crawler – Der Blog von DOMINIK RATZINGER

Chatprotokolle zwischen SchülerVZ-Team und "Hacker" aufgetaucht.

Veröffentlicht am 7. November 2009 von Ratzinger

SchülerVZ hatte behauptet, von dem Hacker der sich kürzlich im Gefängnis umgebracht hatte, erpresst worden zu sein. Dies scheint nun, aufgrund eines aufgetauchten Chatprotokolls widerlegt zu sein, auch wenn die VZ-Verwaltung noch immer an den Erpressungsvorwürfen festhält.

Laut einem Bericht von Spiegel online, hatte der Täter „L.“, der in der Szene als „Exit“ bekannt gewesen sein soll, tagelang Verhandlungen mit den VZ-Betreibern geführt. Diese unter anderem auch per Onlinechat. Jodok B., der Technikchef der VZ-Gruppe hatte „Exit“ am 17. Oktober kontaktiert, nachdem ein Video auf Youtube veröffentlicht wurde, dass das Datensammlungs-Programm von „Exit“ bei der Arbeit zeigte. Laut Spiegel zeigt das Protokoll des Chat, dass der Firmenangestellte den jungen Hacker teils lockte, teils drohte – und dass die Firma selbst mehrfach das Thema Geld ansprach.

Laut Bericht schrieb er „du – und andere können bei uns rumhacken wie sie wollen. ich bezahl euch sogar gerne dafür!“ – unter einer Bedingung: „wenn ich jemanden dafür bezahle, möchte ich, dass das nicht public wird“. Auf die Frage, was L. mit dem Datensammeln erreichen wolle, antwortete der junge Mann: „gar nichts, das war’n just4fun projekt“.

Er entschied sich zur Kooperation mit SchülerVZ und fuhr nach Berlin. Die Taxirechnung in Höhe von 530 EUR bezahlte das Unternehmen.

Wie das Gespräch ablief, steht im Artikel von Spiegel Online.

SchülerVZ lügt und verheimlicht – und nennt das ganze noch "Klartext".

Veröffentlicht am 5. November 2009 von Ratzinger

Auf jeder Startseite von SchülerVZ erscheint momentan dieser Text – „Klartext“ genannt. Leider ist hier gar schuelervz_Logo nichts „klar“.

„Stell dir vor, du bist in der Schule und irgendjemand, den du nicht kennst, geht zu dir nach Hause und fotografiert dein Zimmer. Dieser Irgendjemand geht in den nächsten Tagen auch in die Zimmer deiner Freunde und macht Fotos. Als er genug Bilder gemacht hat, will er diese veröffentlichen, obwohl er das nicht darf und obwohl du das nicht willst.“

Was ist denn das für ein schlechter Vergleich? Weiter geht es mit

„Genauso erging es uns letzte Woche. Ein schülerVZ-Nutzer hat mithilfe eines „Crawlers“ illegal Inhalte aus euren Profilen kopiert.“

Eine Lüge. Illegal war das nicht. Gegen die AGB hat er vielleicht verstoßen – allerdings gegen kein Gesetz. Hätte der „Täter“ versucht, SchülerVZ zu erpressen: Das wäre illegal gewesen. Hat er aber vermutlich nicht (RatzO berichtete).

„Der Täter sitzt mittlerweile in Untersuchtung-Haft.“

Sehr aktuell. Das der Täter sich mittlerweile selbst umgebracht hat (RatzO berichtete), verheimtlich SchülerVZ vollkommen.

Die verunsicherten Schüler werden belogen, weiter verunsichert und es werden bewusst wichtige Details verheimlicht…

Dann sag ich halt auch was zur Datenpanne bei SchülerVZ.

Veröffentlicht am 20. Oktober 2009 von Ratzinger

Eigentlich wollte ich mich aus der Berichterstattung zu diesem Thema raushalten. Zu schön ist es, dass nun alle sauer auf SchülerVZ sind. Die waren mir in der Vergangenheit bei Anfragen sowieso zu arrogant. Ich war nicht der Meinung, dass es sich bei der Sache hier um einen Angriff handelte – daher kein Bericht.

Ein junger Herr, nein ‚tschuldigung ich korrigiere: Zwei junge Herren haben unabhängig voneinander (!) Daten der VZ-Gruppe „gestohlen“ oder auch „ausgespäht“. Der eine professioneller, der andere eher weniger.

Der professionellere Herr hat das ganze mit Hilfe eines „Crawler“ gemacht. Das ist ein selbstprogrammiertes Programm, dem es möglich ist, alle Daten automatisch runterzuladen. Bei dieser Attacke war SchülerVZ, MeinVZ und auch StudiVZ betroffen. Das Programm des jungen Herren war sowieso noch nicht ausgereift: Es nahm teilweise Profile doppelt auf. Er wollte auf eine Sicherheitslücke aufmerksam machen.

Wie der andere Herr an die Daten kam ist meines Wissens nach noch nicht 100%-ig bekannt. Es wird davon ausgegangen, dass er in einer Gruppe Daten von SchülerVZ (und zwar ausschließlich von dort) einzeln abgeschrieben haben soll.

Einer von beiden hat versucht, SchülerVZ zu erpressen und wollte 20.000 EUR Lösegeld (mittlerweile sind wir laut „Der Westen“ sogar bei 80.000 EUR). Was SchülerVZ aber immer wieder betont: Es wurden keine riskanten Daten gestohlen, sondern lediglich Name, Profilbild, Schule und eventuell Geburtsdatum und Wohnort. All diese Informationen hätte jeder abrufen können. Wer seine Informationen dort öffentlich reinstellt, der weiß doch, das jeder sie sehen „könnte“. Klar, die wollen natürlich auch ihren „Arsch“ retten. SchülerVZ sagt, ihnen lägen die Daten nicht vor, aber sie wissen unlogischerweise, dass es eh‘ nur unwichtige Daten waren…

Daher verstehe ich persönlich auch gar nicht das Problem. Ein Straftatbestand scheint hier nicht gegeben zu sein.

„Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“

Zwar laut AGB verboten, aber nicht laut Strafgesetzbuch. Ob das zu einer Verurteilung reichen wird?

Ich meine, die Leute haben ihre Daten selbst veröffentlicht und müssen nun auch die Konsequenzen tragen. Onlinediensten sollte man nie vertrauen. Beweist übrigens auch heute schon wieder Google Docs, die nicht freigegebene Dokumente teilweise doch freigaben (Quelle gelöscht).

Update: Das mit Google hat sich erledigt.

Sehr lustig auch folgendes Zitat von SchülerVZ: „Wir haben inzwischen noch mal mit dem Täter gesprochen und wir haben folgendes erfahren: Der Täter hat einen „Crawler“ geschrieben.“ und „Der Täter hat uns genaue Angaben dazu gemacht, welche Daten er gesammelt hat: […].“

Ist SchülerVZ nun selbst LKA geworden? Seit wann werden Ermittlungen von SchülerVZ selbst übernommen. Das ist doch quatsch.