Alles öffentlich?
Gaukelt StudiVZ seinen Nutzern Datensicherheit nur vor? Don Alphonso hat einen bemerkenswerten Test gemacht. Er enthüllt, wie man problemlos auch an nicht freigegebene Bilder der StudiVZ-User herankommen kann. Außerdem: rund 150, meist sehr aufschlussreiche Kommentare.
Finde die Aufregung ziemlich übertrieben.
Und einige Aussagen von DonAlphonso:
"… weil da erhebliche Gefahren damit verbunden sind."
"Das sind daten, da hängen Leben dran."
"Wieso haut man diese Bande nicht hochkant raus? StudiVZ-URLs blocken, eine erklärende Seite schaltgen, und die Campus Captains so hochnehmen, wie sich das mit anderem kommerziellen Vertreterabschaum gehört."
Hab das Gefühl, da geht es mehr um persönliche Abneigung gegen die Gründer.
DonAlphonso eben.
Alles, was auch nach einer "Sicherheitssperre" per URI erreichbar ist, ([del]ist per URI erreichbar[/del]; ja, ich weiß, profan) hat potentiell die Chance, auch ohne Sicherung erreichbar zu sein.
Es gibt da noch ganz andere Sachen, die man kaum glauben mag. ;-)
Will jemand einen Bot mieten? Kostet wirklich fast nichts… Will jemand eine IP mit einem Hostnamen, der nach .gov oder .mil auflöst? Die kosten auch nicht so viel… :-) Teurer sind da existierende Daten eines Bankaccountes (so er nicht während der Präsentation geleert wird; "Anyone to buy bancaccount with 30k US$? Here's a sceenshot: (…)." Sekunden später: "There ain't no money on that Account!"; die Session-ID war auf dem Screenshot zu sehen und der Account inzwischen leergeräumt) oder eine (oder darf's auch ein Dutzend sein; es gibt dann Preisnachlass!) $RichtigTeureKreditkarteOhneLimit, aber auch die gibt es (für (fremdes? Nein, nicht doch… ;-)) Geld…).
Es ist richtig und wichtig, dass Schwächen eines Systemes angesprochen werden. Über die Folgen muß man aber nachdenken und es nicht sofort über's Knie brechen (ohne erwähnte Beteiligte zu meinen).
das problem ist wohl, dass viele ein problem mit DA haben. haette das ganze ein robert basic oder der schockwellenreiter aufgedeckt, es waere ein skandal erster guete.
und mein gott – wie unbedarft die zukuenftige elite unseres landes mit ihren daten umgeht (siehe kommentare im studivz-blog), da wird mir himmelangst, wenn diese leute in 20 jahren in den schaltzentralen der macht sitzen :-(
Also wenn ich das richtig sehe muss man schon den genauen Link zum Bild kennen um das Bild aufzurufen da für jedes Bild eine Zufallcode im Dateinamen eingebaut ist. Also problematisch wirds vor allem dann wenn ein Bild dass einmal öffentlich war und verlinkt wurde irgendwann später auf "privat" gesetzt wird.
Also ein ziemlicher Sturm im Wasserglas, eine akute Gefahr sehe ich da nicht. Allerdings trotzdem nicht sehr geschickt gelöst, da gibt es bessere Alternativen. Security through obscurity ist nicht unbedingt eine empfehlenswerte Sicherheitsstrategie.
@6
Also wirklich. Drei Sätze hintereinander mit "also" angefangen. Setzen sechs, ganz schlechter Stil.
Nachtrag, bevor jemand fragt: Nein, sowas gibt's bei mir nicht zu kaufen! :-)
Und ich weiß auch nicht, ob es sowas bei meinen Mandanten zu erwerben gibt.
Aber man kann, wenn man denn möchte und die passenden Suchbegriffe (oder die URI und da schliesst sich der Kreis) kennt.
Ich find die Aufregung auch etwas übertrieben. Ein Sturm im Wasserglas.
