Kommentare zu: Dokumentation der SchülerVZ-Crawling-Aktion

Von: Chaoradio 152: Responsible Disclosure « Datengau

Chaoradio 152: Responsible Disclosure « Datengau — Tue, 01 Dec 2009 22:51:53 +0000

[...] Dokumentation der SchülerVZ-Crawling-Aktion [...]

Von: Aktuelle Datenskandale bei SchülerVZ, Bundesagentur für Arbeit, JobBörse, Postbank und Online-Buchhändler Libri « cyberpunk – punkrock, politics & computer

Sat, 31 Oct 2009 18:27:16 +0000

[...] (netzpolitik.org) – Netzpolitik-Interview: Sicherheitslücken bei der VZ-Gruppe (netzpolitik.org) – Dokumentation der SchülerVZ-Crawling-Aktion (netzpolitik.org) – Netzpolitik-Interview: Zivilrechtsverschärfung im Datenschutz [...]

Von: "Quelle"

"Quelle" — Thu, 29 Oct 2009 12:37:50 +0000

Wir sind übrigens erreichbar unter: svzbericht@yahoo.de

Von: "Quelle"

"Quelle" — Tue, 27 Oct 2009 17:22:24 +0000

Hi,

Die Sache mit den Bildern stimmt meinem ebigen Test zufolge nach wie vor. Die Sicherheitslücke wurde aber natürlich längst behoben. Das Problem bei der Suchfunktion lag schlicht und einfach darin, dass keine Captchas aufgetaucht sind, obwohl die Supersuche ja schon ganz gute Details bietet. Das Problem bei den Captchas war, dass sie recht unsicher und mittels einer relativ kleinen Datenbank gelöst werden konnten (womit wir uns allerdings nicht beschäftigt haben). Und ja, bei der Sache mit den Bildern haben wir unser Cache gelöscht, wir sind ja nicht von Gestern.

Das Problem an diesem Artikel hier ist, dass die Dokumentation jetzt rein gar nicht mehr Spektakulär ist, da veraltet, sowohl der Inhalt als auch aus orthografisch-grammatikalischer Sicht.

Und ganz ehrlich: Wir verstehen auch nicht, warum da so viel Wirbel um die Sache gemacht wird. Etwas zu viel Hysterie für den wenigen Aufwand, den wir uns gemacht haben.
Andererseits kann es auch nicht schaden, so wird den Leuten über die Medien eine gewisse Angst wegen den Daten im Internet vermittelt, die gewiss nicht schaden kann.

Wer nochmals eine überarbeitetere Version und ein detaillierteres Nachwort lesen möchte, findet diese hier: http://filebin.ca/xmmfgc

Na ja, wie auch immer. Was uns im Nachhinein übrigens gar nicht gefallen hat, war die einseitige Berichterstattung, schließlich hatten wir ja auch noch anderes zu bieten, als nur diese eine Sache mit der Suchfunktion. Aber das steht auch nochmal im Nachwort, das ist eigentlich relativ lesenswert.

Hoffe mal, das ist kein Fehler, hier einen Kommentar ‘reinzuschreiben.

Gruß.

Von: Ich Blog Dich!

Ich Blog Dich! — Tue, 27 Oct 2009 17:03:42 +0000

Helden und deren Motive – ein Blick hinter den SchülerVZ Datenskandal…

Mitte Oktober schlug die Nachricht, dass durch ein großes Sicherheitsloch im SchülerVZ-Netzwerk Datensätze von einem Viertel der dort angemeldeten Nutzer dem Betreiber abhanden gekommen waren, große Wellen.
Netzpolitik.org meldete:
“Aus anonymer …

Von: Stefan Riedels Blog

Stefan Riedels Blog — Tue, 27 Oct 2009 09:32:58 +0000

Ich habe mir auch mal die “zensierte” Version angetan… Die dort genannten “Bugs” oder “Lücken”, findet man im Grunde in jedem größeren Netzwerk von heute hat, was seine Daten auf viele viele Server aufteilt… Ob das jetzt gut oder schlecht ist, will ich gar nicht beurteilen, aber anstatt ständig auf den Netzwerken rumzuhacken, könnte man auch mal den schwarzen Peter in Richtung Eltern/Schule/Medien schieben, weil dort wurde einfach in den letzten Jahren verpasst die Menschen zu sensibilisieren, dass (auch wenn man nichts zu verbergen hat) man seine Daten schützen sollte und das man auch ziemlich viel Blödsinn mit diesen (personenbezogenen) Daten machen kann. Evtl. sollte man da mal den Hebel ansetzen und die Menschen mal ordentlich aufklären… am Besten so, dass das auch der letzte “Mohikaner” versteht.

Von: markus

markus — Tue, 27 Oct 2009 09:12:28 +0000

Danke für die Hinweise. Hab es leider versäumt, das PDF vor Veröffentlichung zu googlen. Werde ich beim nächsten Mal dran denken.

Von: To Be Continued « …Kaffee bei mir?

To Be Continued « …Kaffee bei mir? — Tue, 27 Oct 2009 08:32:26 +0000

[...] SchülerVZ hat Lecks [...]

Von: Stephen

Stephen — Tue, 27 Oct 2009 08:09:21 +0000

“Kapitel entfernt-Wir möchten anonym bleiben”

Wäre dann vllt. nicht doof das Original vom eigenen(!!!) Webserver zu entfernen.

Von: jahrra's status on Tuesday, 27-Oct-09 07:50:55 UTC - Identi.ca

jahrra's status on Tuesday, 27-Oct-09 07:50:55 UTC - Identi.ca — Tue, 27 Oct 2009 07:51:00 +0000

[...] http://www.netzpolitik.org/2009/dokumentation-der-schuelervz-crawling-aktion/ a few seconds ago from mbpidgin [...]

Von: Stefan

Stefan — Tue, 27 Oct 2009 07:34:43 +0000

Krasse Scheiße finde ich, dass SchülerVZ behauptet, sie würden alles löschen, wenn man sein Profil entfernt, die Bilder dann aber trotzdem weiterhin speichern. Kann man die Holtzbrinck AG da nicht zwingen, das korrekt zu machen oder wenigstens die Eier zu haben, hinzustehen und zu sagen: “Egal, was ihr löscht, wir behalten eure Daten!”

Von: » Holla, jetzt ist auch endlich raus, über welche … Nachtwächter-Blah

» Holla, jetzt ist auch endlich raus, über welche … Nachtwächter-Blah — Tue, 27 Oct 2009 02:47:50 +0000

[...] jetzt ist auch endlich raus, über welche Mechanismen neulich tonnenweise Profildaten beim SchülerVZ ausgelesen werden k…. Der Bericht ist die reinste Freude, und ich kann nur hoffen, dass die gröbsten Lücken [...]

Von: Balduin

Balduin — Tue, 27 Oct 2009 01:51:50 +0000

@Anonyme Quellen:

Jeder halbwegs begabte Googler kann mit Hilfe des PDFs eine “vollständige” Version des Textes finden.. inkl. Quelle. Hat bei mir innerhalb von 20 Sekunden geklappt.

Von: Fieser Admin

Fieser Admin — Tue, 27 Oct 2009 00:34:59 +0000

Ich versteh die Aufregung ehrlich gesagt auch nicht. So ein Crawler ist ratz fatz zusammengebastelt. Mit ein bischen mehr Aufwand auch gleich der Captcha Knacker dazu. Ansonsten dauert es halt etwas länger.
Die Daten die damit abgegriffen werden sind so oder so öffentlich einsehbar. Und was öffentlich ist kann auch statistisch erfasst werden.
Muss der Burda komplex sein. Man will es zwar öffentlich haben aber keiner soll es von “aussen” einsehen können.

Von: High Tech Lowlife

High Tech Lowlife — Mon, 26 Oct 2009 23:33:18 +0000

Ich frage mich ehrlich gesagt auch, warum diese Story so gehypet wird, u. a. ja auch von den Maintream-Medien. Das Ganze ist aus technischer Sicht wirklich äußerst unbeeindruckend. Einen Crawler zu schreiben, der bei vorhandenen Zugriffsrechten Daten von einer Website abruft, die mit diesen Rechten zugänglich sind, ist extrem trivial. Der CSRF-Bug könnte evtl. etwas sein (mal abgesehen davon, dass solche Bugs in Web-Applikationen leider sehr häufig sind), aber die vorgelegte Dokumentation lässt hierzu kein schlüssiges Urteil zu. Gehen die Requests z. B. auch noch durch, wenn keine gültige Session besteht? Ohne genauere Erläuterungen muss man davon ausgehen, dass die in Kommentar #7 gelieferte Erklärung plausibler ist.
Zeigt dieses Experiment also, dass Daten in sozialen Netzwerken öffentlicher sind, als manch einer glaubt? Dass Jugendliche deshalb dringend schon frühzeitig eine entsprechende Medienkompetenz entwickeln sollten? Ja.
Wurde hier, technisch gesehen, eine gravierende Sicherheitslücke aufgedeckt? Ich lese allein von Berufs wegen jeden Tag Websites, Blogs und Mailinglisten, wo das geschieht. In dem Papier des SchülerVZ-”Hackers” sehe ich so etwas jedoch bisher nicht.