In den VZ-Netzwerken gab es noch ein paar mehr Sicherheitsprobleme, als bisher bekannt sind. Das ist vor dem Hintergrund spannend, wie die VZ-Gruppe in den letzten Tagen kommuniziert hat: Da hieß es immer, es seien nur Daten gecrawlt worden, die innerhalb des Netzwerkes öffentlich zugänglich waren. Das stimmt so nicht ganz. Mit der richtigen Technik konnte man auch auf Daten zugreifen, die als “Privat” eingestellt waren, bzw. nur für Freunde zugänglich sein sollten. Wir haben uns mit einer Person in Berlin getroffen, der uns mehr dazu erzählt hat. Nennen wir ihn mal Lutz Harder. (Das ist übrigens nicht unsere erste Quelle.)

netzpolitik.org: Was genau hast Du heraus gefunden und wie bist du vorgegangen?

Lutz Harder: StudiVZ verwendet verschiedene Schutzmechanismen um seine Nutzer zu schützen, dazu gehören u.a. das Captcha-System und Einstellmöglichkeiten unter Privatsphäre. Dort kann der User Einstellungen vornehmen, um sensible Daten wie u.a. das Geburtsdatum für die Öffentlichkeit sperren. Ebenso können bestimmte Profilbereiche (Fotos, Freunde) explizit nur für den Freundeskreis freigeschaltet werden.

Das alte Captcha-System (bis Samstag) von StudiVZ verwendete eine Version mit verschiedenen Schriftarten, Farben und Größen. Aufgrund der fehlenden Variation der einzelnen Zeichen ließ sich das Captcha-System mit PHP (inkl. GD Lib),cURL, MySQL und SQLite aushebeln. Hierzu wird mittels PHP und cURL dem StudiVZ ein normaler User vorgegaukelt. Die Captcha-Grafik wird heruntergeladen, auf dem Server gespeichert, in seine einzelnen Buchstaben zerlegt und diese mit einer vorher erstellten Zeichendatenbank abgeglichen. Das Zerlegen und erkennen des Captchas dauert ungefähr 1 Sekunde bei optimierten Algorithmen. Die Gesamterkennungsquote lag durchschnittlich bei 70%.

Um nun bei StudiVZ genügend Profile crawlen zu können, benötigt man die gehashten User-IDs der Nutzer. Um an diese zu kommen gibt es verschiedene Möglichkeiten:

1. Über die Freundeslisten der User.

2. Über die Gruppen im StudiVZ: Diese Variante lässt sich sogar ohne einen Captcha-Knacker nutzen, weil das Captcha-System nicht bei Ajax-Funktionen in den VZ-Netzwerken greift.

3. Über die implementierten Suchfunktionen im StudiVZ. Hier existierten bis gestern Abend eklatante Sicherheitslücken, die meiner Meinung nach gegen die Datenschutzvorschriften verstießen.

Es war möglich über die vorhandenen Sucheinstellungen (Alter, Universität, Beziehungsstatus…) Rückschlüsse auf für die Öffentlichkeit gesperrte Nutzerdaten zu ziehen. Das heißt, es hat jemand bei StudiVZ sein Geburtsdatum angegeben, es aber nur für Freunde freigeschaltet, so konnte man dennoch über die Supersuche im StudiVZ herausbekommen. Unter gewissen Umständen war es nötig die Suche manuell auf Geburtstag und Geburtsmonat zu beschränken und danach eine Suche nur über das Alter zu starten, womit sich das korrekte Geburtsdatum dann errechnen ließ. So konnte man sich eine ausführliche Datensammlung von VZ-Nutzern mit sehr viele persönlichen Daten anlegen, die eigentlich nur für Freunde sichtbar sein sollten.

Natürlich habe ich das nur zu Testzwecken ausprobiert, um die Sicherheitslücke zu identifizieren. Alle gespeicherten Daten wurden unverzüglich nach dem Testlauf gelöscht.

netzpolitik.org: War das nur bei StudiVZ möglich oder auch bei SchülerVZ?

Lutz Harder: StudiVZ, MeinVZ und SchülerVZ beruhen auf der selben Plattform. Ich konnte mein Programm erfolgreich bei allen VZ-Netzwerken testen. Die Unterschiede in den Systemen waren marginal, es mussten lediglich einzelne URLs angepasst werden.

netzpolitik.org: Gab es irgendwelche Hürden von Seiten von VZ?

Lutz Harder: Um das maschinelle Auslesen von Nutzerdaten zu verhindern, gibt es neben dem Captcha-System die Möglichkeit die Anzahl der maximalen und zeitgleichen Zugriffe je Nutzer oder IP zu begrenzen. Diese bzw. ähnliche Sicherheitsmechanismen hat die VZ-Gruppe nur beim “Gruscheln” und im internen Mailsystem implementiert. Bekannte Meldungen aus dem VZ-Netzwerk sind “Massennachricht erkannt…” oder “Du hast in letzter Zeit zuviel gegruschelt..”. Bei normalen Profilaufrufen gab es keine Beschränkung.

netzpolitik.org: Welcher Aufwand war nötig, so ein Programm zu entwickeln?

Lutz Harder: Um automatisiert die Captchas zu lösen, war ungefähr ein Entwicklungsaufwand von 15 Stunden notwendig inkl. erstellen einer einfach Zeichendatenbank, welches sich selbständig erweiterte. Da StudiVZ öfters kleine Änderungen am System vornahm, musste das Crawling-Programm ständig angepasst werden, so dass der komplette Zeitaufwand sich schwer abschätzen lässt. Die Anpassungsarbeiten war aber der kleinere Teil des Zeitaufwandes. Somit lässt es den Schluss zu, das im gesamten VZ-Netzwerk viele ähnliche Crawling-Bots unterwegs waren, wenn man bedenkt wie viele Programmierausschreibungen an Freelancer gerichtet wurden.

netzpolitik.org: Was hat man jetzt bei der VZ-Gruppe geändert?

Lutz Harder: Nach dem publik werden der “Sicherheitslücken” im VZ-Netzwerk, wurde das Captcha-System auf das sicherere reCaptcha System umgestellt, welches u.a. schon bei Facebook im Einsatz ist. Außerdem scheint es nun eine Limitierung der maximalen Zugriffe auf Profile zu geben (siehe Stellungnahme seitens VZ-Netzwerk).

netzpolitik.org: Was könnte man mit den gesammelten Daten anstellen?

Lutz Harder: Zum Beispiel lassen sich anhand von: Vorname, Nachname, Wohnort und Geburtsdatum Schufa-Abgleiche fälschen. Ebay nutzt dieses Verfahren um seine Nutzeraccounts zu validieren. Weiteres muss dazu nicht gesagt werden. Im Netzwerk selbst konnte man auch automatisiert Nutzer belästigen, in dem man unbegrenzt und wiederholt Freundschaftseinladungen an fremde Profile verschickte. Auch das wiederholte Besuchen von Profilen empfanden viele Nutzer als Belästigung. Sie fühlten sich teilweise von einem Stalker verfolgt.

Quelle: netzpolitik.org

Okt 20th, 2009 @ 19:05

Nach der am Freitag bekanntgewordenen Datenpanne beim Online-Netzwerk schülerVZ haben die Betreiber am Samstag mitgeteilt, den Täter inzwischen identifiziert und mit ihm Kontakt aufgenommen zu haben.

Demnach soll der Täter gegenüber den Betreibern der VZ-Netzwerke (schülerVZ, studiVZ, meinVZ) erklärt haben, dass er die Daten weiteren Personen zur Verfügung gestellt habe. Namen wolle der Täter nicht nennen, jedoch sei er bemüht, die Personen dazu zu motivieren, die Daten zu löschen.

Die deutsche Bürgerrechtsplattform Netzpolitik.org gab am Freitag bekannt, dass ihr "mehr als eine Million Datensätze" von schülerVZ-Nutzern zugespielt worden seien. SchülerVZ ist ein Spin-off des Sozialen Netzwerks studiVZ, beide Sites gehören zum deutschen Medienkonzern Holtzbrinck. Die VZ-Netzwerke-Betreiber betonten allerdings, dass es sich ausschließlich um Daten handle, die für alle Nutzer einsehbar seien. Private Daten wie Adressen, Telefonnummern und Passwörter seien nicht betroffen.

