Helden und deren Motive – ein Blick hinter den SchülerVZ Datenskandal

Mitte Oktober schlug die Nachricht, dass durch ein großes Sicherheitsloch im SchülerVZ-Netzwerk Datensätze von einem Viertel der dort angemeldeten Nutzer dem Betreiber abhanden gekommen waren, große Wellen.

Netzpolitik.org meldete:

“Aus anonymer Quelle wurden uns Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein Datensatz umfasst mehr als eine Million Datensätze…”

Heute meldet netzpolitik.org

“Unsere erste Quelle bei der Aufdeckung eines Datenlecks bei SchülerVZ hat die von ihre entdeckten Sicherheitslücken dokumentiert (PDF). Wir danke für die Zusammenarbeit. Gerne würden wir die Namen veröffentlichen, damit die beiden Personen auch etwas Ruhm für die Aktion abbekommen. Allerdings ist noch unklar, ob SchülerVZ juristisch gegen sie vorgehen würde. Daher verzichten wir noch darauf.”

Die Helden der Aufdeckung des Datenskandals wollen also gefeiert werden, haben aber Angst vor Repressalien?
Doch haben Helden mit hehren Motiven überhaupt etwas zu befüchten ?

Wenn man anhand des Textes dieses PDF Dokuments etwas nachforscht, finden sich überaus interessante Informationen, die, fügt man diese chronologisch aneinander, ein etwas anderes Bild eines möglichen Motivs vermitteln könnten.

Der Versuch einer Timeline
TICKERTICKERTICKERTICKDITACK
(sich bitte hier das Geräusch eines Nachrichtentickers vorstellen, welchen investigative Nachrichtensender des ÖR-Fernsehens Zwecks des besseren Effekts gerne einfügen)

2. Mai 2009
Max (Name geändert) veröffentlicht auf download.chip.eu ein selbstgeschriebenes Tool Namens “SchülerVZ Fotodownload 2.0″:

“Mit dem SchuelerVZ Fotodownload-Tool lassen sich SchuelerVZ Alben mit nur einem Klick herunterladen.”

Als Homepage des Entwicklers wird die Seite Foto-downloader.org genannt. Eigentümer dieser Seite: Max

TICKERTICKERTICKERTICKDITACK

14. September 2009
In einem Beitrag auf Progmatic.de, dessen Inhaber Max ist, und auf den die Seite Foto-downloader.org umgeleitet wird, ist unter der Überschrift “Beschwerde von VZnet Netzwerke Ltd. (ehemals StudiVZ Ltd.)” zu lesen:

“Aufgrund von Forderungen der VZnet Netzwerke Ltd. (früher StudiVZ Ltd.), verantwortlich für SchülerVZ.net sind die von mir für SchülerVZ.net veröffentlichten Programme nicht mehr in der aktuellen Form auf dieser Seite zu beziehen.”

TICKERTICKERTICKERTICKDITACK

2. Oktober 2009
Auf dem Blog Piratesparty.wordpress.com wird in dem Beitrag “SchuelerVZ – ein Facebook-Klon mit Maengeln” die wortgleiche Erklärung, die heute auf netzpolitik.org in Form eines PDF Files veröffentlicht wurde, online gestellt. Den Kommentaren kann man entnehmen, dass der Beitrag nach dem 11. Oktober irgendwann wieder auf Entwurf gestellt wurde, um dann wahrscheinlich am 21. Oktober wieder online gestellt zu werden. Die Gründe:

“ich wäre Euch sehr dankbar, wenn Ihr diesen Artikel vorerst nochmals in den Entwurfstatus – und damit unsichtbar – machen würdet. Ich wollte eigentlich erst warten, bis das Gutachten auch auf namhafteren Seiten auftaucht, damit es nicht von vielen einfach unentdeckt bleibt, während dann aber von SchülerVZ die aufgezählten Punkte eventuell einfach behoben werden. Das wäre schon schade…”

TICKERTICKERTICKERTICKDITACK

16. Oktober 2009
Netzpolitik.org veröffentlicht ihren Bericht über die Sicherheitslücke bei SchülerVZ. Die Geschichte nimmt ihren Lauf….

Zusammenfassung
Max wird von Betreibern von SchülerVZ untersagt, sein Programm “SchülerVZ Fotodownload” weiter zum Download anzubieten.
Daraufhin schreibt anscheinend Max oder einer seiner Kumpels ein “Programm”, mit welchem im SchülerVZ Netzwerk die Daten von über 1 Million Usern ausgelesen werden. Aus Angst, dass das eigene “Gutachten” zu wenig Beachtung findet, während SchülerVZ die Sicherheitslücke schließt, wird es wieder offline genommen.
Danach wendet man sich an ein recht bekanntes Blog netzpolitik.org, welches man nun für sein angeblich so ehrbares Ziel, nur auf eine Sicherheitslücke aufmerksam machen zu wollen, nutzt. Über netzpolitik.org verbreitet sich die Nachricht weiter über Golem, Heise bis zu Spiegel Online.
Leider wurde dann ein zweiter Mensch, der das Sicherheitsleck auch schon entdeckt hatte, bei dem Versuch, 80.000 EUR von SchülerVZ zu erpressen, festgenommen.
Anscheinend eingeschüchtert über die Tragweite der Lage wird das Gutachten beschnitten und “anonym” wiederum über Netzpolitik.org veröffentlicht.

Fazit: (K)eine Frage der Ehre !?
Keine Frage, das Aufdecken und Schließen von Sicherheitslücken ist von Grund auf ein gutes Anliegen. Die Historie hinter dem aktuellen Fall lässt jedoch viel Spielraum für Interpretationen, was die wahren Motive angehen könnte.
War es verletzter Stolz? Wollte man sich bei SchülerVZ dafür revanchieren, dass diese einem das Verbreiten eines selbst geschriebenen Programms untersagt haben?
Hat man netzpolitik.org aus Angst, dass das eigene Blog nicht genug Beachtung findet und SchülerVZ inzwischen die Lücke schließen könnte, instrumentalisiert?

Allein der Kommentar in dem Blog piratesparty.wordpress.com lässt darauf schließen, dass man mitnichten davon ausging, das SchülerVZ die Warnungen ignorierte. Man hatte eher Angst, dass sie reagierten und das eigene “Gutachten” danach nichts mehr wert sein könnte und man so nicht die gewünschte Beachtung erhielte.

Betrachtet man diese Hintergründe, tun sich viele neue Fragen auf:
- Mussten erst wirklich die Daten von 1 Million Usern des Netzwerks SchülerVZ entwendet werden, um auf eine Sicherheitslücke hinzuweisen? Hätte da nicht auch ein wesentlich kleinerer und ungefährlicherer Datenbestand gereicht?
- Hätte man auch dann die Sicherheitslücke öffentlich gemacht, wenn das Verbreiten des Programms “SchülerVZ Fotodownload” nicht untersagt worden wäre?
- Wäre das einzige Ziel gewesen, die Sicherheitslücke zu schließen, hätte man dann nicht anders agiert?!

Wenn das Handeln wirklich aus niederen Beweggründen geschah, hat man dann ein Anrecht auf Ruhm ?

Dieser Beitrag wurde unter Internet, IT-Sicherheit veröffentlicht. Setze ein Lesezeichen auf den Permalink.

4 Antworten auf Helden und deren Motive – ein Blick hinter den SchülerVZ Datenskandal

  1. "Quelle" sagt:

    Hallöchen,

    da hast Du ja mächtig recherchiert. :) Gewähre uns bitte die Chance, uns wenigstens ein bisschen zu rechtfertigen.