Der "bemerkenswerte" Test ist wahrlich nicht bemerkenswert. Es gibt haufenweise Seiten, in deren Quellcode URLs drin sind, die sich dann direkt aufrufen lassen können. Es ist die Frage, wie schnell man an die URLs rankommt, wenn man sie nicht kennt.
Die Wartezeit zwischen der Meldung des Bugs bis zum Veröffentlichen der Methode ist auch viel zu kurz gewesen. Alles in allem bin ich über diese Meldung eher enttäuscht.
Ich verstehe das nicht ganz. Ist es nicht so das man den Korrekten URL wissen muss und der auch noch aus einer langen Zahlenkombination besteht. Die Warscheinlichkeit diesen zu eraten scheint mir recht niedrig zu sein, warscheinlich wäre es einfacher das Passwort des Nutzers durch ausprobieren rauszukiregen, oder?
studivz-bashing allererster güte…
Wer seine Freunde/Interessen/polit.Einstellung/Lieblingsstellung/Partybilder etc. derart fröhlich online stellt,unreflektiert und ohne Pein, dem ist nicht zu helfen. Da wird schon fröhlichst von interessierter Seite gecrawlt und gesammelt. Was mussten Geheimdienste früher für einen Aufwand treiben, heute reichen 2 Programmierer und ein Sever am Arsch der Welt der ein bisschen pflügt und speichert.
Grausam und dumm.
Der Test ist und war schon in der Vergangenheit nichts bemerkenswertes. Die Probleme sind schon seit 2000 und frueher auch bei anderen Services bekannt. Das macht es zwar nicht besser, aber das hier ist das uebliche Blog-Bashing, nur auf niedrigstem Niveau. Jemand der Analogien zwischen Vergewaltigungen von Frauen und Sicherheitsluecken in Online Diensten zieht ist mir aeusserst suspekt, nicht wert regelmaessig zu lesen und vor allem waere ich mir zu schade Mitstreiter eines dermassen von persoenlichen Animositaten gesteuerten Bashings zu werden.
Nicht jedes Bashing in den Blogs gleich ein Aufmacher. Auch hier unterscheidet sich Qualitaet von Quantitaet.
Nur die letzten 4 Ziffern sind lt. Karl und DA Zufall
Sehr lächerlich, das ganze. Die Dateinamen scheinen nicht wirklich erratbar oder fortlaufend zu sein und dann gilt, wie überall: Jede Ressource im Internet ist zugänglich, wenn man nur gewillt ist (und zeitlich in der Lage), genug Kombinationen zu versuchen. Brute Force eben.
@5: Ganz recht Bernd, in absehbarer Zeit wird das Recht auf absolute Privatsphäre nur noch auf dem Papier vorhanden sein. Diejenigen, die in 20 Jahren eigentlich Datenschützer sein sollten, lernen schon jetzt nicht mehr wie das funtkioniert. Deshalb ist der Fall StudiVZ auch nicht ernst genug zu bewerten.
Ich werde auch weiterhin der MediaMarkt-Kassiererin meine Postleitzahl nicht nennen.
Bringt zwar nicht wirklich was, fühlt sich aber besser an.
@16: Deshalb ist der Fall StudiVZ auch nicht ernst genug zu bewerten.
Sensible Daten, deren Veröffentlichung für mich u.U. ernste Folgen haben könnte, speichere ich nichtmal auf einem an das Internet angeschlossenen Rechner. Schon gar nicht lade ich sie auf einen fremden Server, auf den ich keinerlei Einfluß habe.
Es ist immer wieder erstaunlich, wie naiv und leichtsinnig viele Leute mit sensiblen Daten umgehen.
Ich werde auch weiterhin der MediaMarkt-Kassiererin meine Postleitzahl nicht nennen.
Du kaufst bei MediaMarkt? Sauerei! Sei doch nicht blöd!
Gruß A. John
@17: Naja Geburtsdatum würde ich auch nicht angeben, aber Musikrichtung und Hobbies sind doch meistens eher unverfänglich.
Politische Richtung kann man zwar auch angeben aber das machen die wenigsten oder geben Kronlolial an was immer das auch sein mag. Bleibt noch die "Freunde", aber da sind meist jeder den man irgendwie mal gesehen hat auf der Liste, also würde ich das nicht unbedingt überbewerten.
