Netzpolitik-Interview: Hintergründe zum SchülerVZ-Datenleck

Als Hintergrund zum aktuellen Datenleck bei SchülerVZ haben wir ein Interview mit Florian Strankowski von der Leuphana-Universität Lüneburg gemacht, der die Sicherheitslücken entdeckt hat.

netzpolitik.org: Was war Deine Motivation, die Daten zu crawlen?

Florian Strankowski: Die Motivation bestand darin, nach den zig Interviews und Statements von Seiten VZ zu zeigen, dass im Endeffekt nichts unternommen worden ist, um die Daten der Nutzer effektiv zu schützen. Auch wollte ich aufzeigen, dass der TÜV in diesem Fall ein Zertifikat ausgestellt hat, das zwar schön aussieht, aber im Endeffekt etwas bestätigt, was so nicht der Fall ist. Die Daten der Nutzer waren nie sicher und sind derzeit nicht sicher vor Crawlern.

Ebenfalls haben sich einige meiner Kommilitonen amüsiert, als ich Ihnen meinen Vorschlag für den zu erbringenden Leistungsnachweis vorgestellt habe, einen Crawler zu schreiben. Ich muss hinzufügen, dass das Schreiben von Crawlern, egal für welchen Zweck, eine große Leidenschaft für mich ist, da ich es faszinierend finde, wie man Daten am effektivsten sammelt, verarbeitet und aufbereitet.

netzpolitik.org: Hast Du SchülerVZ kontaktiert?

Florian Strankowski: Ja. In zwei Mails habe ich in den vergangenen Wochen die VZ-Gruppe auf Sicherheitslücken hingewiesen und meine Hilfe angeboten. Auf beide Mails habe ich keine Reaktion erhalten

netzpolitik.org: Was war Deine Motivation, mit netzpolitik.org Kontakt aufzunehmen?

Florian Strankowski: Meine Motivation mit netzpolitik.org in Kontakt zu treten war es, ein Sprachrohr zu finden, welchem auch Gehör geschenkt wird. Auf meine Mails, welche ich im Rahmen der Responsible Disclosure zwei Mal an VZ geschickt habe, wurde ja nicht geantwortet. Bereits mit meinem Professor habe ich versucht, eine Lösung für den Weg der Veröffentlichung zu finden. netzpolitik.org ist und war für mich immer eine gute Anlaufstelle für aktuelle netzpolitische Thematiken (vor allem als es mit den Zensurplänen anfing). Auch wusste ich, dass Du in Deiner Funktion als Journalist die Möglichkeit hat, in diesem Fall zwischen den zwei Fronten zu vermitteln. Denn einerseits wollte ich den VZ-Netzwerken helfen, andererseits mich selbst aber keinem rechtlichen Risiko aussetzen.

Es wäre zu wünschen, wenn VZ sich mehr um seine Nutzer kümmern würde, vor allem um Mails die Problematiken aufzeigen, welche aber ignoriert werden. Es geht hier schließlich auch um den Ruf der VZ-Netzwerke.

netzpolitik.org: Wie bist Du vorgegangen?

Florian Strankowski: Kurz und Knapp: Jeden Schritt protokolliert (Live-HTTP-Header/ Firefox Addon), Sourcecode der Seiten analysiert, Login-, Logout-, Profilaufrufprozeduren analysiert und alles aufgeschrieben. Dann auf dem guten alten Blatt Papier (ich glaube es waren am Ende 10 Seiten) die Vorgehensweise in Form eines PAP (Programmablauf Plans) aufgeschrieben und letztendlich programmiert. Wie im Paper beschrieben, musste ich mich halt immer neu ein- und ausloggen. Das Erstellen der Accounts hat einige Zeit in Anspruch genommen (Habe hier jetzt knapp 800 Accounts). Dann nur noch Programm anschmeißen und abwarten.

netzpolitik.org: War das crawlen der Daten einfach?

Florian Strankowski: Jein. Da der Sourcecode von den VZ-Seiten recht unsauber ist, war es Anfangs eine Qual alle Regular Expressions zu schreiben, denn auch wenn man vermutet, dass der Aufbau einer Profilseite dem einer Anderen gleicht, ist dies leider nicht der Fall. Auch das letztendliche Crawlen war kinderleicht, nicht einer meiner 800 Accounts wurde gesperrt.

netzpolitik.org: SchülerVZ hat im letzten halben Jahr nach eigenen Angaben viel für eine bessere Sicherheit gemacht. War das ausreichend, bzw. was hat SchülerVZ Deiner Meinung nach falsch gemacht?

Florian Strankowski: Ich frage mich, ob das ein PR-Gag war. Es gab vielleicht mehr Informationen wie man die Privatsphäre seines Profils ändern kann (Tutorials & Co), jedoch wurden die temporär eingesetzten Captchas (reCaptcha) wieder entfernt, was ein großer Rückschritt war. Wie man in diesem Fall gut sieht, bringt die Limitierung von Aktionen pro Account nichts, denn man kann sich selbst ja immer wieder neu Einladen und somit unbegrenzt viele Accounts erstellen -> und somit Aktionen durchführen. Somit ist die derzeitige Lösung ungenügend. Warum der TÜV dies nicht bemerkt hat, verstehe ich jedoch nicht.

Falsch ist einfach die Herangehensweise an die Thematik. Wie ich Dir bereits geschildert habe, sind Profile in Gruppen sichtbar, obwohl sie privat sind, auf Bildverlinkungen stehen die Namen von Profilen, welche auch privat sind. Man kann doch einfach überprüfen, wie das Nutzerverhalten ist. Wenn man merkt, dass ein Nutzer am Tag und damit meine ich über Tage immer die knapp 2000 Aktionen damit verschwendet Profile aufzurufen, müssen die Alarmglocken doch mal klingeln.

netzpolitik.org: Warum hast Du nur 1,6 Mio Datensätze gesammelt?

Florian Strankowski: Ich hatte zwischenzeitlich weit über 2 Millionen Datensätze. Nach einer Optimierung des Codes habe ich jedoch einige Verworfen und habe bei einer Million wieder angefangen. Da mein Crawler jetzt „perfekt“ ist und rundläuft, habe ich es dabei belassen. Wenn ich mit der Veröffentlichung eine Woche länger gewartet hätte, so hätte ich dann knappe 4-5 Millionen Datensätze – davon keiner doppelt. Eigentlich gab es noch eine Intention, mehr Datensätze zu sammeln als mein Vorgänger, aber nach der Optimierung habe ich das dann wieder verworfen, ich hatte ja schon > 2 Mio.

netzpolitik.org: Betrifft das Problem auch StudiVZ und MeinVZ, bzw. warum hast Du nur SchülerVZ genommen?

Florian Strankowski: Das Problem betrifft alle Netzwerke von VZ – denn alle basieren auf dem gleichen Code. Dies sieht man auch sehr schön im Quelltext! Daher war es so einfach einen Crawler für alle Netzwerke zu schreiben. Auf SchülerVZ traf meine Wahl, weil es hier besonders wichtig ist, die Daten der minderjährigen Nutzer zu schützen. Ich wage es kaum auszusprechen, aber wenn Millionen Daten von Minderjährigen in die falschen Hände geraten, kann schnell man etwas passieren und später will keiner die Schuld haben, auch nicht der TÜV.

Als Hintergrund zum aktuellen Datenleck bei SchülerVZ haben wir ein Interview mit Florian Strankowski von der Leuphana-Universität Lüneburg gemacht, der die Sicherheitslücken entdeckt hat.

Hier ist noch ein Video, was den Crawler bei der Arbeit zeigt (Nicht so spektakulär wie ein Hollywood-Film):

SchülerVZ-Crawler from netzpolitik on Vimeo.

62 Kommentare
  1. schlimmschlimm 4. Mai 2010 @ 12:02
  2. Nico Düsing 4. Mai 2010 @ 14:44
  3. Nico Düsing 4. Mai 2010 @ 15:49
  4. Nico Düsing 4. Mai 2010 @ 16:21
  5. Nico Düsing 4. Mai 2010 @ 18:39
  6. Nico Düsing 4. Mai 2010 @ 19:10
Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden