schülerVZ Datenpanne: Täter wurde identifiziert

Datenschutz Am gestrigen Samstag gaben die Betreiber des Sozialen Netzwerks "schülerVZ" bekannt, dass der für den Datenklau verantwortliche Täter identifiziert und kontaktiert wurde. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Mehr als eine Millionen Datensätze händisch gesammelt? Respekt vor dieser Leistung! :-D
 
@R4v3r: Jep, so langweilig kann einem gar nicht sein. aber leute die dort angemeldet sind glauben so wsa sicher...
 
@R4v3r: Wenn er für jedes von Hand kopieren dabei zwei Sekunden benötigt hätte, hätte er ja doch einige Tage, 24 Stunden pro Tag, daran gesessen.
 
@Sehr-Gut: vielleicht hat ihm seine familie dabei geholfen und wenn er türke war, hätte seine familie nicht länger als eine stunde gebraucht
 
@s3m1h-44: Das setzt allerdings eine optimale Arbeitsteilung voraus. Da eine türkische Familie kein Borg-Kollektiv ist, kann man davon nicht ausgehen
 
@s3m1h-44: vorurteile gegenüber türken, dass diese wenigstens kinder im gegensatz zu deutschen bekommen und sogar eine richtige familie haben, die sie um hilfe bitten können?? naja egal.. ich will hier keine diskussion starten.
 
@mansur: tust du aber....alleine schon deine aussage "...wenigstens kinder im gegensatz zu detuschen bekommen..." da sieht man schön was die türken über uns deutsche denken :D
 
@s3m1h-44: Bist du deutsch ? - Hörst du den ganzen Tag Blasmusik, trägst Lederhosen und isst Kraut ? - Wenn nicht, dann haben wohl Millionen Amerikaner ein falsches Bild von Deutschen.
 
@s3m1h-44: Made my Day, wie geil war der denn... :o)
 
@R4v3r: War vielleicht ein Mutant mit 1000 Händen ,)
 
@R4v3r: Eine Million Datensätze mal vlt 10 Sekunden sind 10 Millionen Sekunden, also 2777 Stunden oder 115 Tage, am Stück. Ein bißchen happig, oder?!
 
@mansur: Ich kenne das nur so das die Familie eine Person verkloppt sind es mehr haben sie auch wieder Angst .
 
@marcol1979: wollte eigentlich ein + geben.....sorry
 
LOL ich bin selber ein Türke (Heimatstadt: Trabzon-Akcaabat) und ich kann über mich selbst lachen! In anderen news, wo es GEGEN Türken gibt verteilt ihr schön jeden Plus, der Witze über Türken macht aber hier... auf einmal wieder WF links geworden oder wie???? Außerdem muss man das doch sehen: Mein Nickname ist s3m1h. Das bedeutet Semih. Kennt ihr nicht Semih Sentürk? Allgemeinwissen bitte WF-Leser.
 
Schuld ist doch wohl letztendlich der gesellschaftsfähig gewordene Datenexebitionismus.
 
@BigBoernie: Kann auch am Datenbatbitionismus oder Datencmdbitionismus liegen.^^
 
@BigBoernie: Richtig. Das was man früher geheim in sein Tagebuch geschrieben hat, veröffentlicht man nun im Netz.
 
@BigBoernie: ich warne auch jeden vor solchen seiten aber sie wollen ja "dabei sein" -.- und dann kommen fragen wie: "woher wussten die denn das ich diese und jene musik höre? bin doch erst eine minute mitglied"... ...traurig...
 
@Billy Gee: Wie kann man bei so einen sche*ss dabei sein wollen ? Müssten eigentlich nur die bekloppten sein .
 
