Achtung! Dieses Forum steht unter Denkmalschutz.

Ehemaliges Forum von DUDag


#101

RE: wie sind die mülltonnenvideos von mir

in Q-Lokales 26.03.2010 18:08
von AR | 1.439 Beiträge

Im Zusammenhang mit den aus der Schüler-Community SchülerVZ entwendeten Datensätzen ist ein Tatverdächtiger verhaftet worden. Tatsächlich haben aber vermutlich mindestens zwei Datensätze aus unterschiedlicher Quelle existiert. Dem nun Verhafteten wird versuchte Erpressung vorgeworfen.

Berlin - Im Zusammenhang mit dem Datenklau beim Schülernetzwerk SchülerVZ ist in Berlin ein 20-Jähriger verhaftet worden. Das bestätigte ein Sprecher des Landeskriminalamtes auf Anfrage von SPIEGEL ONLINE. Noch am Montagabend erließ ein Richter Haftbefehl gegen den aus Erlangen stammenden Mann. Gegen ihn bestehe der Verdacht der versuchten Erpressung, teilte das Landeskriminalamt mit. Der Tatverdächtige soll dem Unternehmen gedroht haben, die Daten ins Ausland, etwa nach Osteuropa, zu verkaufen, falls er kein Geld erhalte.


Das Dilemma, in dem die VZ-Netzwerke derzeit stecken, liegt im Wesen von Online-Communitys im Allgemeinen: Menschen stellen dort persönliche Daten zur Verfügung, die ein mehr oder weniger stark eingeschränkter Personenkreis übers Netz einsehen kann. Gedacht sind diese Datensätze für Freunde oder doch wenigstens Bekannte. Ansehen kann sich vieles aber jeder - zumindest wenn er selbst im entsprechenden Netzwerk angemeldet ist.

Dieser Punkt hat in den vergangenen Jahren immer wieder für heftige Diskussionen gesorgt - könnte nicht etwa ein Pädophiler sich im Schülernetzwerk Informationen über Jugendliche aus seiner Nachbarschaft verschaffen, um sie dann gezielt anzusprechen? Bewaffnet mit Informationen, etwa, welche Musik das potentielle Opfer gerne hört, welche Filme er oder sie mag?

Eingesammelt hat die Datensätze ein Roboter

Genau deshalb warnen Datenschützer schon lange, man müsse sich genau überlegen, welche Informationen über sich man auf diese Weise zumindest halb-öffentlich macht. Bei SchülerVZ dürfen sich nominell nur echte Jugendliche anmelden, hinein kommt man nur auf Einladung eines Mitglieds. Es ist dennoch davon auszugehen, dass im SchülerVZ auch Menschen angemeldet sind, die dem Schulalter längst entwachsen sind.

Was nun aber mit den Daten von vermutlich mehr als einer Million SchülerVZ-Nutzer passiert ist, geht über diese Art von möglichem Datenmissbrauch hinaus: Mit einem Stück Software, einem sogenannten Crawler, wurden die Daten von vielen - vermutlich Hunderttausenden - Profilseiten ausgelesen und einer Datenbank außerhalb von SchülerVZ einverleibt. So ein Crawler tut fast nichts anderes als ein normaler Nutzer auch: Profilseiten öffnen, Informationen auslesen, Fotos anklicken. Nur tut er es sehr viel schneller. Auf ähnlicher Software basieren übrigens auch Suchmaschinen - ohne Crawler wüsste Google nicht, was auf welcher Website zu finden ist. Die Software-Roboter sind ständig im Netz unterwegs und katalogisieren den Inhalt von Seiten.

Allerdings nicht den Inhalt der Seiten von SchülerVZ und anderen geschlossenen Internet-Angeboten - die sperren die Suchmaschinen-Crawler explizit aus. Die beiden vermutlich männlichen und recht jungen Menschen, die nun, offenbar unabhängig voneinander, zahlreiche Datensätze aus SchülerVZ-Profilseiten extrahiert haben, agierten aber von innerhalb des Netzwerkes aus: Sie hatten Zugangsdaten und schickten ihre Datensammelroboter gewissermaßen innerhalb des Zauns auf den Weg.

"Meine Quelle ist nicht verhaftet worden"

Zumindest einer der beiden tat das eigenen Angaben zufolge nur, um auf die seiner Meinung nach unzureichenden Sicherungsmaßnahmen im Schülernetzwerk hinzuweisen. Er spielte "Netzpolitik"-Blogger Markus Beckedahl 1,6 Millionen Datensätze zu, die jeweils einen Namen, die dazugehörige Schule und die Nutzer-ID umfassten. Weitere "zehntausende" Datensätze enthielten laut Beckedahl zusätzlich Angaben zu Alter und Geschlecht sowie die Profilbilder der jeweils ausgelesenen Seiten. Dieser Datensatz sei inzwischen jedoch gelöscht worden, erklärt Beckedahl im Gespräch mit SPIEGEL ONLINE. Seine Quelle sei "auch nicht verhaftet worden", erklärt der Gründer von Netzpolitik.org.

Der zweite Täter hatte sich nach der Veröffentlichung bei Netzpolitik in einem Blogeintrag damit gebrüstet, er habe ebenfalls mit einem Bot massenhaft Daten aus VZ-Netzwerken ausgelesen und zwar einen Satz, der "um einiges 'ausführlicher'" sei: "Hier stehen zusätzlich die Hobbys, die Lieblingsmusik, Lieblingsfilme etc. drin." Beckedahl zufolge enthielt der Datensatz auch die Geburtsdaten der Betroffenen - in Kombination mit dem Namen ein Datum, das nahezu jeden Menschen eindeutig identifizierbar macht und auch einen Abgleich mit anderen Datenbanken erlauben würde.

Im seinem mittlerweile nicht mehr abrufbarem Blog berichtete der Bot-Programmierer weiter, er habe eine Download-Adresse für den Teil der Daten, der aus dem SchülerVZ stammte, in ein passwortgeschütztes geschlossenes Hacker- und Crackerforum gepostet, "und genau von dieser Datenbank dürften im Internet noch einige Kopien rumfliegen, da diese von meinem Server 17x heruntergeladen wurde". Wie groß dieser Datensatz ist, ist derzeit unbekannt.

Was ist eine "Zugangssicherung"?

Ob der Autor des Blogeintrags tatsächlich derjenige ist, der nun in Berlin verhaftet wurde, ist derzeit unklar. Beckedahl bestätigt jedoch, auch mit dem Autor des Eintrags Kontakt gehabt zu haben und auch einen kleinen Probe-Datensatz aus dessen Beute in Augenschein genommen zu haben. Eigenen Angaben im Blog-Impressum zufolge lebt dieser Täter aber in Süddeutschland, auch die Domain des Blogs ist auf einen in Franken ansässigen Mann registriert.

Ob das, was er und der andere Datensammler wohl getan haben, tatsächlich illegal ist, werden nun die Juristen klären müssen. Bei SchülerVZ geht man davon aus, dass es sich "in jedem Fall um einen Gesetzesverstoß handelt". Konkret könne dem Täter beziehungsweise den Tätern der "unbefugte Abruf personenbezogener Daten", das "Ausspähen von Daten" und die "unerlaubte Verwertung einer Datenbank" vorgeworfen werden. Sollte der Täter tatsächlich einen Erpressungsversuch unternommen haben, dürfte dies das juristische Prozedere aber erheblich vereinfachen.

Denn zumindest der Strafrechtsparagraf 202a, der sich auf das Ausspähen von Daten bezieht, betrifft Daten, die nicht für den Täter "bestimmt und die gegen unberechtigten Zugang besonders gesichert sind", die er sich "unter Überwindung der Zugangssicherung verschafft" habe. Ob eine solche Zugangssicherung im SchülerVZ tatsächlich vorhanden war, darüber werden sich Juristen nun die Köpfe zerbrechen müssen - denn um an die Daten zu kommen, mussten weder Passwörter geknackt noch Firewalls durchbrochen zu werden. Den Zugang zum SchülerVZ hatten die Täter ja bereits, und zwar mutmaßlich auf legalem Wege erworben.

Die einzige Hürde, die zwischen einem Crawler und den Profildaten steht, sind sogenannte Captchas: gelegentlich auftauchende Aufforderungen, Abfolgen von schwer lesbaren Buchstaben- und Zahlenkombinationen in ein Fenster hinein abzutippen. An dieser Aufgabe sollen Programme eigentlich scheitern, während Menschen sie in der Regel einfach bewältigen können. Die Art von Captchas aber, die SchülerVZ bislang verwendete, waren wohl unzureichend. "Schon seit einem halben Jahr", erklärte "Netzpolitik"-Blogger Beckedahl SPIEGEL ONLINE, kursierten im Netz Anleitungen, wie man diese spezielle Art der Roboter-Sperre einfach überwinden könne. Beckedahl zufolge warf seine anonyme Quelle den Betreibern vor, sie hätten auf entsprechende Hinweise seinerseits einfach nicht reagiert. Nur deshalb habe er sich mit seiner Beute an Netzpolitik.org gewandt.

VZ-Networks-Chef Markus Berger-de León erklärte nun im Gespräch mit SPIEGEL ONLINE, man habe in Reaktion auf die Vorfälle bereits ein neues, schwieriger zu überwindendes Captcha-System namens Re-Captcha eingeführt. Darüber hinaus habe man weitere Maßnahmen ergriffen, die das automatische Auslesen von Profildaten erschweren sollten, man habe "zusätzliche Hürden" eingebaut, die er aber nicht näher spezifizieren wollte, um möglichen Datendieben die Arbeit nicht zu erleichtern. Außerdem würden die Nutzer-IDs aller StudiVZ-Mitglieder verändert, was diesen Teil der entwendeten Datensätze unbrauchbar machen werde.

Am grundsätzlichen Dilemma aller Netzwerkplattformen aber wird all das nichts ändern: Ihr Wesen erfordert es, dass man dort Daten zur Verfügung stellt - und dass diese Daten unter Umständen auch in falsche Hände geraten können.

Mit Material von ddp und AP


Gustav Brauner `10 [das klingt irgentwie komisch]

nach oben springen
lockDas Thema wurde geschlossen.

#102

RE: wie sind die mülltonnenvideos von mir

in Q-Lokales 26.03.2010 18:09
von AR | 1.439 Beiträge

Datenklau beim SchülerVZ schlimmer als befürchtet
(54) 18. Oktober 2009, 11:53 Uhr
Der Datenskandal beim Online-Netzwerk SchülerVZ schlägt größere Wellen: Der Täter soll die Profile von mindestens einer Million Mitglieder an mehrere Personen weitergeben haben. Mit diesen Datensätzen können offenbar Schüler nach Geburtsjahr, Wohnort und Schule herausgefiltert werden – samt Foto.


Gustav Brauner `10 [das klingt irgentwie komisch]

nach oben springen
lockDas Thema wurde geschlossen.

#103

RE: wie sind die mülltonnenvideos von mir

in Q-Lokales 26.03.2010 18:09
von AR | 1.439 Beiträge

Da muss ich leider sagen-gedisst!


Gustav Brauner `10 [das klingt irgentwie komisch]

nach oben springen
lockDas Thema wurde geschlossen.

#104

RE: wie sind die mülltonnenvideos von mir

in Q-Lokales 03.04.2010 14:01
von guenter (gelöscht)
avatar

nein,nicht wirklich.ich hab falsche daten angegeben.

nach oben springen
lockDas Thema wurde geschlossen.

#105

RE: wie sind die mülltonnenvideos von mir

in Q-Lokales 17.04.2010 12:51
von AR | 1.439 Beiträge

Sie wissen aber trotzdem deine IP.


Gustav Brauner `10 [das klingt irgentwie komisch]

nach oben springen
lockDas Thema wurde geschlossen.


Besucher
0 Mitglieder und 1 Gast sind Online

Wir begrüßen unser neuestes Mitglied: checker
Forum Statistiken
Das Forum hat 85 Themen und 3653 Beiträge.

Heute waren 0 Mitglieder Online:




Xobor Forum Software von Xobor.de
Einfach ein Forum erstellen