Datenerfassung umstritten

Umstritten ist nach wie vor, wie die Daten ausgelesen wurden. Die schülerVZ-Betreiber erklären in ihrem Blog, dass es sich um einen registrierten Nutzer bei schülerVZ handle, der die Profile der anderen Nutzer händisch aufgerufen, kopiert und gesammelt habe. Netzpolitik.org-Autor Markus Beckedahl betont in seinem Blog jedoch, dass er ein automatisiertes Auslesen der Datensätze über die öffentliche Suche vermutet.

Zudem gibt es Unklarheiten über den "Informanten". SchülerVZ ist der Meinung, dass es sich bei der Quelle von netzpolitik.org nicht um den tatsächlichen Verursacher, sondern um einen "Trittbrettfahrer" handle, der lediglich Zugang zu den Daten des eigentlichen Täters hatte.

Zweiter Fall

Beckedahl vermutet hingegen, dass es sich um unterschiedliche Quellen handelt. Der Netzpolitik.org-Autor meint, dass mehrere Datensätze im Umlauf seien und spricht von einem "zweiten Fall". Darüber hinaus seien dem Autor weitere Hinweise auf bedenkliche Sicherheitslücken bei schülerVZ zugespielt worden.

Quelle: futurezone.at

In einem Blog befand sich folgenden Text

Vor einiger Zeit hatte ich ja schonmal was über meinen StudiVZ / SchülerVZ Crawler geschrieben. Tjo, vor 2 Tagen hab ich mich entschlossen in einer Community die komplette Datenbank vom Bot (SchülerVZ) zum Download bereitzustellen. Und was muss ich heute auf Zeit Online/golem.de lesen? >*klick* *klick*

> YoutubeVideo von dem Crawler
> Alter Blogpost von mir

Read more..

Ich bin mal gespannt, wie die Sache ausgeht. Wer die DB auch immer an den Netzpolitik Blog weitergegeben hat, “danke” dafür.. gerade da ich diese im “Level-2″ Bereich der besagten Community gepostet habe – und das nicht umsonst.

Noch eine Frage am Ende die ich mir wohl stellen sollte: Bin ich ein “Hacker” weil ich über ein Script Daten sammle?

Update: Ich hab natürlich immer noch mehrere SchülerVZ Accounts. Was ich da jedoch gerade lesen musste dreht mir den Magen um (Originalzitat):

Die Daten, die ein schülerVZ-Nutzer illegal und entgegen der VZ-AGB kopiert hat, sind wieder in Sicherheit.

Update2: Nach einem längerem ICQ Gespräch mit dem VZ sowie einigen telefonaten hat sich herausgestellt das es sich bei den Daten die ich gepostet habe _nicht_ um die Daten die dem netzpolitik.org Blog vorgelegen haben gehandelt hat.

Es sind also zz. zwei Datenbanken im Umlauf – die von mir ist jedoch um einiges “ausführlicher”. Hier stehen zusätzlich die Hobbys, die Lieblingsmusik, Lieblingsfilme etc. drin. Darüber hinaus handelt es sich um Datenbanken aus allen drei Portalen – wobei nur die aus dem SchülerVZ public war – und genau von dieser Datenbank dürften im Internet noch einige Kopien rumfliegen da diese von meinem Server 17x heruntergeladen wurde.

Das VZ hat gestern Abend noch einen Kurier bei mir vorbeigeschickt der die Daten auf einem USB Stick mitgenommen hat. Wenn einer von euch eine Downloadurl zu den Daten findet bitte mal als Kommentar posten (den Schalte ich dann nicht frei) oder mir per E-Mail bescheid sagen.