Mark
@ 18
interessierte leute (und davon gibt es gar nicht so wenige) können mit den daten aus dem studivz schon sehr interessante profile erstellen. wenn da jemand geburtsdatum, wohnort, vor- und nachname eingibt, dann ist die person schon eindeutig beschrieben. dazu kommt dann noch ein foto sowie musikgeschmack, politische richtung, studiengang, hobbies und einiges mehr.
selbst bei straftätern werden deutlich weniger daten erfasst …
Jau, genauso. Konsumenten werden heutzutage in Milieus eingeteilt, siehe Sinus-Milieus, Soziale Milieus (Durkheim). Musik-, film. Literaturgeschmack, Wohngegend, Berufsabsichten reicht schon um dich ins "konsum-materialistische" oder "liberal-intellektuelle" Milieu zu stecken – Sigma, siehe hier sigma-online.com/de/SIGMA...SIGMA_Milieus_in_Germany/
Dann muss nur noch das entsprechende Produktpaket zusammengestellt und die Werbung auf dich angepasst werden, und du merkst nicht einmal, dass genau hinter dir ein Marketingmanager herrennt. Manche von denen kommen aus dem Grinsen gar nicht mehr heraus, seit es MySpace gibt.
Je genauer das Ziel definiert werden kann, desto besser kann ich Werbetetats kalkulieren oder Vorhersagen treffen ob ein Produkt scheitert oder nicht. Das geht soweit, das Produkte in gewissen Postleitzahl-Bereichen noch nicht mal in die Regale kommen.
Ob du "nur" deine Hobbies angibst oder die Anzahl deiner grauen Haare: Völlig Wurschd, du liegst schon längst auf dem Seziertisch.
gez.: der Schwager vom Friseur wo auch immer die Schwester vom Großen Bruder hingeht.
@20
Na und? Krieg ich halt Werbung für Sachen wo die Wahrscheinlichkeit höher ist das sie mir gefallen.
@Mattse: Wenns für dich Ok ist, dann ist es OK. Ich fühle mich dadurch manipuliert und in meiner Entscheidungsfreiheit eingeschränkt.
Aber es geht nicht nur um Werbung für Espresso-Maschinen, sondern auch um Handy-Verträge, Privat-Kredite, Gründerbürgschaften usw. Da hört der Spass dann auf.
Naja, ob meine Musikrichtung oder welche Freunde ich habe für meine Kreditfähigkeit relevant ist wage ich zu bezweifeln. Über Messenger Dienste (ICQ/AIM) die in ihren Geschäftsbedingungen auch das auswerten der Kommunikation beinhalten regt sich auch fast niemand auf.
viele sprechen nur noch von stasi-vz und stalken weiter
nur mal eine kleine geschichte:
ich hab vor einige r zeit in der beiakte eines strafverfahrens eine komplette versicherungsakte gefunden. da hatte die versicherung eine auskunftei mit sitz in den usa beauftragt, etwas über den mandanten herauzufinden. was da für ein paar hundert euronen an info kam, hat mir doch einen kleinen schock versetzt. und für das geld muss das eine standarddatenbankrecherche gewesen sein.
Das ist Unsinn und hier auch überhaupt nicht das Problem. Brute Force ist schlicht nicht nötig. Fakt ist, das alle Bilder für jederman frei zugänglich im Web abrufbar sind, während man den Usern gleichzeitig erklärt, sie hätten eine Privatsphäre, die sie per Mausklick einfach aktivieren können.
Es reicht zum Beispiel völlig, wenn ein Ex-Freund die URLs seiner ehemaligen Partnerin quer durch eindeutige Kontaktforen postet. Und ja, "erraten" kann man sie auch weit einfacher, als vom VZ-Datenschutzbeauftragten beschrieben.
