VZblog Neues aus der Backfabrik

VZ-Netzwerke danken jungem Wissenschaftler für Hinweis

19 Kommentare

Wir wurden – dankenswerter Weise – von netzpolitik.org darauf aufmerksam gemacht, dass ein Nutzer für alle schülerVZ-Mitglieder einsehbare Profilinformationen im eingeloggten Zustand kopiert hat. Es handelt sich explizit nicht um ein Datenleck.

Bisher liegt uns nur ein sehr kleines Sample der Daten vor. Aus diesen Daten geht nicht hervor, dass es sich um private Nutzerdaten handelt.

Nach unserem Kenntnisstand hat der Nutzer, ein junger Wissenschaftler, Hunderte von  künstlichen Email-Accounts verwendet, um den Kopierschutz von öffentlichen Daten zu umgehen. Nach aktuellem Kenntnisstand handelte es sich hier um ein sogenanntes „Crawling“, das in etwa vergleichbar ist mit dem Kopieren von Daten aus dem Telefonbuch.

Dr. Clemens Riedl, CEO VZ-Netzwerke: „Wir sind dem Nutzer dankbar, dass er uns auf das Defizit aufmerksam gemacht hat. Entscheidend ist, dass es sich hierbei weder um ein Datenleck noch um einen Angriff auf unsere Server handelt, sondern vielmehr um einen Verstoß gegen unsere AGB. Der Kopierschutz von öffentlich zugänglichen Daten wird immer ein Katz-und-Maus-Spiel bleiben, deshalb sind wir für jeden Hinweis unserer Nutzer dankbar.“

Nach bisherigem Kenntnisstand gehen wir davon aus, dass keinerlei Daten der VZ-Nutzer an Dritte weitergegeben worden sind.

Wir haben Maßnahmen ergriffen und den Sicherheitsstandard auf diesen Aspekt hin, das maschinelle Auslesen von Daten- über mehrere Hunderte bzw. Tausende Accounts, optimiert.

Social Bookmarks: Diese Icons verlinken auf Bookmark Dienste bei denen Nutzer neue Inhalte finden und mit anderen teilen können.
  • VZ
  • MisterWong
  • del.icio.us
  • TwitThis

Zeig das deinen Freunden
im meinVZ, studiVZ oder schülerVZ


Kommentar schreiben

Geschrieben von VZ Team am 4. Mai 2010 um 10:13 Uhr.


Abgelegt in Allgemein

Tags: ,

«
»

19 Kommentare zu 'VZ-Netzwerke danken jungem Wissenschaftler für Hinweis'

RSS Feed für Kommentare dieses Artikels. TrackBack URL

  1. ein Crawler kümmert sich nicht um AGBs
    immerhin kann man bei euch die Daten nicht mit Google abgrasen (so wie bei Facebook) sondern muss sich seine Software selbst schreiben

    asd

    4. Mai 10 um 13:16

  2. > Entscheidend ist, dass es sich hierbei weder um ein Datenleck [...] handelt, [...]

    Nun, wenn man, wie auf netzpolitik.org berichtet, an Profildaten wie Name, Schule, Schul-ID-Nummer und Link zum Bild herankam, obwohl die betroffenen Profile eigentlich als “privat” markiert waren, also augenscheinlich nicht quasi-öffentlichen erscheinen sollten, dann kann man nach meiner Meinung sehr wohl von einem Datenleck sprechen.

    Wurde das TÜV-Zertifikat eigentlich seinerzeit mit oder ohne reCaptchas ausgestellt?

    Schlimm finde ich auch, dass sie jetzt mitteilen müssen, das Datenleck sei ihnen von netzpolitik.org mitgeteilt worden, obwohl der Entdecker versichert, zwei erfolglose Kontaktversuche per E-Mail unternommen zu haben.
    Dass Software nicht so einfach fehlerfrei zu machen ist, ist ja sicher schon fast Allgemeinwissen. Aber nicht angemessen auf solche Problemmeldungen zu reagieren, das hätte wirklich vermieden werden können. Und das ist doch eigentlich auch eine der Stärken der TÜV’e: die DIN-ISO Qualitätssicherungsprüfungen mit ihren Prozessanalysen.