Direktlink zum Artikel hier klicken

Ebenfalls witzig ist dieser Artikel

Ich bin gerade dabei mit einem Bot das gesammte VZ (StudiVZ, MeinVZ) zu crawlen und alle Profildaten und Bilder abzuspeichern. Entwickelt habe ich den Bot eben mal in PHP, JS und AJAX. Darüber hinaus werden mit PHP verschiedene Shell Scripte aufgerufen.

In nur knapp 4 Stunden Crawlen hat der Bot bereits __über__ 48000 Profile besucht und die Daten gespeichert. Es haben sich bereits knapp 3,8GB! an Profilbildern angehäuft

Leider ist der Bot noch etwas verbuggt und ruft Profile noch doppelt auf – das ist durchaus ein Problem..
Eine Datenbank wo pro Sekunde über 300 ProfilIDs reinflattern nach bereits vorhandenen IDs zu durchsuchen vor dem reinschreiben ist extrem Speicher- und CPUlastig. Mal schauen ob mir hierfür noch eine Lösung einfällt.

Das Prinzip vom Bot ist releativ einfach erklärt:
Gestartet wird mit einem Hauptprofil. In diesem Hauptprofil durchsucht der Bot die Freundesliste und speichert alle ProfilIDs der Freunde ab. Dann besucht er wiederrum die Profile der Freunde und macht hier wieder das selbe. Mal schauen wieviele Profile ich zusammen bekomme bis das Bot Profil im sVZ gesperrt wird.

Gespeichert werden folgende Daten:
Profilbild, Vor und Nachname, Geschlecht, Beziehungstatus, ProfilID, GebDatum, Wohnort bzw. Uni, mit welchen Freunden der Benutzer verknüpft ist sowie weitere Daten..

Ach, und die Captchas die hin und wieder mal abgefragt werden crackt der Bot auch alleine – die sind eh sehr sehr einfach auszulesen

Edit:
Da mich releativ viele anschreiben und wissen möchten ob der Bot zu verkaufen ist: Nein ist er zz. noch nicht. Später vll. mal wenn ich ihn komplett fertig habe.

Zu den vielen Anfragen wie das ganze genau abläuft:
PHP spielt dem StudiVZ vor, es sei ein ganz normaler Browser (Opera). So, wenn jetzt ein Profil aufgerufen wird lass ich als erstes über wget (Linux Shell Command) die komplette Seite gerendert auf meinem Server abspeichern unter der BenutzerID. Jetzt kommt wieder PHP zum Einsatz. Ich hab mir verschiedene Punkte gesetzt wo PHP anfangen soll einen Teil rauszucutten und wo aufhören. Alles, was zwischen diesen Punkten ist wird abgespeichert. Natürlich kommen pro Profil mehrere solcher Punkte zum Einsatz. Beispiel:

<dt>Name:</dt><dd>
Max Mustermann
</dd><dt>Verzeichnis:</dt>

Den oberen und unteren Code suche ich im Dokument. Alles was dazwischen steht ist natürlich der Name der Person.

Direktlink zum 2ten Artikel

neben dem Youtube Video steht ausserdem folgender Text 

*Klick*

22. Mai 2009

Quellen:

http://futurezone.orf.at/stories/1629631/ 

http://3x1t-de.eva.3x1t.net/?p=462

http://3x1t-de.eva.3x1t.net/?p=200

Die deutsche Piratenpartei konnte bei ihrem ersten Auftreten bei einer Bundestagswahl beachtliche zwei Prozent der Zweitstimmen holen. In einem Gastkommentar für ORF.at analysiert der deutsche Politikwissenschaftler Christoph Bieber das Ergebnis. Starker Online-Wahlkampf, die Schwäche der etablierten Linken auf dem Gebiet der Netzpolitik sowie die Erosion der Volksparteien gaben den Piraten demnach Rückenwind.

Die neue Struktur des Parteienwettbewerbs gilt als eines der wesentlichen Resultate der Bundestagswahl vom 27. September 2009. Gemeint sind damit meist die Festigung des Fünfparteiensystems sowie das schlechte Abschneiden der einstmals großen Volksparteien. Doch auch unterhalb der Fünfprozenthürde ist Bewegung ins Parteiengefüge der BRD gekommen: mit 2,0 Prozent - das sind rund 880.000 Wähler - ist die Piratenpartei die größte unter den kleinen Parteien und nun endgültig auf dem politischen Radarschirm aufgetaucht.

Das sieht zunächst nicht wie ein überwältigender Erfolg aus, denn von den magischen fünf Prozent, die ihr den Einzug in den Bundestag erlauben würden, ist die thematisch auf "digitale Bürgerrechte" fokussierte Partei noch sehr weit entfernt – allerdings ist das Tempo der Parteienentwicklung mehr als erstaunlich. Noch zu Jahresbeginn hatte die deutsche Piratenpartei nicht einmal 1.000 Mitglieder. Die seit Anfang 2009 tobende öffentliche Debatte über die Einführung von "Netzsperren" führte zum sprunghaften Anstieg der Mitgliederzahlen – allein über das Wahlwochenende kamen etwa 350 Anmeldungen hinzu.

Wendepunkt Internet-Sperrgesetz

Im Rückblick waren zwei Ereignisse dabei von besonderer Bedeutung: die äußerst populäre und von 134.000 Menschen unterzeichnete Online-Petition gegen das "Zugangserschwerungsgesetz" im Mai und der zugehörige Bundestagsbeschluss vom 18. Juni. Die Auseinandersetzung um das mit den Stimmen der Regierung beschlossene Paket verschaffte den Gegnern erhebliche Aufmerksamkeit und sorgte für massiven Zulauf bei der Piratenpartei. Erst dadurch gelang es, die Zulassung zur Bundestagswahl sicherzustellen – am 31. Juli. Im Wahlkampf befanden sich die Piraten demnach gerade einmal zwei Monate. Eine immense Herausforderung, zumal gleich zwei Aufgaben zu lösen waren: die Organisation des Wahlkampfs und der Aufbau einer rasch wachsenden Parteistruktur.

Vor diesem Hintergrund ist das Wahlergebnis also durchaus als Erfolg zu werten, zumal außerdem nur ein schmaler Etat für die Durchführung eines klassischen "Offline-Wahlkampfs" zur Verfügung stand – das wird sich künftig ändern, denn die insgesamt 845.904 Wählerstimmen sichern einen nicht unerheblichen Anspruch auf staatliche Mittel zur Parteienfinanzierung.

Einschnitte bei den Grünen

Doch wie ist das Resultat näher zu bewerten, und was bedeutet der Ausgang der Bundestagswahl für die weiteren Perspektiven der Piratenpartei?

Zunächst einmal scheinen die Gewinne der Piraten ein besseres Resultat der Grünen verhindert zu haben – die Hochburgen der Piraten liegen über das ganze Land verteilt in Hochschulstädten, einem klassischen Stimmenreservoir auch der grünen Konkurrenz. Die Auswertung der Resultate ist in noch vollem Gange und von außen sehr gut nachvollziehbar, denn das Piraten-Wiki dokumentiert minutiös die Wahlergebnisse und hebt ein besonders "piratiges" Abschneiden hervor.

Die Darstellung der Ergebnisse im Piraten-Wiki schlüsselt nicht nur die Resultate nach Bundesländern auf, sondern kommentiert besonders gute und schlechte Teilergebnisse. So muss sich der strategisch wichtige Landesverband Nordrhein-Westfalen die Zeile "#fail :( warum?“ gefallen lassen – mit 1.7% blieben die Piraten dort deutlich unter dem Bundesschnitt.

Wahlkampf als Rollenspiel

Hier wird nochmals die auf gegenseitige Motivation und internen Konkurrenzkampf angelegte Organisations- und Kommunikationskultur der Piratenpartei deutlich: bisweilen ähnelte die "Mission Bundestagswahl" einem Rollenspiel, das in eine Folge von Teilaufgaben zerlegt war: Europawahl, Zulassung zur Bundestagswahl, Übernahme der Mehrheiten in den Sozialen Netzwerken, Mitgliederwerbung. Das vorerst letzte "Quest" war eben die Bundestagswahl am Sonntag.

Unmittelbar nach der Bundestagswahl beginnt nun schon die Ausrichtung auf die Landtagswahl in Nordrhein-Westfalen im kommenden Mai. In inhaltlicher Perspektive dürfte es nicht schwierig werden, sich auch weiterhin öffentlichkeitswirksam in die "Netzpolitik" der Bundestagsparteien einzumischen. Es ist nicht davon auszugehen, dass in der schwarz-gelben Regierung die Debatte um digitale Bürgerrechte prominent auf der Agenda platziert wird, außerdem waren CDU/CSU und FDP bei der wichtigen Abstimmung zum Zugangserschwerungsgesetz gespalten: die Christdemokraten hatten das Gesetz nahezu vollständig unterstützt, die Liberalen stimmten mehrheitlich dagegen.

SPD und Grüne: Netzpolitische Strategie fehlt

Auch die drei übrigen im Parlament vertretenen Parteien haben viele Onliner nicht wirklich überzeugen können – die SPD hat ihren Kredit durch die Zustimmung zum Gesetz im Juni weitgehend verspielt, für die Linkspartei ist Netzpolitik nur ein Randthema und auch die Grünen haben im Jahresverlauf keine eindeutige und überzeugende Position in dieser Frage bezogen.

Dennoch dürften sich in Zukunft vor allem die Grünen und die Piratenpartei einen Streit um die positive "Besetzung" des Themas liefern – hier könnte den Piraten zumindest kurzfristig die programmatische Fokussierung auf digitale Bürgerrechte zugute kommen, denn die Grünen müssen sich wesentlich breiter positionieren, um ihre Bereitschaft zur Mitwirkung in verschiedenen Koalitionskonstellationen zu zeigen – genau deshalb dürfte dieses Thema aber keinen allzu breiten Raum einnehmen.

Themen- vs. Volkspartei

Kurzfristig scheint die Ausweitung des Parteiprogramms für die Piratenpartei daher nicht zwingend geboten – allerdings müssen die Piraten noch stärker als bisher auf die Besonderheit ihres Themenfeldes aufmerksam machen. Die Skizzierung eines "Superministeriums" für die Wissens- und Informationsgesellschaft weist schon in diese Richtung – das Politikfeld bietet zahlreiche Schnittflächen mit Bereichen wie Bildungspolitik (Medienkompetenz), Technologiepolitik (Softwarepatente, IT-Branche) oder auch Sozialpolitik (digitale Spaltung). Mit Blick auf den aktuell zu beobachtenden Verfall des Typs der Volkspartei scheint die schnelle Entwicklung eines breit gefächterten Thementableaus nicht unbedingt ratsam – das deutsche Parteiensystem bietet durchaus Raum für Nischen, vor allem für solche mit Zukunftsperspektiven.

Insgesamt scheinen die Aussichten für die Piratenpartei mit Blick auf das Wahljahr 2010 eher günstig zu sein. Allerdings birgt die rasante Entwicklung auch Gefahren, denn wer sich so schnell in der politischen Landschaft etablieren kann, der möchte sich auch schnell weiter entwickeln. Und sollte in Nordrhein-Westfalen, das im Ergebnisvergleich bei der Bundestagswahl fast schon wie ein kleiner Problemfall wirkt, kein Ergebnis auch nur in der Nähe der 5%-Hürde eingefahren werden, dann besteht die Möglichkeit einer ersten Krise – denkbar sind etwa Abwerbungsversuche anderer Parteien, die engagierten Neu-Politikern Gestaltungsspielräume im parlamentarischen Raum anbieten könnten.

Doch zunächst einmal wird sich die Piratenpartei einer ausgiebigen Analyse der Bundestagswahl widmen, die eigenen Organisationsstrukturen konsolidieren und sich dann auf das nächste Level konzentrieren: den Wahlkampf in Nordrhein-Westfalen, bei dem der zuständige Landesverband massive Unterstützung auch aus anderen Bundesländern erhalten wird. Dabei dürften aus den Online-Aktivitäten der Partei wieder einige neue Impulse den Weg in die Offline-Welt finden und die politische Landschaft in Deutschland weiter verändern.