@BigBoernie: Absolut richtig! +
 
@overdriverdh21: Hallo Dennis Hartrampf aus 32756 Detmold warum schimpfst du so über die Leute legst doch mit deinen 26 Jahren und 8 Monaten auch schon einen Strip im Netz hin. Warum hast du eigentlich ein Problem mit Christen ? Irgendwie passt dein Beruf Altenpfleger dann doch net dazu .... die ganzen infos hab ich übrigens ohne großes googlen über dich gefunden. reicht im prinzip schon für ein gutes profil über dich :)
 
"wurden angehalten, die daten zu löschen" na dann sind die sicherlich jetzt alle gelöscht ...
 
@panka: Das Orginal ist natürlich gelöscht, aber selbstverständlich gibt es noch Sicherheitskopien...
 
@vsduhgbosi: zur sicherheit man weiss ja nie .
 
Ganz ehrlich: Der Typ hat sich irgend einen Crawler bzw Harvester geschrieben.. oder sogar irgend ein Fertig-Script genommen und daran ein paar Einstellungen angepasst und anschließend noch ein wenig den Login von SVZ angeschaut.. Ein bisschen Cookies auslesen und schon ist man drin. Dann nur noch Freundesliste durchgehen, deren Freunde durchgehen.. usw usw. und schon hat der Typ seine Millionen Datensätze.. Das funktioniert auf jeder anderen Platform wie Facebook, MySpace, Schueler.cc oder auf diesen ganzen Flirtseiten ganz genauso!

Und das Script dafür.. das kann wirklich jeder Möchtegern-Informatiker schreiben.

Natürlich ist es illegal und verstösst gegen die AGB. Aber anstatt diese Datenbank zu verbreiten kann man auch einfach andere Leute ins SVZ anmelden..

Mal sehen, wann das als "riesen Skandal" in meiner offline-Zeitung steht.. *grummel*
 
@micronax: Die feine Englische Art ist es natürlich nicht, aber bei der legalität in dem zusammehang bin ich mir nich ganz sicher, da das Script lediglich die Seite abkopiert hat, die er ohnehin öffentlich einsehen konnte. Also im Grunde nichts wirklich rechtswiedriges wie ich finde, da jeder sein Profil der Öffentlichkeit einfach hätte verschließen müssen. Der news nach gab es ja nie ein SQL / Datenbank leck wodurch ein backup gezogen wurde.
 
@micronax: Ja, du hattest Recht, wie nun auch in vz-blog offiziell eingeräumt wird: "Update:

- Der Täter hat einen Crawler geschrieben, der sich mit normalen Nutzer Logindaten in die Community einloggt und die angezeigten Daten abgreift. Die bestehenden Sicherheitsmechanismen in Formularen und insbesondere in Form von Captchas wurden dabei geknackt.

- Der Täter behauptet weiterhin, auch meinVZ und studiVZ Daten gesammelt zu haben. Diese wurden nicht veröffentlicht. Wir versuchen mit allen Mitteln die Veröffentlichung dieser Daten zu verhindern."
 
@Joey2007: son crawler ist ne effiziente und simple methode. eigentlich clever von ihm, mit sowas "simplem" die von holzbrink auszutricksen.
 
Jap genau! Und von "Sicherheitsmechanismen" kann da nicht viel die Rede sein. Ich hab mir das gerade mal angeschaut.. Dabei handelt es sich wohl nur um einen Code, der in einem versteckten HTML-Feld steht und mitgepostet wird.. Das lässt sich für jedermann sogar manuell über den Quelltext auslesen.. Naja ich finde schon, dass es in sofern rechtswiedrig ist, da die SVZ-Nutzer ihre "öffentlichen" Daten ja auch nur für die anderen Nutzer der Platform freigeben (Klar.. letztendlich könnte sich da jeder anmelden und als Freund ausgeben..) Aber auf jeden Fall sind die Daten nicht dazu bestimmt, veröffentlich zu werden und dann für Werbezwecke oder wie auch immer genutzt zu werden.. Ich glaube auch nicht, dass es einen Zugriff auf die SQL-Datenbank gab.. Das wäre dann doch ein wenig zu dreist - und würde den Täter auch gleichzeitig befähigen, an die Passwörter und weitere persönliche Daten zu kommen..
 
@micronax: Es ist ein Crawler laut schülerVZ. http://www.abload.de/img/schuelervzx6on.png
 
Jap.. das hab ich auch grad gelesen.. Ich find's halt echt lustig, von welchen Sicherheitsvorkehrungen die SVZ-Macher da reden.. Ich hab neulich selber ein kleines Tool geschrieben, was sich jeden morgen in mein SVZ einloggt, um mir die heutigen Geburtstage meiner Freunde aufs Handy zu simsen ("Heute haben folgende Leute Bday: [...]" - Und dabei habe ich nicht umgehen müssen...
 
Also wenn ich mir frei zugängliche Informationen ansehe ist das normal. Sobald ich diese Infos in einer Datei sammel und irgendwohin schicke ist das eine "Datenpanne", ein "Datenleck" oder eine "entwendung"? Obwohl auch vorher schon jeder an die Daten hätte kommen können?
 
datenpannen passieren immer. nur wie manche medien da wieder drüber herziehen, ist mal wieder lustig. grad im WDR2 gehört, wo sie negativ hervorstellten, das VZ den Datenschutz großschreibt auf der datenschutzsteite und die daten nach ihren besten möglichkeiten beschützen. dann aber sowas passiert. den leuten ist einfach nicht bewusst, das in komplexen systemen fehler passieren. ok, der fehler ist scheinbar was dämlich, ne floodkontroller oder so hätte wohl ihren zweck getan, aber manchmal denkt man eben auch nicht an die einfachen fälle. das wird jeder entwickler sagen können. außerdem: den leuten sollte bewusst sein, was sie "öffentlich" oder halt öffentlich posten. ist' eigentlich gut, dass das passiert ist, vielleicht regt das den ein oder anderen doch mal an, über den exibithionismus nachzudenken und über die risiken von solchen plattformen.
 
@LoD14: Echt? War es schon in den offline Medien? *shocked*
 
Ich versteh nicht wo die "Panne" ist? Öffentliche Daten wurden gesammelt und gebündelt, dass ist doch das Prinzip von sozialen Netzwerken? Die verkaufen die Daten an andere weiter, und wenn jemand eine Sammlung öffentlicher Profile weiterreicht dann ist dass ein "Leck"? Ja, vielleicht im finanziellen Sinne, aber bestimmt nicht vom Datenschutz her - Datenschutz & soziale Netzwerke sind nämlich ein Widerspruch in sich.
 
@lutschboy: Die Daten sind nicht öffentlich.
 
@tobias.reichert: Es waren Daten, die für jeden registrierten Benutzer zugänglich waren. Das würde ich schon "öffentlich" nennen. Dass darum jetzt so ein Wind gemacht wird verstehe ich auch nicht, obwohl das Sammeln und weitergeben nicht legal ist - eine "Panne" ist es jedenfalls nicht und sVZ trägt auch keine Schuld daran.
 
So etwas wie SchülerVZ sollte es nicht geben! Vor allem nicht in dieser Ausprägung, wo in Netzangelegenheiten noch vollkommen unerfahrene Menschen systematisch dazu gedrängt werden, reale Daten von sich preiszugeben, während andererseits sowas wie “Sicherheit” vorgegaukelt wird.

Ich verstehe allerdings nicht die Aufregung darüber, dass jemand eh schon im Netz verfügbare Daten mit einem Crawler sammelt. Die feine Art ist das natürlich nicht, aber in diesem Fall doch durchaus begrüßenswert. Schließlich wird so evtl. jemand darauf aufmerksam, dass das Geschäftsmodell von StudiVZ und Co ist, dass sie erstmals systematisch Daten unerfahrener User einkassiert, die im Netz rein gar nichts zu suchen haben.

Hoffentlich begreifen durch die regelmäßigen nicht-Skandale die einen oder anderen Eltern, dass sie ihren Kindern dringend beibringen müssen, nicht treudoof jedes Formularfeld mit dem Titel “Name”, “Alter”, “Geschlecht”, “Wohnort” auszufüllen. Und dass man bei bestimmten Angeboten auch mal “nein” sagen können muss.
 
@Sebiroth: wozu ist sowas überhaupt gut?werden dort die schlechten noten der schüler gepostet?dinge die die welt nicht braucht.
 
@rotti1970: Da können die Schüler ihre Informationen freigeben.Alter Hobbys usw. aber auch Bilder. Die ganz Dummen, die Benutzen die Pinnwand für Kommunikation, die jeder im Profil lesen kann.
 
@Sebiroth: Aber leider steht man mit solchen klaren Ansichten viel zu oft alleine da ...
Bei uns an der Schule, wird man schon schief angesehen, wenn man sich nicht auf eine der besagten VZ-Seiten bloßstellt.
 
Das Problem würde es doch schon garnicht geben wenn man nur mit Freunden befreundet ist und verlinkt ist die man wirklich kennt und das nur diese das Profil sehen können. Schon kann kein unbekannter mehr meine Seiten ansehen und Daten kopieren.
 
Wie ich bereits in den vorherigen News dazu geschrieben habe, heisst der Täter Matthias Lang, kommt aus Erlangen und berichtet in seinem Internetblog 3x1t-de.eva.3x1t.net über den eingesetzen Crawler, mit dem er die Daten "geklaut" hat.

... "soll der inzwischen bekannte Täter die Datensätze auch weiteren Personen zugänglich gemacht haben. Konkrete Namen wurden in diesem Zusammenhang nicht erwähnt"...

Wäre auch besser für ihn, DENN:

Die Datensätze hat er im 2. Level Bereich in der Hackercommunity 1337 Crew angeboten, und jeder, der diese Community kennt weiss, dass die Daten nicht in guten Händen sind. Mittlerweile gehen die Rapidshare Links rum wie sonst was...

Das lächerlichste an der Sache ist, dass die VZ Gruppe das Ermittlungsverfahren einstellen will, und er einfach so davon kommt.
 
Boah! Der Täter. Hört sich an wie ein Mörder!
 
der hat 1 million datensätze händisch kopiert,der hat wohl echt lange weile
 
@fcb93: du glaubst auch alles was geschrieben steht......armes Deutschland.
 
Bitte lest seriöse Quellen )netzpolitik.org) und nicht so einen Bullshit hier: Zitat Am Freitag hatten wir darüber berichtet, dass jemand bei SchülerVZ über eine Million Profilseiten automatisiert ausgelesen und die dort stehenden Informationen teilweise in einer Datenbank gespeichert hat. Diese wurde uns zugeschickt samt einer kleineren Liste mit mehr Profildaten. Die ganze Story findet sich hier. Wir haben SchülerVZ darauf aufmerksam gemacht und als Vermittler zwischen SchülerVZ und unserer Quelle kommuniziert. Soweit ich das einschätzen kann, wurden uns die Daten zugespielt, weil unsere Quelle ein Interesse daran hat, dass einige Sicherheitslücken in SchülerVZ behoben werden und der Datenschutz der Teilnehmer dadurch gestärkt wird. Ich hab die mir zugeschickten Datensätze gelöscht und meine Quelle hat das auch zugesagt. Problem gelöst?

Gestern kommunizierte SchülerVZ, dass meine Quelle nur ein Trittbrettfahrer gewesen sei, weil jemand anderes die Originalquelle sei. Seitdem hat es einige neue Informationen gegeben. In einem Blog beschwerte sich jemand, dass er vor nun drei Tagen die Ergebnisse seiner Crawl-Aktionen in einem internen Cracker-Forum zum Download hingestellt habe und jemand diese Daten an mich weitergeleitet habe. Was für mich an der Story nicht stimmem konnte: Meine Quelle hat erstmals vor zwei Wochen Kontakt zur mir aufgenommen, mir vor einer Woche die Datensätze zukommen lassen und diese nunmehr zweite Person schrieb in ihrem Blog von mehr Profil-Feldern, die abgespeichert wurden.

