VZ-Sicherheit: Keiner zuhause?

Es kann sicherlich viele Gründe haben, warum SchülerVZ auf die Hinweise von Florian Strankowski bezüglich der Möglichkeit eines massenhaften-maschinellen Auslesens nicht reagiert hat: Man hat die Mails übersehen, man hat bloß vergessen zu antworten (Beste Ausrede des Tages!) oder man dachte, dass man das Problem einfach aussitzen kann. Es könnte aber noch einen anderen Grund geben: Da ist gerade niemand für IT-Sicherheit zuständig. Wie uns zu Ohren kam, war dafür ein freies Team zuständig und das ist nun nicht mehr im Haus. Und eine Stelle für die IT-Sicherheit ist ausgeschrieben und noch unbesetzt. (Klingt für viele fitte Menschen vielleicht auch zu sehr nach Himmelfahrtskommando)

Welcher der Gründe nun zutrifft, ist unklar. Traurig ist aber, dass die VZ-Gruppe erst auf unsere Hinweise und den zu erwartenden öffentlichen Druck reagiert und neue Maßnahmen zur Erhöhung der Datensicherheit ankündigt. Wir wünschen viel Erfolg.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

35 Ergänzungen

  1. Die bei Holtzbrinck können ja noch nicht mal ordentliche Rechtschreibung in ihren Job-Ausschreibungen. Wie peinlich ist das denn?

  2. Beste Ausrede des Tages… bester Post der Nacht :)
    Erst das 2. Datenleck und jetzt die Dämliche Ausrede + Jobausschreibung OMG, ich schmeiße mich weg (passiert selten um diese Zeit).

    Die bei VZ scheinen echt drauf zu bauen, dass sich die meisten ihrer User nicht dafür interessieren was mit ihren Daten passiert.

    Ps. und ich fürchte, das könnte sich bewahrheiten.

    Gruß Lennart

  3. Habe nur den Beitrag der heute-Nachrichten gesehen. Der Mitarbeiter von VZ hat das schon sehr simpel erklärt wie die Daten gezogen wurden. An seiner eigenen Rhethorik konnte man den Eindruck gewinnen, dass er das für keine besondere Leistung hält. Ist also nur komisch, dass keiner in seiner VZ Firma in der Lage or willig ist wie man ein Crawler-Programm aufspürt.

    Ist der Florian Strankowski eigentlich immer über dieselbe IP reingegangen um sich in die 800 Accounts einzuloggen?

  4. hm,
    bei der wechselnden Groß- und Kleinschreibung der Personalpronomen tippe ich bei der Stellenausschreibung einfach mal auf Copy/Paste aus verschiedenen anderen Ausschreibungen, …

  5. Das VZ-Team macht genau das was es schon beim letzten Mal hätte machen sollen.
    Gelassen darauf hinweisen, dass es kein Datenleck ist und dem jungen Wissenschaftler für die Mühe danken Zeit investiert zu haben um hunderte von E-Mail Accounts zu eröffnen.
    Ein bischen Publicity bekommt man als Informatiker und Blogverfasser bei VZ scheinbar immer ab auch wenn es, im Gegensatz zum Dezember scheinbar langsam die Medien kapiert haben das es kein Skandal gibt.

  6. By the way, 2 Mails schreiben (vermutlich auch noch an info@studivz.net) zeugt auch nicht gerade davon, dass die Kontaktaufnahme ernst gemeint war.
    Aber ein Telefonat oder gar ein Erscheinen vor Ort wäre ja auch zu viel verlangt, das verstehe ich schon.

    1. @Andreas22: SchülerVZ ist in der Bringschuld, Hinweise auf Probleme bei der Datensicherheit aus allen Kommunikationsmöglichkeiten nachzugehen, nicht der Überbringer der Nachrichten.

  7. Von aussen betrachtet und nachdem, was deren Pressesprecher gestern im TV sagte, scheinen die nicht recht zu wissen was und wie sie was an der Situation ändern können.

  8. VZ und Ihren Benutzern ist das total egal, so einfach ist das. Das nächste mal einfach anonym bleiben und die DB auf piratebay/etc. stellen! Danke

  9. Kleine Anekdote zur der Stellenanzeige:

    Ich (Security Experte mit hervorragender Akademischer Ausbildung (TU Darmstadt) in diesem Bereich und 10 Jahren Erfahrung in der Betreuung von IT-Systemen unter Security-Aspekten) hatte mich – weil ich gerne nach Berlin gehen möchte – für ein adäquates, aber nicht zu hohes (immerhin geht es um eine Führungsposition und eine Art „Himmelfahrtskommando“) Gehalt (mit Personalberater in Berlin abgestimmt und okay für diese Stelle in dieser Stadt) beworben (ist jetzt schon ein paar Monate her).
    Erst passierte lange gar nix. Im Bereich HR habe ich über Wochen hinweg niemand erreicht. Dann kam eine lakonische Absage, man habe sich für jemand anderen entschieden. Die Stelle ist immer noch online und an der Security hat sich wohl auch nichts geändert.
    Einziger Schluss, der bleibt: VZ hat kein Interesse für Security Geld in die Hand zu nehmen.
    Weiterer Schluss: das Geschäftsmodell ist derart marode und durch Facebook und Co. in so großer Gefahr, dass Security eingespart werden muss.
    Letzter Schluss: noch 1-2 Jahre – maximal – und VZ ist eh am Ende. Dann hat sich das Thema mit den Sicherheitslücken erledigt.

  10. *seufz* Es muss wohl erst was schlimmes mit den Daten bei so einer Aktion passieren, es muss also mal die falsche Person solche Daten absaugen und diese dann mit düsterer Absicht gebrauchen. Vorher reagieren die wohl nicht mehr.
    Es muss also zum Beispiel erst eine nach Plz sortierte Liste unter der Überschrift „Die kleine linke Socke in deiner Nachbarschaft“ in einem rechten Forum auftauchen, damit da was passiert.

    Die ruhen sich da sehr schön auf der Tatsache aus, dass nur ein Full Disclosure mit Veröffentlichung der gesammelten Daten selbst noch Konsequenzen hätte. Was natürlich nicht machbar ist und nicht zur Diskussion steht, wenn man das Gegenteil, also mehr Datenschutz, erreichen will. Also warten wir jetzt, bis es kracht, es ist wohl nur noch eine Frage der Zeit.

    So eine Sch****e.

  11. Die Kopfgrafik auf jobs.studivz.net ist ja mal sowas von genial…

    Ein Glücksspielautomat! *wechlach*

  12. Wenn man denen eine E-Mail an den support schreibt, dann kann das aber schon mal untergehen bzw. es wird Tage später gelesen und beantwortet. Die bekommen wahrscheinlich hunderte Anfragen pro Tag, die in der Reihenfolge des Einganges abgearbeitet werden. Ich will die jetzt nicht in Schutz nehmen, aber ich kann schon nachvollziehen wenn große Portale nicht immer gleich innerhalb von 24 Stunden antworten auf E-Mails.

    1. @Jan: Die erste Mail wurde am 9.4. verschickt und die zweite zwei Wochen später. Vier Wochen sollten doch auch bei einem großen Portal ausreichen, um bei Hinweisen auf solche „Sicherheitslücken“ zu reagieren – zumal man schon einmal vor wenigen Monaten eine schlechte Erfahrung damit gemacht hat, was passiert, wenn man auf solche Mails nicht antwortet.

  13. So ein bisschen wie in der Geschichte mit dem Öl im Golf von Mexico. Wird schon schiefgehen, denken die sich.

  14. Was regt Ihr Euch so auf?

    Geht doch lieber alle zu facebook! Da braucht man nicht umständlich hunterte Mail-Accounts eröffnen, denn da gibt’s neuerdings eine API für Crawler, mit der man ganz bequem alle öffentlich sichtbaren Nutzerdaten auslesen kann! Genau das gleiche also wie bei VZ. Bei den Amis ist sowas innovativ, in Deutschland skandalös.

  15. Sorry, dass ich das so offen sagen muss. Aber diesen Blogartikel halte ich für den ziemlich durchschaubaren Versuch, ein Thema, das keines ist, künstlich am Leben zu halten.

    @Markus: Ich nehme an, dass Du a) Englisch kannst und b) technischen Sachverstand hast. Dir ist schon bewusst, dass zu einem „Team Lead“ (nichts anderes wird gesucht) auch ein „Team“, sprich eine größere Anzahl an Mitarbeiten gehört? Zudem ist es doch wohl vollkommen offensichtlich, dass die Sicherheit eines Netzwerks wie VZ nicht in der Hand einer einzelnen Person liegen kann. Oder?

    Der Vorfall als solcher mag – für deutsche Verhältnisse – also eher uncool sein. Jetzt aber solche komischen Gerüchte zu verbreiten, ist aber doch nicht wirklich der Stil, den ich von netzpolitik.org gewöhnt bin.

    BTW: Wer sich mal ein Bild von Facebooks Verdiensten um den Datenschutz machen möchte, sollte diesem Link folgen: http://www.binint.com/2010/05/facebook-leaks-ip-addresses.html

    1. @Markus: Ich bin durchaus in der Lage, englische Job-Seiten zu lesen und zu verstehen. Wie ich schon geschrieben habe, bekam ich interne Informationen aus einer zuverlässigen Quelle und konnte die auch nochmal verifizieren. Wenn wir Gerüchte verbreiten, steht das in der Regel deutlich dran.

      Sicherheits- und Datenschutzprobleme bei Facebook thematisieren wir ja auch regelmäßig, nur weil die noch schlimmer sind, heißt es ja nicht, dass man nicht auch mal die deutsche Konkurrenz beleuchten kann.

  16. @Markus:

    Also ich kann mir nicht helfen, dieser verzweifelte Versuch,VZnet zu verteidign,die angeführten Argumente und der abschliessende Angriff auf facebook lässt es so erscheinen,als wärst du ein VZ Mitarbeiter.Aber die können sich ja auch äussern(aber dann sollten die sich als solche zur Erkennen geben, der Ehrlichkeit halber. Obwohl: Ehrlichkeit? VZnez? Hm)

  17. Hallo Markus! Kurzes Update von Twingly. Dein Post wird wie Du wahrscheinlich weißt auf Handelsblatt.com gezeigt. Neben Handelsblatt.de zeigen WiWo.de, Karriere.de, Freitag.de, LR-Online.de und T-Online.de Deine Blogposts mit Hilfe von Twingly, wenn Du dort verlinkst. Hab eine schöne Woche! VG, Anja.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.