Rechte eines jeden einzelnen Nutzers verletzt hat."

Privater Streamingdienst

Weitere rechtliche Probleme könnte L. noch in einer ganz anderen Sache bekommen, aufgrund möglicher Urheberrechtsverletzungen nämlich: L. entwickelt und betreibt einen privaten Fernseh-Streaming-Dienst namens Tevie, der mit TevieTV einen eigenen Fernsehkanal im Pilottest hat. Darüber sind laut offen zugänglicher Playlist nicht nur eigenproduzierte Abendsendungen zu sehen, sondern auch Filme wie das noch im Kino laufende "Oben" und TV-Serien wie "Two and a Half Men", "Malcom Mittendrin", "Life" und "Die Simpsons". Der Dienst ist derzeit nicht erreichbar.

Quelle : www.golem.de

[SiLæncer]

Die Möglichkeit, dass angemeldete Nutzer ihnen regulär zugängliche Daten aus Social Networks kopieren, beschäftigt nach dem SchülerVZ-Vorfall die Branche. Das Xing-Team hält so etwas bei sich nicht für ausgeschlossen, will aber Gegenmaßnahmen ergreifen.

Im offiziellen Xing-Blog schreibt Christian Burtchen, technischer Redakteur der Xing AG, über das aktuelle Thema Daten-Crawling und wie Nutzer sich schützen können. Ein Crawler wie der von Google erkenne bei entsprechender Privatsphäreneinstellung nur die auch außerhalb des Netzwerks sichtbaren Daten.

Allerdings gebe es noch "das automatische Auslesen von Mitgliederdaten durch ein eingeloggtes Mitglied" als Möglichkeit. Burtchen schließt das demnach auch nicht bei Xing aus, ergreife aber "Maßnahmen, um das zu verhindern".

Der Journalist Peter Schink hat sich Xing deshalb einmal näher angesehen und schreibt im eigenen Blog darüber. Ein eigener Crawler sei gar nicht nötig, Google reiche aus. "Eines vorweg: Xing hat eine kleine Unschönheit, die Daten für Google leicht zugänglich macht... Wer nicht in den Privatsphäre-Einstellungen das Crawlen des eigenen Profils durch Suchmaschinen ausschließt, gibt eine Menge von sich preis - genauso viel, wie jeder eingeloggte (!) Nutzer sehen würde."

Damit kenne Google die wichtigsten Business-Daten, den Status, den schulischen und beruflichen Werdegang, das soziale Netzwerk und die Einträge des Gästebuchs.

"Das ist insofern unschön, weil kaum jemand ahnt, wie viel dadurch bereits mit einfachen Google-Anfragen möglich wird", so Schink. Etwa dass "mindestens 753 Singles" auf eine Kontaktanfrage warten und mehr als 1.000 Menschen ihre Adresse über Xing preisgeben.

Zwar ist Xing eben eine Kontaktplattform, bei der es um neue geschäftliche Kontakte und nebenbei auch um Freizeit und Flirten geht. Schink kritisiert jedoch, dass vielen nicht bewusst sei, wie freizügig die Grundeinstellungen von Xing sind.

Das Resultat laut Schink: "Die Unachtsamen werden bewusst an die Suchmaschine verfüttert."

Quelle : www.golem.de

[SiLæncer]

Wie das Blog netzpolitik.org berichtet, waren die Datenschutzprobleme bei SchülerVZ größer als bislang bekannt. So gab es neben den zwei Fällen von Datenspionage, die bisher bekannt wurden, noch einen dritten. Dessen Urheber, der nach eigenen Angaben mit seinem Vorgehen nur auf Sicherheitslücken aufmerksam machen wollte, beschreibt in einem Interview , wie er das alte Captcha-System von SchülerVZ aushebelte.

Ein weiteres Posting erläutert, wie der Programmierer die Super-Suchfunktion des Dienstes benutzt hat, um an Informationen geschützter Profile zu gelangen. So hat er massenhaft gezielte Suchen nach Mitgliedern mit bestimmten Geburtstagen, politischen Einstellungen, Beziehungsstatus et cetera abgesetzt und die Treffer in einer eigenen Datenbank abgeglichen. So konnte er Stück für Stück Datensätze mit Informationen zusammentragen, die Mitglieder des Netzwerkes eigentlich nur Freunden zugänglich gemacht haben, nicht aber der allgemeinen Öffentlichkeit.

netzpolitik.org hat 118.000 Datensätze von Berliner Schülern und deren Geburtsdaten zur Klärung an den Bundesverband Verbraucherzentrale (vzbv) und an den Berliner Landesdatenschutzbeauftragten übergeben. Der vzbv fordert in einer Presseerklärung die Anbieter sozialer Netzwerke auf, mehr für den Datenschutz zu unternehmen. "Statt zu versprechen, dass ihre Daten gut aufgehoben sind, müssen die Anbieter die technisch höchste Sicherheit bieten – wenn nötig auch zu Lasten des Nutzerkomforts", erklärte VZBV-Vorstand Gerd Billen.