Also ist der Stand bisher: Es gab mindestens zwei Personen, die getrennt voneinander mit Hilfe von automatisierten Profilabfragen sehr viele Profile abgegrast haben und diese Datensätze aus dem SchülerVZ/StudiVZ kopiert haben. Unsere Quelle ist wohl über einen Bot vorgegangen, der einfach Suchanfragen nach öffentlich zugänglichen Profilen gesammelt hat. Der zweite, nennen wir ihn mal “Cracker”, ist von “Freund-zu-Freund” gesprungen.

“Cracker” hat nicht nur SchülerVZ mit einem Bot abgegrast, sondern auch StudiVZ und MeinVZ. Wieviele Profile dabei gespeichert wurden, ist unklar. In einem Blog-Posting von Ende Mai beschreibt “Cracker”, dass er mit seinem Bot 48000 Profile in vier Stunden abgrasen konnte. In einem Blog-Posting von Anfang Juli beschwert er sich, dass der eigene Sammelbot einen IP-Ban bekommen habe. Unklar ist, ob der Bot in der Zwischenzeit komplett online war und in dieser Geschwindigkeit weiter Daten abgegriffen hat. Im übrigen gibt es seit Ende Mai 2009 bei Youtube auch ein Video, was die Arbeit kurz visuell beschreibt und den Namen “StudiVZ / SchülerVZ / MeinVZ Crawler” trägt. In der Beschreibung zum Video wird die Technik kurz erklärt.

Nun ist dieser Fall irgendwie zufällig zu unserer Veröffentlichung aufgetreten. Konnte ja niemand ahnen. Und hätte sich “Cracker” nicht gestern in seinem Blog darüber beschwert, wäre wohl auch nicht rausgekommen, dass es da noch einen zweiten Datensatz gibt, der jetzt mehr oder weniger unkontrolliert durch das Netz geistert (Der aber nur Daten von SchülerVZ enthält und nicht von StudiVZ und MeinVZ, wie die VZ-Gruppe in einem Blog-Posting betont). Unklar ist bisher bei diesem zweiten Datensatz, wieviele Datensätze er genau enthält. Soweit ich das mitbekommen habe, sind dort noch mehr Profildaten enthalten. Mit dabei sind Wohnort, Geburtsdatum, Beziehungsstatus (z.B. verliebt / solo / vergeben), Hobbies, Lieblingsmusik und Lieblingsfilm. Insgesamt sehr interessante Daten, nicht nur für die Werbeindustrie.
 
@RohLand: bla bla bla, bullshit, alles was du willst ist ein bisschen Fame und mehr Besucher dür dein sch**ss blog netzpolitik.org
 
@gib_Dein Nick spricht für sich. du bist bei WF gut aufgeboben.
 
Appell an den gesunden Menschenverstand : Wir Alle wissen aus Erfahrung, wie wir uns draussen, im Umgang mit anderen Menschen verhalten sollten - Wir sagen den Kindern : Steig nicht bei Fremden ins Auto, nimm von Fremden Nichts an etc. etc. etc. Woher kommt also diese Naivität, die uns im Internet all das vergessen lässt ? Woher die Annahme, das wir es Online nur mit Engeln zu tun haben ? Manchmal verstehe ich die Ofer von Phishing etc. auch nicht ganz.
 
Wenn die Daten sowieso frei in den Profilen öffentlich zugänglich waren..., was genau ist daran nun Datenklau?
 
ich sage nur: selber schuld!!! wenn die leute der meinung sind ihre persönlichen daten in solchen plattformen öffentlich zu machen dann müssen sie sich nicht wundern das wenn so etwas passiert. selbst arbeitgeber suchen in solchen plattformen nach den personen die sich bei denen beworben haben, und wenn nur ein wenig negatives in den portalen über die bewerber auftaucht können sie die bewerbung vergessen. ich liebe meine privatsphäre ich gebe keine daten preis.
 
Inzwischen wurde der Täter übringens laut SVZ "verhaftet"...
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles