Netzpolitik-Interview: Sicherheitslücken bei der VZ-Gruppe

In den VZ-Netzwerken gab es noch ein paar mehr Sicherheitsprobleme, als bisher bekannt sind. Das ist vor dem Hintergrund spannend, wie die VZ-Gruppe in den letzten Tagen kommuniziert hat: Da hieß es immer, es seien nur Daten gecrawlt worden, die innerhalb des Netzwerkes öffentlich zugänglich waren. Das stimmt so nicht ganz. Mit der richtigen Technik konnte man auch auf Daten zugreifen, die als „Privat“ eingestellt waren, bzw. nur für Freunde zugänglich sein sollten. Wir haben uns mit einer Person in Berlin getroffen, der uns mehr dazu erzählt hat. Nennen wir ihn mal Lutz Harder. (Das ist übrigens nicht unsere erste Quelle.)

netzpolitik.org: Was genau hast Du heraus gefunden und wie bist du vorgegangen?

Lutz Harder: StudiVZ verwendet verschiedene Schutzmechanismen um seine Nutzer zu schützen, dazu gehören u.a. das Captcha-System und Einstellmöglichkeiten unter Privatsphäre. Dort kann der User Einstellungen vornehmen, um sensible Daten wie u.a. das Geburtsdatum für die Öffentlichkeit sperren. Ebenso können bestimmte Profilbereiche (Fotos, Freunde) explizit nur für den Freundeskreis freigeschaltet werden.

Das alte Captcha-System (bis Samstag) von StudiVZ verwendete eine Version mit verschiedenen Schriftarten, Farben und Größen. Aufgrund der fehlenden Variation der einzelnen Zeichen ließ sich das Captcha-System mit PHP (inkl. GD Lib),cURL, MySQL und SQLite aushebeln. Hierzu wird mittels PHP und cURL dem StudiVZ ein normaler User vorgegaukelt. Die Captcha-Grafik wird heruntergeladen, auf dem Server gespeichert, in seine einzelnen Buchstaben zerlegt und diese mit einer vorher erstellten Zeichendatenbank abgeglichen. Das Zerlegen und erkennen des Captchas dauert ungefähr 1 Sekunde bei optimierten Algorithmen. Die Gesamterkennungsquote lag durchschnittlich bei 70%.

Um nun bei StudiVZ genügend Profile crawlen zu können, benötigt man die gehashten User-IDs der Nutzer. Um an diese zu kommen gibt es verschiedene Möglichkeiten:

1. Über die Freundeslisten der User.
2. Über die Gruppen im StudiVZ: Diese Variante lässt sich sogar ohne einen Captcha-Knacker nutzen, weil das Captcha-System nicht bei Ajax-Funktionen in den VZ-Netzwerken greift.
3. Über die implementierten Suchfunktionen im StudiVZ. Hier existierten bis gestern Abend eklatante Sicherheitslücken, die meiner Meinung nach gegen die Datenschutzvorschriften verstießen.

Es war möglich über die vorhandenen Sucheinstellungen (Alter, Universität, Beziehungsstatus…) Rückschlüsse auf für die Öffentlichkeit gesperrte Nutzerdaten zu ziehen. Das heißt, es hat jemand bei StudiVZ sein Geburtsdatum angegeben, es aber nur für Freunde freigeschaltet, so konnte man dennoch über die Supersuche im StudiVZ herausbekommen. Unter gewissen Umständen war es nötig die Suche manuell auf Geburtstag und Geburtsmonat zu beschränken und danach eine Suche nur über das Alter zu starten, womit sich das korrekte Geburtsdatum dann errechnen ließ. So konnte man sich eine ausführliche Datensammlung von VZ-Nutzern mit sehr viele persönlichen Daten anlegen, die eigentlich nur für Freunde sichtbar sein sollten.

Natürlich habe ich das nur zu Testzwecken ausprobiert, um die Sicherheitslücke zu identifizieren. Alle gespeicherten Daten wurden unverzüglich nach dem Testlauf gelöscht.

netzpolitik.org: War das nur bei StudiVZ möglich oder auch bei SchülerVZ?

Lutz Harder: StudiVZ, MeinVZ und SchülerVZ beruhen auf der selben Plattform. Ich konnte mein Programm erfolgreich bei allen VZ-Netzwerken testen. Die Unterschiede in den Systemen waren marginal, es mussten lediglich einzelne URLs angepasst werden.

netzpolitik.org: Gab es irgendwelche Hürden von Seiten von VZ?

Lutz Harder: Um das maschinelle Auslesen von Nutzerdaten zu verhindern, gibt es neben dem Captcha-System die Möglichkeit die Anzahl der maximalen und zeitgleichen Zugriffe je Nutzer oder IP zu begrenzen. Diese bzw. ähnliche Sicherheitsmechanismen hat die VZ-Gruppe nur beim „Gruscheln“ und im internen Mailsystem implementiert. Bekannte Meldungen aus dem VZ-Netzwerk sind „Massennachricht erkannt…“ oder „Du hast in letzter Zeit zuviel gegruschelt..“. Bei normalen Profilaufrufen gab es keine Beschränkung.

netzpolitik.org: Welcher Aufwand war nötig, so ein Programm zu entwickeln?

Lutz Harder: Um automatisiert die Captchas zu lösen, war ungefähr ein Entwicklungsaufwand von 15 Stunden notwendig inkl. erstellen einer einfach Zeichendatenbank, welches sich selbständig erweiterte. Da StudiVZ öfters kleine Änderungen am System vornahm, musste das Crawling-Programm ständig angepasst werden, so dass der komplette Zeitaufwand sich schwer abschätzen lässt. Die Anpassungsarbeiten war aber der kleinere Teil des Zeitaufwandes. Somit lässt es den Schluss zu, das im gesamten VZ-Netzwerk viele ähnliche Crawling-Bots unterwegs waren, wenn man bedenkt wie viele Programmierausschreibungen an Freelancer gerichtet wurden.

netzpolitik.org: Was hat man jetzt bei der VZ-Gruppe geändert?

Lutz Harder: Nach dem publik werden der „Sicherheitslücken“ im VZ-Netzwerk, wurde das Captcha-System auf das sicherere reCaptcha System umgestellt, welches u.a. schon bei Facebook im Einsatz ist. Außerdem scheint es nun eine Limitierung der maximalen Zugriffe auf Profile zu geben (siehe Stellungnahme seitens VZ-Netzwerk).

netzpolitik.org: Was könnte man mit den gesammelten Daten anstellen?

Lutz Harder: Zum Beispiel lassen sich anhand von: Vorname, Nachname, Wohnort und Geburtsdatum Schufa-Abgleiche fälschen. Ebay nutzt dieses Verfahren um seine Nutzeraccounts zu validieren. Weiteres muss dazu nicht gesagt werden. Im Netzwerk selbst konnte man auch automatisiert Nutzer belästigen, in dem man unbegrenzt und wiederholt Freundschaftseinladungen an fremde Profile verschickte. Auch das wiederholte Besuchen von Profilen empfanden viele Nutzer als Belästigung. Sie fühlten sich teilweise von einem Stalker verfolgt.

35 Kommentare
  1. alterSchw3de 20. Okt 2009 @ 18:24
  2. Hans Herbert 21. Okt 2009 @ 10:26
Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden