Soziale Netzwerke SchülerVZ gesteht Versagen ein
1,6 Millionen Profile sind von einem Studenten illegal abgefischt worden. SchülerVZ muss erneut erleben: Die Balance zwischen Bedienbarkeit und Sicherheit ist schwierig.
"Es gibt wieder ein neues Datenleck beim Social-Network SchülerVZ. (...) Uns wurden 1,6 Millionen aktuelle Datensätze von dort aktiven Schülern zugeschickt, das sind rund 30% aller Nutzerprofile aus dem Social-Network." So beginnt ein Eintrag bei dem bekannten Blog Netzpolitik , es ist der zweite dieser Art. Schon einmal hatte Blogger Markus Beckedahl berichten müssen, dass es jemandem gelungen ist, große Teile der Nutzerdaten von SchülerVZ einzusehen und auszulesen .
Bedenklich ist das aus zwei Gründen: Das automatische Auslesen von Daten ist bei sozialen Netzwerken nicht unüblich, Facebook beispielsweise unternimmt erst gar nichts, um das zu unterbinden und Forscher nutzen solche Techniken beispielsweise, um mehr über die Struktur der Nutzer zu erfahren .
Anzeige
Doch sollte es einerseits bei SchülerVZ gar nicht oder zumindest so schwer wie möglich sein, da das Netzwerk die dort registrierten minderjährigen Nutzer eben nicht öffentlich machen will. Andererseits hatte SchülerVZ nach dem ersten Vorfall dieser Art versprochen , dafür noch stärker Sorge zu tragen und es noch schwerer zu machen. Und dem Netzwerk wurde sogar vom TÜV hohe Sicherheit bescheinigt . In den Allgemeinen Geschäftsbedingungen ist es eindeutig verboten, automatisch Daten auszulesen, doch das genügt nicht, auch technisch braucht es einen Schutz.
Soviel vorweg, einfach war es nicht, was der Informatikstudent Florian Strankowski unternahm. Es braucht dazu einige Kenntnisse über den Aufbau von Websites und einiges Wissen im Programmieren. Details dazu hier . Und natürlich gibt es auch keine absolute Sicherheit, nirgendwo und daher auch nicht im Netz.
Dazu Markus Beckedahl: "Die VZ-Netzwerke haben völlig Recht, wenn sie sagen, dass sei ein Katz-und-Maus-Spiel. Aber da es um die Daten von Minderjährigen geht, sollten sie es so schwierig wie möglich machen, an sie heran zu kommen. Offensichtlich wurden nach dem letzten Vorfall auch Maßnahmen getroffen, doch waren es wohl nicht genug."
Strankowski schreibt in seinem Script des Angriffes: "Selbstverständlich haben die Entwickler von VZnet sich um Bots und Crawler gekümmert, aber der Einbau ihres sogenannten 'Anti-Crawler-Systems' hindert niemanden grundsätzlich daran, einen Crawler zu benutzen." Die einzige Hürde, die tatsächlich eingebaut sei, sei ein "click-check".
Beide Sammelaktionen, die zweier Schüler im Herbst und die aktuelle, geschahen im Prinzip auf die gleiche Art. Sie wurden von innen heraus gestartet, nicht von außen. Wer einen Account bei SchülerVZ besitzt, kann bestimmte Informationen anderer Mitglieder sehen, beispielsweise deren Namen, deren Schule oder ihr Bild. Bei dem ersten Angriff im Herbst 2009 wurde von einem solchen Account aus ein Programm gestartet, das haufenweise andere Profile aufrief und deren Daten sammelte. Das ist so inzwischen nicht mehr möglich, die Betreiber haben seitdem die Zahl der Profile, die sich ein Nutzer anschauen kann, begrenzt – eben mit dem "click-check" von 1980 Klicks am Tag.
Doch ließ sich diese Hürde umgehen. Strankowski schrieb ein Programm, das immer neue Accounts anlegte, letztlich waren es mehr als 1000. Anschließend reizte der Crawler, das Datensammelprogramm also, in jedem der Accounts die Höchstgrenze der Abrufe aus. So gelang es Strankowski, pro Tag 580.000 Profile abzugrasen.
Anzeige
- Datum 04.05.2010 - 21:32 Uhr
- Seite 1 | 2 | Auf einer Seite lesen
- Quelle ZEIT ONLINE
- Kommentare 13
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
manche haben es noch nicht mitbekommen, aber es gab da eine Erfindung namens Computer. Die kann nun pro Sekunde weit zuverlässiger als eine herkömmliche Rechenkraft viele Abertausende von Rechenschritten ausführen. Weiterhin gibt es seit neuestem eine Technologie, die die Möglichkeiten des Telefons und des Computers in gewisser Weise miteinander verbindet und sogar noch übertrifft: das Internet. Hierdurch lassen sich nahezu alle Computer eines Landes oder sogar der ganzen Welt miteinander zusammenschalten, so dass sich Daten austauschen lassen. Musste man früher noch zu einem Ort reisen oder Daten telefonisch oder per Fernschreiber durchgeben lassen, so ist dies nun in sekundenschnelle weltweit möglich.
Vor dem Hintergrund dieser allerneuesten Entwicklungen muss man sich fragen, ob man nicht mal langsam, so in den nächsten zehn, zwanzig Jahren vielleicht, damit beginnt, unsere Verhaltensweisen und auch die Gesetzgebung anzupassen.
Es werden weiterhin bei jedem Sportverein Ergebnislisten ausgehängt wie vor 50 Jahren, als hätte es keinerlei technologische Entwicklung gegeben. Als würden so nicht genaueste Verkehrsdatenprofile von Minderjährigen im Internet verfügbar werden und für immer abrufbar bleiben.
Die Datenschutzgesetze müssen erheblich verbessert/überarbeitet werden. Es muss Strafen für Gesetzesverstöße geben. Die Einrichtungen müssen unabhängig arbeiten. Kritische Stimmen die zur Einhaltung der Gesetze mahnen dürfen nicht als "Spielverderber" etc. abgetan werden.
Wer seine Daten preisgibt, um an den neuesten Netzwerken Teil zu haben, hat es nicht besser verdient. Oder es ist ihr/ihm egal, weil sie/er auf die dann "plötzlich" auftauchenden Lockangebote nicht hereinfällt. Die Welt ist eben voller Geier. je früher wir das merken, umso besser.
Es ist schon eine Herausforderung eine solche Sammlung zu erstellen. Sicherlich, mit etwas Übung alles kein Problem
Aber im PDF stehen ein paar Interessante Details die der TÜV sicher so nicht geprüft hat...
Ein Beispiel: Für den automatisierten Login holt sich das Script dynamische Daten von der Frontseite!
Zitat:
"The question is howto get those random variables to login.
To get these variables we're going one step back and visit the Website http://www.schuelervz.net - without logging in."
... (PDF ist sehr lesenswert)
Das ist zwar nahe an Brute-Force, doch für "normale" Bewegungsdaten reicht das völlig aus. Sicher ist der Wert von Daten mittlerweile stark gefallen, aber immer noch ist der Markt da. Und die hier gesammelten 1,6 Millionen "Grunddaten" plus einige Zusätze können die ideale Grundlage einer ausgedehnten Sammlung sein (müssen aber nicht, klar).
Und hier nochmal die "Vorteile" eines normalen SchülerVz-Accounts auf einen Blick:
ID, image, name, memberjoin, memberupdate, schoolID, schoolname, cityID, cityname, status, jahrgangsstufe, jahrgangsstufeadd, gender, birthdate, Iam, loveclass, hateclass, nebenjob, whatido, msnliveid, icq, aim, skype, kontaktcity, homepage, searchfor, bezstatus, politics, hobbys, clubs, lovemusic, lovemybooks, lovemymovies, talk, whatilike, whatidislike,aboutmyself
Tolle Sammlung
Die reinen Login-Daten sind in einer Textdatei dem Crawler zur Verfügung. Die Zitierte Stelle bezieht sich auf die Variablen formkey und iv, beides für den Login benötigt und dynamisch generiert (als einzige nicht-statisch). Also kein Brute-Force auf die Accounts, sondern die Erlangung zweier zusätzlicher Informationen welche anschließend einfach durchprobiert werden.
Ein so akkurater Artikel, bis man sich dann leider dazu hinreißen lässt, das Vorgehen als besonders technisch raffiniert darzustellen.
Das Vorgehen ist mehr als primitiv und simpel, das PDF entbehrt jedem wissenschaftlichen Sinn (es ist nicht einmal ein Proof Of Concept, denn wer muss schon beweisen, dass ein Browser funktioniert?!)
Die Geschwindigkeit des Ganzen nach Angabe im PDF (7 Profile pro Sekunde) ist dann noch ein Armutszeugnis.
Entgegen dem aufgeregten Fantasieren einiger Vorposter ist es natürlich nicht ein Meisterwerk, irgendwelche bloß für den Server zur Zuordnung relevanten Namen aus HTML zu fischen.
Lieber überrational,
ich bin bei diesem Urteil von einem Normalsurfer ausgegangen, nicht von einem Normalprogrammierer. Ich glaube, das ist auch angemessen, sind doch längst nicht alle, die sich im Internet bewegen, Informatiker :)
Beste Grüße
Kai Biermann
Lieber überrational,
ich bin bei diesem Urteil von einem Normalsurfer ausgegangen, nicht von einem Normalprogrammierer. Ich glaube, das ist auch angemessen, sind doch längst nicht alle, die sich im Internet bewegen, Informatiker :)
Beste Grüße
Kai Biermann
Lieber überrational,
ich bin bei diesem Urteil von einem Normalsurfer ausgegangen, nicht von einem Normalprogrammierer. Ich glaube, das ist auch angemessen, sind doch längst nicht alle, die sich im Internet bewegen, Informatiker :)
Beste Grüße
Kai Biermann
"Aufregend" (im doppelten Wortsinne) ist nicht die Tätigkeit des Crawlers selbst. Dieser hätte, in anderer Sprache (Perl eignet sich gut) und einigen Raffinessen, sicherlich noch etwas schneller werden können (bedingt durch die VZ-Restriktionen - "click-check" - wären noch mehr Accounts nötig gewesen; diese wurden halb-automatisiert erstellt: 360 Accounts pro Stunde dauert, ist aber vorerst ausreichend).
Der Punkt ist, das 1000 Accounts erzeugt werden konnten und dann, wie es oben gesagt wurde, in einer primitiven Art grundlegende Daten einfach abgefischt werden konnten.
Die erwähnten Daten werden direkt in eine Datenbank geschrieben und stehen zur Auswertung bereit. Und dafür gibt tatsächlich Anwendungsgebiete. Eine gute Grundlage ist es allemal.
Zusammengefasst: Der Crawler-Schutz ist zwar Katz-und-Maus-Spiel (wie Sicherheit in der IT allgemein), aber dennoch definitiv unzureichend (vom Datenschutz allgemein abgesehen, aber anderes Thema).
Es ist natürlich entscheidend wie die Daten interpretiert werden. Und auch nicht alle haben alle Daten offen gelegt. So ist das Geburtsdatum nur in 32% der gesammelten Fälle öffentlich.
Bitte melden Sie sich an, um zu kommentieren