    - Also die Sache mit dem Ruhm und des Gefeiert-werdens stammt weniger von uns und vielmehr von Herrn Beckedahl, der das – leider und zu unserem Unglück – aus uns unbekannten Motiven dort in den Bericht geschrieben hat, eventuell, ohne sich darüber ernsthaft Gedanken zu machen. Im Ernst, wir wollten wirklich nicht irgendwie berühmt oder bekannt werden, eher das Gegenteil ist der Fall, wir möchten keineswegs, dass uns die Sache irgendwie später noch hinterherhängt und belastet. Du solltest Dir selbst mal eine Gegenfrage stellen: Hätten wir – wenn wir Ruhm wollten – wirklich die ganze Sache über uns stets bemüht, anonym zu bleiben? Die Sache, dass ganz am Anfang Links im Gutachten waren, das war vielmehr eine “Schnapsidee”, die es kurz darauf auch schon auszumerzen galt. Aber wir haben uns schließlich auch schon um Anonymität bemüht, bevor der Datensammler aus Erlangen gefasst wurde, und nicht erst anschließend aus “Angst”.

    - Die Daten wurden allesamt ausnahmslos gelöscht, was in beidseitigem Einverständnis geschah, sowohl auf unserer Seite, als auch auf der des SchülerVZ, mit welchem wir wenigstens einigermaßen in Kontakt kamen. Fakt ist aber, dass größere Zahlen wirken, mehr zumindest als kleine oder ‘gar keine. 1,6 Millionen wurden einfach nur erfasst, weil genau so lange eben das Skript lief, um das zu erfassen. Damals war das Verfahren ja auch noch älter und wir haben “nur” Name, Schule, Schul-ID und Profil-ID gespeichert.

    - Die Angelegenheit mit dem Fotodownloader war tatsächlich der ausschlaggebende Grund, beziehungsweise einer der Gründe, da wir hier erfuhren, wie es bei SchülerVZ so um den Datenschutz steht. Aber das Gutachten entstand schon vorher, beziehungsweise Sammlungen von Fakten. Wir wollten niemandem schaden und haben auch keine Rache geplant. Die Sache mit den Anwälten hingegen wurde wiederum ins Gutachten einbezogen. Allerdings haben wir uns durchaus schon zuvor an den Support mit Elektropost gewandt und hierbei auch einiges erörtert, was schließlich Inhalt des Gutachtens geworden ist.

    - Als Erklärung des Eintrags bei dem Piratenblog: Ja, wir waren etwas frustriert. Wir wollten dann auch, dass die Geschichte erscheint, bevor das SchülerVZ letztendlich doch noch auf uns ein Auge wirft, dann eventuell alles behebt und so tut als sei nichts gewesen. Ich mein, es ist durchaus frustrierend zu erfahren, dass Deine Arbeit einfach nichts bringt – und diese schmerzliche Erfahrung machten wir in vielerlei Hinsicht: bei der Bitte um Löschung von Fotos beim Support, bei dem Hinweisen von den im Gutachten angesprochenen Problemen beim Support, bei der Löschung der eigens entwickelten Programme, und dann eventuell beim Verfassen eines Gutachtens – das darf doch nicht alles umsonst sein, darf es?

    Nochmal kurz zusammengefasst: Wir möchten keinen Ruhm, keine Feier und auch keine Trauben – obwohl ich die wirklich gern ess’.

    Du kannst auch nochmal unser Nachwort lesen, da steht eigentlich auch nochmal Diverses, was wir für relativ wichtig halten, in jederlei Hinsicht. Zumindest, was diese ganze Angelegenheit angeht.
    Du findest es hier: http://filebin.ca/xmmfgc

    Gruß.

    P.S: Danke, dass Du uns als Helden bezeichnest. :)

  2. nepo sagt:

    Ja da wir grad das Pingback bekommen haben schreib ich dann auch nochmal!

    übern ccc-verteiler oder so ging die mail dass man leute zum veröffentlichen braucht – dafür sind wir da dacht ich, nach kurzer absprache mit anderen haben wirs dann angeboten.
    zuerst hieß es ja klar. dann bitte wieder in entwurf status – wobei ich die hier aufgeführten gründe ebenfalls komisch fand, denn wie sollte man das schließen von sicherheitslücken (edel edel) denn anders erreichen als durch veröffentlichung, egal wo?! das abzielen auf große medien muss doch keiner abstreiten und ich denke es ist vollkommen legitim gewesen, wir haben das gerne mitgemacht und sind auch ein bisschen stolz da ‘mitdran gewesen’ zu sein :) am ende hieß es dann nämlich wieder jetzt wärs ok und dann haben wirs veröffentlicht.