Der Betreiber von SchülerVZ, VZnet, hat mittlerweile nach eigenen Angaben Schritte unternommen, die das massenhafte Auslesen von Teilnehmerdaten erschweren sollen. Laut einer allgemeinen Stellungnahme hat das Unternehmen zudem festgestellt, dass "die Einstellmöglichkeiten bezüglich der Suchbarkeit nach Geburtsdaten missverstanden werden können". Diese missverständlichen Einstellmöglichkeiten will das Unternehmen im Laufe des Tages beheben, zusätzlich die Suche nach Geburtsdatum und Alter deaktivieren. Im Zuge einer weiteren Verschärfung der Sicherheitsmaßnahmen will VZnet in den nächsten 24 Stunden auch die Nutzer-IDs neu setzen. Hierdurch soll es zu temporären Einschränkungen für die Nutzer kommen können.

Alles in allem erscheint die Nachrichtenpolitik von VZnet alles andere als vertrauenserweckend. Das interne Blog klartext und das externe VZ Blog berichten nur sehr knapp über den neuerlichen Datenmissbrauch. Der Redaktion sind zudem keine Plänen bekannt, die einzelnen Mitglieder direkt zu informieren, deren Daten gestohlen wurden. Anfragen an VZnet dazu und auch zu Details der anderen Datenpannen sind bislang nur mit allgemeinen Informationen abgespeist worden.

Quelle : www.heise.de

[ritschibie]

Der 20-Jährige, der im SchülerVZ große Mengen (auch privater) Daten sammelte und mit diesen angeblich einen Erpressungsversuch startete, hat laut Polizeiangaben Selbstmord begangen.

Der Verdächtige, der unter dem Pseudonym "Matthew" auftrat, sammelte mit Hilfe eines Crawlers nicht nur öffentlich zugängliche Daten wie Name, Bild und Schule, sondern auch private, nicht öffentlich zugängliche Daten. Er wurde vor etwa zwei Wochen verhaftet und saß seitdem in Untersuchungshaft in der Berliner Jugendstrafanstalt Plötzensee. Nun wurde er tot in seiner Zelle aufgefunden.
 
Die Polizei gibt als Todesursache an, der junge Mann habe sich selbst getötet. Einzelheiten sind zum aktuellen Zeitpunkt nicht bekannt.

Quelle: www.gulli.com

[SiLæncer]

Der Anwalt des in Untersuchungshaft verstorbenen 20-Jährigen erhebt schwere Vorwürfe gegen die Betreiber vom SchülerVZ. Seinem Mandanten sei ein Angebot gemacht worden. Von Erpressung könne keine Rede sein.

Die Umstände des Selbstmords des 20-Jährigen, welcher in Untersuchungshaft genommen wurde, sind nach wie vor ungeklärt. Die Haft wurde angeordnet, nachdem ein Erpressungsvorwurf gegen ihn vorgelegen haben soll. Nun spricht Ulrich Dost, der Rechtsanwalt des Verstorbenen, dass es ein Zahlungsangebot vonseiten des SchülerVZ gegeben haben soll. Seinem Mandanten soll durch Mitarbeiter "ein unbeziffertes Zahlungsangebot gemacht worden sein". Deswegen hätte in diesem Fall eine Zahlungsbereitschaft des Unternehmens vorgelegen, die "folglich nicht mit einer Drohung erzwungen werden musste".

Die Verteidigung stellt sich somit auch die Frage, ob dem Mandanten ein "Schweigegeld" angeboten wurde, um die Veröffentlichung der Sicherheitslücken auf der SchülerVZ-Plattform zu verhindern. Die Nutzer seien das Kapital des sozialen Netzwerks. Würde sich die Berichterstattung über Sicherheitslücken und mangenden Datenschutz häufen, so würden Nutzer und damit Werbeeinnahmen verloren gehen, so die Logik.

Markus Berger-de León, Geschäftsführer der VZ-Netzwerke, wies den Vorwurf weit von sich. Die Behauptungen des Anwalts seien "ebenso unglaublich wie haltlos. Die Beurteilung und Handhabung des Falls lag und liegt aber bei den zuständigen Behörden." Den Angehörigen des Verstorbenen haben sie nach bekanntwerden des Selbstmords ihr tiefes Beileid ausgesprochen.

In der offiziellen Pressemitteilung des Anwalts Dost stellt er nochmal dar, das gegen seinen Mandanten kein Verfahren wegen Datenklaus eingeleitet wurde, sondern es tatsächlich um den Vorwurf der Erpressung ging. Da er einen Crawler nutze, um massenhafte Daten zu erhalten, handele es sich nach Ansicht des Anwalts nicht um eine kriminelle Handlung nach dem §202a des Strafgesetzbuch, da diese Daten grundsätzlich für jedermann einsehbar waren.

Weiter heißt es: "Die Medienberichterstattung hat sich sehr einseitig und fast ausschließlich mit dem „Datenklau“ beschäftigt. Der Mensch Daniel [Name geändert] und seine wirklichen Motive beim Programmieren eines Crawlers spielten keine Rolle. Ich habe ihn im Bereich IT als außerordentlich begabten jungen Mann kennen gelernt, der beim Programmieren und Anwenden dieses Crawlers seine Fähigkeiten austestete, aber ohne jeden kriminellen Hintergrund handelte. In der Berichterstattung haben sich die Medien kaum mit der Rolle des die Plattform betreibenden Unternehmens beschäftigt.(...) Gemeinsam mit ihm hatte ich für eine Verfahrensbeendigung und seine Zukunft als Datenexperte kämpfen wollen. Ich hätte ihn mir als anerkanntes Mitglied unserer Gesellschaft in einem Job als Programmierer von Sicherheitsprogrammen gut vorstellen können."

Quelle: www.gulli.com

[SiLæncer]

Ein Bericht in der kommenden Spiegel-Ausgabe wirft Fragen zum Vorgehen des SchülerVZ-Betreibers VZnet und der Justiz im Zusammenhang mit der Festnahme des SchülerVZ-Hackers auf, der sich in der Untersuchungshaft das Leben nahm . So hatten VZnet und der 20-jährige mehrere Tage lang über die Rückgabe der Daten verhandelt, nachdem das Unternehmen von dem Datenklau informiert worden war.

Nach dem Spiegel-Bericht hat der Technikchef von VZnet den Hacker per Chat kontaktiert. Laut dem Chat-Protokoll, das dem Spiegel offenbar vorliegt, habe die Firma selbst mehrfach das Thema Geld angesprochen. Wenn man es schaffe, die Daten zu lokalisieren und zu löschen, so dürfe "uns das auch was kosten“. An anderer Stelle schrieb der Technikchef "du – und andere können bei uns rumhacken wie sie wollen. ich bezahl euch sogar gerne dafür!“ Unter einer Bedingung: "wenn ich jemanden dafür bezahle, möchte ich, dass das nicht public wird“. Auf die Frage, was der junge Mann mit dem Datensammeln erreichen wolle, antwortete er: "gar nichts, das war’n just4fun projekt“. Dies entspricht auch der Darstellung des Verteidigers, demzufolge es ihm nicht ums Geld gegangen sei.

In einem Chat am 17. Oktober sei der VZnet-Mann dann zur Sache gekommen: "also, was ist sache. kooperation oder krieg?“ Sein Gegenüber entschied sich scheinbar für Kooperation. Er nannte seinen Namen und seine Anschrift und willigte ein, in die Berliner VZnet-Zentrale zu kommen. Am späten Abend des nächsten Tages erreichte er die Geschäftsräume, die Taxirechnung von 530 Euro bezahlte das Unternehmen.

Über den Verlauf der weiteren Verhandlungen gebe es unterschiedliche Versionen. Der VZnet-Technikchef habe der Polizei gegenüber ausgesagt, dass der Hacker sofort 20.000 Euro verlangt habe. Der Erlanger dagegen erklärte, er sein von den VZnet-Mitarbeitern gefragt worden, ob es ihm um Geld oder um Ruhm gehe. "Wenn die mir Geld anbieten“, soll er der Polizei gegenüber ausgesagt haben, "nehme ich es gern an.“ Der Verteidiger des Hackers hält es bei dieser Sachlage für unwahrscheinlich, dass sein Mandant wegen versuchter Erpressung verurteilt worden wäre.

Nach dem Spiegel-Bericht sei aktenkundig gewesen, dass der Hacker unter einer "kombinierten Persönlichkeitsstörung" litt, was Fragen zu seiner Unterbringung in einer Einzelzelle aufwirft. In einer Sitzung des Rechtsausschusses im Berliner Abgeordnetenhaus hatte die Justizsenatorin Gisela von der Aue (SPD) gesagt, dass der Verhaftete keine Hinweise auf etwaige Selbsttötungsabsichten gegeben, sondern einen "lockeren und aufgeschlossenen Eindruck" gemacht habe.

Quelle : www.heise.de