Selbst der Vergleich mit Pin-/Tan-Verfahren, den Manfred Friedrich in bester PR-Manier anführt, <a href="http://www.blogbar.de/archiv/2006/11/20/die-urls-von-bildern-bei-studivz/#comment-83980" rel="nofollow">ist komplett sinnfrei</a>. Wie eigentlich jedem klar sein dürfte, dessen EC-Karte nach 3 Fehleingaben vom Automaten eingezogen wurde.
Du vielleicht nicht, aber wie schaut es mit deinen Freunden aus? Da gibt es im StudiVZ dieses wunderbare Tagging-Feature "ist auf XX Bildern", mit dem sich dein zukünftiger Chef gleich ein Bild von euerm letzten Malle-Trip machen kann.
Dass das vielleicht doch nicht so lustig ist, kann dir bei Bedarf einer der StudiVZ-Gründer <a href="http://fx3.org/blog/2006/11/17/studivz-der-mann-hat-doch-humor/" rel="nofollow">aus erster Hand berichten</a>:
"bitte alle bilder auf flickr, vz, youtube etc systematisch durchforsten und nicht 100% einwandfreie löschen. thx."
Besonders hübsch war der administrative Nachsatz, weil bis letzte Woche nicht einmal das Löschen von Nachrichten im StudiVZ richtig funktionierte:
"Diese Nachricht wurde von Ehssan gelöscht und wird anderen Mitgliedern nicht mehr angezeigt"
Ja, doch, sowas stärkt das Vertrauen in die Sicherheit einer Plattform, die nach Eigenangaben mit über einer Million Datensätzen operiert, ungemein.
Der Vollständigkeit halber muss hier noch verlinkt werden, wie die Geschichte weiter ging:
blogbar.de/archiv/2006/11...alker-und-der-datenschutz
Ich bin immer noch auf der Suche nach irgendeiner – wenn auch noch so abseitigen – Strafvorschrift.
Ich hab §§ 33, 22 KunstUrhG gefunden.
Ich habe die ersten 20 Kommentare gelesen und schon muss ich den Kopf schütteln über manche Meinungen…
Es gibt wirklich Leute, die meinen sie wären die Elite der Gesellschaft und ihre "sensiblen" Daten seien so brisant wertvoll, dass fast der Weltfrieden davon abhänge.
Man kann es mit der Kritik am Datenschutz auch etwas übertreiben, oder meint ihr nicht?
Wovor habt ihr eigentlich Angst? Dass jemand aus eurem Umkreis Bilder sieht, auf denen ihr mal ein Glässchen zu viel gebechert habt? Dass eure zukünftigen Arbeitgeber diese sehen? Natürlich! Ihr werdet alle Politiker, Filmstars oder Vorstandsvorsitzender von Mercedes. Ist doch logo. Kein Mensch wird mehr in 20 Jahren Maurer, Metzger oder Maler sein, wir werden alle von Luft und Liebe, in unseren Penthäusern der Frankfurter City und mit unseren 10.000€/Monat von unserem Topgehalt leben, weil wir ja alle solch wichtige Persönlichkeiten sein werden. ;)
Einige sollten anfangen etwas die Verhältnismäßigkeit zu wahren und zurück auf den Boden der Tatsachen kommen. Nur wer studiert braucht noch lange nicht von sich zu behaupten etwas besseres zu sein und zu erwarten, irgendwann zur Elite mit top Gehalt und Ansehen zu gehören. Wer das glaubt, dem rate ich dringend "Michael Hartmann" zu lesen und sich mit der Materie etwas genauer zu befassen.
Ich bin weder naiv, noch dumm, noch bescheuert oder sonstiges. Ich bin ein ganz gewöhnlicher junger Mensch, der seinem Alter entsprechend das Leben genießt. Ich stehe zu dem (bzw. habe zu stehen)was ich mache, auch wenn es mal weniger positiv ist. Bilder, Fakten oder sonstiges von durchzechten Nächten mit den Freunden sind für mich schöne Erinnerungen an eine unbeschwerte Zeit. Kommt runter von eurem hohen Ross, lasst dieses winkeladvokate Getue und kehrt zurück in die gute alte Realität ohne überhebliches paranoides Getue. ;)
P.S.: schöne Diskussion ;)