    soweit von meiner seite,
    ob jetzt aus Ruhm Rache oder sonstwas, ihr könnt da ruhig zu stehen find ich, ruhm und ehre sind was anderes – aber ich sag mal positiver nebeneffekt – wir können jetzt datenschutz-workshops an schulen geben ;)

    gruß von den piraten!
    danke fürs pingback aj und cj
    nepo

  3. Anonym sagt:

    So ähnlich dachte ich mir das nach dem Lesen des Eintrags auch. Große Zahlen, die an die große Öffentlichkeit geraten, verursachen großen Druck bei den Betreibern. Man kann ja schon wieder beobachten, wie entweder durch PR seitens xVZ oder durch Unfähigkeit anderer Medien drei oder mehr Personen zu einer kriminellen (und obendrein saudämlichen) vermengt werden. Dadurch wird der Fall wieder runtergespielt, nach dem Motto “War ein Krimineller, vor denen sind wir eh nie sicher. Also alles halb so wild.” Das hatten wir schon vor ein paar Jahren, dass xVZ nichts tat außer groß Theater machen. Still leise heimlich eine Änderung herbeizuführen scheint unmöglich zu sein, da die Sicherheitslücken, obwohl xVZ mitgeteilt, noch mindestens wochenlang offenblieben. Da hilft auch eine Doku nix.

    Mal schauen, ob der verursachte Druck ausreicht oder ob da wirklich einer aufgedeckt werden muss, der xVZ kommerziell mit Programmen “crawlt”, und nicht nur, um Lücken aufzudecken…

    PS: Ich weiß nicht, wie der/die Betreiber dieses Blogs es mit dem Veröffentlichen von Kommentaren haben. Aber wenn er wegen der falschen eMail-Adresse nicht durchkommt: Nehmt den Inhalt dieses Kommentars wenigstens zur Kenntnis. Danke :)

  4. C.J. sagt:

    Hintergründe und mögliche Motive trotz Kenntnis zu verschweigen ist einer der Vorwürfe, die gerade Blogs gerne den klassischen Medien machen. Doch kann man auf die klassischen Medien schimpfen, wenn man sie bei einseitig, ungenügend oder schlecht recherchierten Berichterstattungen erwischt, wenn man selber nicht bereit ist, auch die Historie und die Motive von “anonymen Quellen” zu hinterfragen und gegebenenfalls darüber zu schreiben?

    Natürlich hat jeder Leser das Recht, sich auf einen Aspekt zu konzentrieren und solche Berichterstattungen dann für sich für gut zu heißen.
    Doch das geht nur, wenn man als Leser auch mit möglichst umfassenden Informationen auch über mögliche Motive von Quellen versorgt wird.
    Genau das ist unsere Motivation für diesem Beitrag. Ein wenig Licht auf mögliche Hintergründe zu werfen und diese kritisch zu hinterfragen.

    Was die Leser daraus machen, ist ihnen selbst überlassen.

    @Quelle: Danke für das ausführliche und umfangreiche Statement.
    Wir haben uns noch viel mehr Gedanken zu dem Thema gemacht. Auch zu den Risiken, die Ihr mit der von Euch gewählten Vorgehensweise unserer Meinung nach eingegangen seid. Da wir keine schlafenden Hunde wecken möchten, sind wir darauf gar nicht mehr näher eingegangen.

    @nepo: Thx für die Infos. Das Pingen macht WP von selbst ;-)

    @Anonym: Es gibt diverse Gründe, warum ein Kommentar “versehentlich” vom Spamfilter geschluckt wird. Der Wunsch nach Anonymität von Kommentatoren gehört jedoch sicherlich nicht dazu – Ebenso wenig Kritik an unseren Beiträgen.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

; -) :wink: :urlaub :twisted: :schnarch :rot :roll: :rip: :pennt :nanana :mrgreen: :mauer :lol: :kotz :idea: :evil: :cry: :banane :arrow: :D :?: :109 :-| :-x :-o :-P :-D :-? :) :( :!: 8-O 8)