    Viele Grüße
    @ndreas

    Andreas

    4. Mai 10 um 13:27

  3. Das hat wohl mehr mit Glück als mit Verstand zu tun ;) Ich finde SVZ ist schon extrem genau mit Daten, was auf anderen Netzwerken(Facebook etc.) uneingeschränkt möglich ist ist hier schon ein “Datenleck”. Bin immer wieder begeistert über das “Mitten im Internet und doch verschlossen” Prinzip :) Gruß

    Pront0

    4. Mai 10 um 14:15

  4. Wenn ich Nachts bei Karstadt einbreche, ist dies höchstwahrscheinlich auch ein Verstoß gegen deren AGB…

    Die theoretische Möglichkeit Datensätze automatisiert zu crawlen wird, wie Riedl richtigerweise bemerkt, immer bestehen bleiben. Nichtsdestotrotz zeugt ein solcher Umgang mit dem Problem von einer katastrophale Betrachtungsweise, die Ihre Ursache entweder in technischer Unfähigkeit oder wirtschaftlicher Ignoranz haben mag.

    Auch ein TÜV-Zertifikat (bei dem das zu testende Unternehmen die Testbedingungen übrigens selbst festlegt) mag nicht darüber hinwegtäuschen, dass Konkurrenten es scheinbar vermögen Ihre Datensätze erheblich besser gegen Crawler zu schützen. Bei Facebook sind mir keine Datenlecks dieser Art bekannt, wobei das Netzwerk durch seine internationale Verbreitung wesentlich mehr im Fokus von Cyberkriminellen stehen sollte.

    Vielleicht sollten Sie Ihren Umgang mit einer solchen Art von Problemen grundsätzlich überprüfen. Und wenn Sie schon dabei sind, vielleicht auch die Kommunikation nach Außen.

    Commenter

    4. Mai 10 um 15:21

  5. > … Der Kopierschutz von öffentlich zugänglichen Daten wird immer ein Katz-und-Maus-Spiel bleiben,…

    erst wird lange mit der Maus gespielt, danach wird sie gefressen

    fsafas

    4. Mai 10 um 16:27

  6. Dass man die Daten, die man jedem einsichtbar macht eifnach kopieren kann sollte jedem klar sein wenn er sich anmeldet und darauf wird er glaube ich auch hingewiesen. solange keine weiteren nicht freigegebenen daten einsichtbar waren und der nutzer dies auch nur getan hat, um dem entwickler-team deren problem zu zeigen, finde ich dies eher nett von ihm. ich hoffe dabei natürlich, dass er die daten anschließend wirklich löscht.

    dass das vz darauf gar nicht reagiert hat sondern erst etwas getan hat, nachdem die person mit ihrem wissen an die öffentlichkeit gegangen ist, ist schon sehr traurig. natürlich werden die jungs&mädels bestimmt mit sehr vielen kontakten bombadiert, aber man sollte manchmal dennoch mal was ernst nehmen. denn ich bin mir sicher dass alle im vz registrierten “pc-freaks” und -experten um einiges mehr wissen und können als die entwickler ;D

    Stryke

    4. Mai 10 um 17:42

  7. Also ich sehe das mal wieder als Datenklau, egal wie gut man sich da herausredet!

    Was ist eigentlich aus dem CAPTCHA geworden?!?
    Der hätte bestimmt etwas verhindert.

    Oder was wär mit einer IP-Sperre, die hätte vielleicht auch nicht alles schützen können, aber bestimmt mehr wie dadurch mal wieder passiert ist.

    [QUOTE=Andreas]Nun, wenn man, wie auf netzpolitik.org berichtet, an Profildaten wie Name, Schule, Schul-ID-Nummer und Link zum Bild herankam, obwohl die betroffenen Profile eigentlich als “privat” markiert waren, also augenscheinlich nicht quasi-öffentlichen erscheinen sollten, dann kann man nach meiner Meinung sehr wohl von einem Datenleck sprechen.[/QUOTE]
    Da muss ich dir zustimmen, aber das kann dann nicht daran liegen, das einer sich 100hunderte e-mails macht und sich damit anmelden, so müssen ja

    1) Sicherheitstechniken umgangen sein
    oder
    2) der “Geschädigte” war so dumm und hat eine Freundschaftseinladung angenommen..

    Sascha K.

    4. Mai 10 um 18:56

  8. Alle Anbieter werden damit ihre Probleme haben.

    IP-Sperren und CAPTCHA können umgangen werden, dafür gibt es mehrere Lösungswege, aber eine gewisse Hürde ist so etwas schon.

    An einer Verbesserung wird bestimmt gearbeitet.

    Gefahren

    4. Mai 10 um 21:48

  9. Nein, GUTE und REGELMÄßIGE Captchas können nur schwerlich wirklich umgangen werden. Glaube ich. Die bremsen das wirklich massenhafte, automatisierte Auslesen von Webseiten aus.

    Blub

    4. Mai 10 um 22:56

  10. Jeder Hobbyhacker könnte sich in SVZ rein hacken. Aber das ist eig. überall so. Keine Website ist sicher . Selbst das Netzwerk vom Pendagon nciht. Deswegen finde ich die Captcha auch schachsinnig weil man diese captcha sher leicht “austricksen” kann, das findet man sogar in google…..

    Diese Socherheitsmaßnahmen bremesen bloß Leute aus die die Daten bloß aus Jucks stehlen, wer aber an die Daten ran will komt auch an die Daten ran, keine frage. das ist einer der Gründe warum ich im Interbnet NIE einen echten Namen verwende.

    P.G.

    4. Mai 10 um 23:27

  11. Hallo zusammen,
    ich bin selbst Softwareentwickler und sehe das ganze differenzierter.

    Einerseits wurden wirklich nur “öffentliche” Daten erfasst, andererseits sind gerade im schülerVZ zahlreiche Minderjährige, welche im Umgang mit Ihren persönlichen Daten sicherlich anders umgehen als die meisten Erwachsenen.

    Ich lobe auf anderer Seite die VZ-Netzwerke für die bisherigen Anstrengungen – andererseits wäre es natürlich angebracht, derartige Meldungen offen aufzunehmen und die Systeme zum Schutz der Nutzerdaten dahingehend zu verbessern.

    Letztendlich wird sich ein 100%iger Schutz vor Crawlern niemals ermöglichen lassen. Jedoch kann durch weitere Sicherheits- und Analysesysteme sicherlich proaktiv erkannt werden, wo Schund getrieben wird.

    Daher meine Vorschläge:
    - @mailgenerator.de,… Mailendungen sperren
    - verschiedene proaktive Sicherheitssysteme einrichten, welche ungewöhnliche Kombinationen von IP Adressen zu Nutzersitzungen in Verbindung mit aktiven Accounts erkennen
    - Datenzugriffsvarianten vor Implementierung prüfen und durchspielen

    Dies alles würde das Crawlen zwar nicht unmöglich machen, jedoch den Prozess zum Erlangen derartiger Datenmengen dermaßen erschweren, sodass entweder derartige Crawler gar nicht entwickelt werden, nicht funktionieren oder nach Bemerken ungewöhnlicher Aktivitäten zu rechtlichen Maßnahmen gegriffen werden kann.

    In jedem Fall sollte es jedoch nicht mehr vorkommen, dass auf derartige Mängelhinweise auch nach mehrmaligen Versuchen nicht reagiert wird.

    Mit freundlichen Grüßen
    Dominik B. von elexpress.de

    Dominik

    4. Mai 10 um 23:48

  12. Wenn es sich um den Wissenschaftler Florian Strankowski von der Leuphana-Universität Lüneburg handeln sollte, fine ich es schon verwunderlich, dass er nach eigenen Aussagen mit 800 Accounts erstellen konnte.
    Ich frage mich schon, wie er das gemacht hat, da man sich ja einladen lassen muss…..

    Fakt ist, ich werde meinem Sohn es ausreden, sich da anmelden zu wollen. Er versucht es schon seit Monaten vergeblich, da er keinen kennt, der da angmeldet ist.

    Ist also eh sinnlos, da reinzukommen…

    stichi

    5. Mai 10 um 14:54

  13. Ich weiß gar nicht was das schon wieder soll, die Schutzmassnahmen sind mittlerweile richtig gut und solche Crawler kann man halt nicht völlig verhindern, nur erschweren und das hat studiVZ auch gut im Griff.

    Es steht nämlich nirgendwo wie lange diese Person gebraucht hat um die Daten zu sammeln, aber bei 800 Accounts und maximal 2000 Profilen die pro account und Tag gesammelt werden können wie er selber erklärt kommt da schon einiges zusammen. Selbst wenn man mal ignoriert dass man wahrscheinlich immer wieder die gleichen Profile erwicht. Da könnte man wahrscheinlich in kürzerer Zeit alle telefonbücher Deutschlands einscannen und auswerten – da hätte man mehr von ;)

    Und privates ist in dem Fall definitiv nicht gesammelt worden sagt der “Hacker” doch selber.

    Ach und was ich grad über mir lese die Trash-Mail und Co.-Adresse sind zum größten teil bereits gesperrt, aber es gibt da leider immer wieder neue Anbieter die muss studiVZ natürlich auch erstmal kennen um sie zu sperren (die @maileimer.de kannt ich nämlci auch vorher noch nicht)

    Holzhacker

    5. Mai 10 um 15:11

  14. Der Typ kommt ja aus Lüneburg :D

    da bin ich auch grad :D

    Tim Vollmer

    5. Mai 10 um 17:10

  15. @Commenter: facebook??? facebook ist in dieser Hinsicht ein einziges riesiges Sicherheitsloch. facebook hat gerade auf der f8 Konferenz eine API vorgestellt, mit der jeder jegliche Daten automatisiert auslesen kann. Anders gesagt: facebook fördert ganz bewusst Crawler, indem diesen Programmen eine genormte Schnittstelle geboten wird. Da braucht man nicht einmal mehr zu hacken. Und großzügigerweise wurden auch die Privatsphäre-Settings aller Nutzer gleich so eingestellt, dass ihre Daten offen für diese Programme freigegeben sind. Ohne die Nutzer zu fragen.

    Soviel zu facebook. Bei VZ ist crawlen nicht vorgesehen. Aber kann natürlich nicht verhindert werden… und wenn jemand crawlt, dann ist das ein Riesenskandal.

    Ja richtig: geh doch zu facebook. Da weißt du schon vorher, dass jeder Spammer dieser Welt deine Daten crawlen kann und facebook dies explizit fördert. Dann brauchst du dich hinterher nicht so drüber aufregen :)

    Realist

    5. Mai 10 um 23:26

  16. Also wenn man Re-Captcha freiwillig auf Userdruck wieder deaktiviert hat das wohl nix mit Katz und Maus zu tun… Tom und Jerry wäre so etwas dilettantisches nie passiert…

    :-(

    JustMe

    10. Mai 10 um 22:50

  17. Bilder kann man dennoch auch uneingeloggt ansehen, wie dieses Beispiel zeigt:
    http://img-a4.pe.imagevz.net/group2/6d/8c/e1a53ab5ef2001cef44b7609f609/6-1cc689bfabe8c0cf.jpg
    Hierfür braucht man aber natürlich jemanden, der einem erstmal den Link schickt. Und dazu muss dieser eingeloggt sein…
    Trotzdem meiner Meinung nach vermeidbar ;)

    Misanthropin

    20. Mai 10 um 00:28

  18. îch will bei studi rein maahh^^ bin nur kurz drin.. fliege dann raus nach ca einer std und kann dann bis abends nicht mehr rein.. sollen die User des studivz darunter leiden. Bin ja nicht die einzigste die sich darüber aufregt!

    Tina

    7. Jun 10 um 21:13

  19. geht ma voll nich klar das ich da nicht reinkomme echt ^^^denke mal andere sehen das genauso

    Tina

    9. Jun 10 um 20:06

Kommentar schreiben

CAPTCHA-Bild
*