Oh Gnade! Kaum bin ich mal ein paar Stunden ohne Internet und schaue dann wieder rein, schon fängt das heitere Datenschleudern wieder an. Besteht die Welt denn nur noch aus gleichgültigen Stümpern, wenns um Programmierung geht? Einfach so eine Nummer erhöhen, und man kommt an jede Rechnung dran, das kann es doch nicht sein. Und die wollen auch noch IT-Dienstleistungen verkaufen? Unfassbar!
Schlagwort Datenschutz RSS
-
Nachtwächter
-
Nachtwächter
Schnell an die ARGE abschicken! Antrag auf Löschung meiner bereits erhobenen, aber nicht erforderlichen Daten.
-
Nachtwächter
Der Mensch, der über eine Lücke im SchülerVZ massenhaft Daten abgreifen konnte, hat sich heute zum Freitod entschlossen. Und diese VZ-Dinger werden auch weiterhin die reinsten Datenschleudern bleiben und sich einen Dreck um Datenschutz kümmern, denn alle diese Sicherheitsprobleme bei den Vauzetten sind wahrlich nichts Neues. Nun, es sind ja nicht meine Daten…
-
Nachtwächter
So etwas kann man sich gar nicht mehr ausdenken! Libri.de hatten wir ja gerade erst, weil die mal eben sämtliche Rechnungen aller Geschäftsvorgänge offen in das Internet gestellt hatten, natürlich mit Anschrift, bestellten Büchern etc. Aber was die da an Failware für ihr Geschäft benutzen, scheint noch ein paar weitere sperrangelweit offene Scheunentore zu haben. Wer dort einen Account als Händler hatte, der bekam eine Nummer und ein initiales Passwort. Und dieses Passwort war für alle Händler gleich, und die Nummern wurden fortlaufend vergeben. Natürlich ändert nicht jeder ein Passwort, das ihm zugeteilt wird – das ist nun einmal der alltägliche Irrsinn im Datenschutz. Um mal zu schauen, wie das Geschäft des Mitbewerbes so läuft und wer dort alles so bestellt und was er bestellt, musste einfach nur eine andere Nummer mit dem gleichen Passwort ausprobiert werden. Jedes verkackte, quelloffene Blog hat einen Mechanismus, zufällige Passwörter bei einer Anmeldung zu generieren, aber zum schlichten Abschreiben dieses Codes waren die Programmierer dieser Schrottware offenbar nicht imstande. Wahrscheinlich haben die gar keinen Sinn darin gesehen, über so etwas auch nur nachzudenken. Wenn mich jemand fragt, sollten diese tollen Programmierer einfach geteert und gefedert werden, und die Leute vom TÜV, die so einen datenschutzmäßigen Schrotthaufen als einen »vertrauenswürdigen Shop« zertifizieren, gleich hinterher. Natürlich hat Libris.de auch reagiert. Die haben die bekannt gewordenen Löcher einfach gestopft und verlautbart, dass die Leute von Netzpolitik ganz pöse pöse Häcker seien, die sich illegal und durch systematisches Raten Zugang verschafft hätten. Ein einfacher Fail reicht eben nicht, es muss ja unbedingt »Epic« werden…
(Mir scheint, die für die Kommunikation zuständigen Menschen dort sind genau so »kompetent« wie die Programmierer der tollen Software.)
Wer noch einmal auf die Idee kommt, dass man irgendwo im Internet irgendjemandem so vertrauen könne, dass man dort so persönliche Daten wie eine Anschrift oder so missbrauchbare Daten wie eine Kreditkartennummer oder die (richtige, für persönliche Kommunikation verwendete) Mailadresse eingibt, der sollte übers Knie gelegt werden. Auf den Kopf schlagen hilft wohl nicht mehr. Leute, seid bitte nicht mehr so schafdoof und gebt eure Daten so freizügig raus – wenn man sparen muss, wird beinahe immer und überall an der Qualität der Software für den Webauftritt gespart. Ich habe von einigen Jahren selbst erlebt, wie ein unbetreuter und sehr billiger Azubi einen kompletten Shop geschrieben hat, der einem sehr großen Unternehmen als »aufwändig erstellte Qualitätssoftware« verscherbelt wurde – mein Auftritt war es dann, darin unter Zeitdruck (die Kaufleute hatten das Strokelding tatsächlich schon verkauft) mehrere Dutzend sehr böse Bugs zu fixen, und glaube mal niemand, dass der arme Azubi mal in dem tollen Unternehmen (nein, ich werde keine Namen nennen, habe so etwas aber mehr als einmal erlebt) von irgendjemanden irgendetwas davon gehört hat, in welcher Weise eine Website angegriffen werden kann und auch angegriffen wird – jeder Rechner mit permanenter Internetverbindung ist nun mal ein Opferrechner. Der wurde einfach nur dreieinhalb Jahre als billige und willige Arbeitskraft missbraucht und konnte sehen, wo er sich nebenbei noch seine Kenntnisse herholt und wie er durch die IHK-Prüfung kommt. Je weniger die Menschen davon wissen, wie Software und Würstchen gemacht werden, desto ruhiger pennen sie. Nicht nur in der Nacht, auch am hellichten Tage.
-
Nachtwächter
Und noch einmal so richtig herzhaft kotzen, wenn man liest, wie die Bundesagentur für Körper und billige Elendsmaloche mit den Daten der Hartz-Opfer – besser »Opfer von Schröder und Fischer und SPD und Grüne«, der Hartz konnte ja keine Gesetze machen und soll mit seinem Namen nur von der Verantwortung ablenken – umgeht: »Auch eine junge Frau war schockiert, als ihr neuer Freund sie auf manches Geheimnis ansprach. Dieser hatte über sie in den Datenbeständen der Bundesagentur recherchiert und wusste bestens Bescheid über ihre Einkommens- und Familiensituation, Schul- und Berufsausbildung, mögliche Erkrankungen und Vorstrafen.« – wie man an solche Daten rankommt, die jeden Erpresser, Adresshändler und Stalker brennend interessieren? Na, ganz einfach. Man meldet sich als Arbeitgeber an, das wird auch gar nicht erst überprüft, und schon hat man seinen Zugang Und selbst, wenn man keinen einzigen Job anbieten kann, hat man umfassende Einblicke. Eine tolle Idee ist das! Und Mitarbeiter der Bundeskörperagentur können sowieso unbegrenzt zugreifen, ja, unbegrenzt auf jede einzelne Person in der BRD. Da weiß man als Bittsteller vor der staatlichen Gewalt, dass man in guten Händen ist.
-
Nachtwächter
Und hier zum schnellen, persönlichen Anpassen der Brief des Tages für alle, die ein Konto bei der Postbank haben: Liebe Postbank…
Ach ja, es bezieht sich darauf, dass die Postbank freien Mitarbeitern Zugriff auf die Kontobewegungen ihrer Kunden gewährt, damit diese ihnen besser irgendwelche Anlageprodukte unterjubeln können. Und wenn jemand der Weitergabe seiner Daten widersprochen hat, ist das der Postbank auch egal. Diese nicht zur Postbank gehörenen Typen konnten da einfach so reinschauen.
-
Nachtwächter
Holla, jetzt ist auch endlich raus, über welche Mechanismen neulich tonnenweise Profildaten beim SchülerVZ ausgelesen werden konnten. Der Bericht ist die reinste Freude, und ich kann nur hoffen, dass die gröbsten Lücken gefixt sind.
Automatisches Auslesen unter Umgehung der ach so sicheren Captcha ist kein Problem gewesen, wenn man einfach die Suchfunktion genutzt hat. Immerhin wurden so in ein paar Stündchen eine gute Million Datensätze ermittelt, immer schön Name, Schule, Alter, Foto, Geschlecht und was sonst noch über das Profil abrufbar war (auch mal so etwas wie politische Einstellungen). Ein Paradies für Leute, die solche Daten gern haben.
Bilder löschen möchte man ja manchmal, weil man zum Beispiel mit 19 einsieht, dass sich der total versoffene Abend mit 16 in übermütiger Pose vor dem Che-Guevara-Bild nicht so gut macht, wenn man sich um einen Job bei einem normalen, in Konservativität erstickenden deutschen Unternehmen bewirbt. Kann man ja auch, nur, diese Profilbilder waren dann eben nicht weg, sondern blieben auf dem Server liegen. Sicher, da wurde ein etwas anderer Text zum »Datenschutz« geschrieben, aber solange das niemand bemerkt, kann man ja auch ruhig mal
eine Lügeeinen anderen Text schreiben. Damit auch die Misstrauischen Vertrauen schöpfen.Auf einem Bild erkannt, das da irgendjemand hochgeladen hat? Arschkarte! Selbst, wenn man eine deutliche Mail formulierte, wurde das Bild nicht gelöscht. Gründe gab es dafür zuhauf. Aber man konnte ja die »Melden-Funktion« verwenden. Dafür muss man zwar angemeldet sein und folglich gemäß den Nutzungsbedingungen jünger als 21 Jahre sein, aber das reicht doch als Verweis! Dass man da so einen Link hinschickt, reicht hingegen nicht.
Und zu guter Letzt waren da so lustige Zeichenketten in einem Formular, die nach Sicherheit aussahen, aber nur zur Zierde drinstanden – denn das automatische Erstellen irgendwelcher Einträge ist kein Problem, diese Werte bleiben für längere Zeit gültig. Ideal für Menschen, die mal eben Reklame pushen wollen. Oder auch einfach nur den Text »Elias ist ein schwuler Kinderficker«. Und mit einem bisschen mehr krimineller Bastelei ließ sich noch viel mehr anstellen, zum Beispiel das Bearbeiten von Profilen oder das Auslesen von Mailadressen oder…
Nicht, dass solche Lücken jetzt besonders schwer wären, ich tippe darauf, dass sich vergleichbare Lücken in fast jeder dieser Web-Zwo-Null-Dinger finden ließen, die schon das »beta« wie eine Auszeichnung mit sich herumtragen. Aber dass man den Betreiber eines solchen Portales mal über die Probleme unterrichtet und dass dann einfach nur nichts passiert, bis endlich Öffentlichkeit hergestellt wird und dann umso fröhlicher rumagiert wird (einschließlich einer rückverdummenden Presseerklärung), das ist schon eine kleine Anmerkung wert – und macht hoffentlich jedem klar, wie hoch die Priorität des Themas »Datenschutz« dort war und mutmaßlich auch noch ist. (Oder hatte das etwa irgendwelche Konsequenzen?) Und das – es könnte wohl auch für die anderen Vauzette aus der gleichen Hand zutreffen – ist durchaus auch etwas, was mal zum Nachdenken anreizen sollte. Vor allem, wenn man dort ein »Profil« hat.
-
Nachtwächter
Ach ja, apropos Sicherheit und Datenschutz: Truecrypt kann auch relativ einfach ausgetrickst werden, wenn das BIOS nicht durch ein Passwort geschützt ist. Es gibt eben keine bequeme Sicherheit in Informationssystemen, und wer einen wirklich sicheren Computer haben will, der trenne alle Kabel ab und schließe ihn in einem Tresor ein!
-
Nachtwächter
Na, und was hatten wir lange nicht mehr im deutschsprachigen Internet? Richtig, so ein klaffendes Datenleck bei einem dieser VZ-Dinger für Studis, Schüler oder schlicht alle. Diesmal hat es das SchülerVZ erwischt. Datenlecks bei diesen VZ-Dingern sind ja nichts Neues, aber das hält leider kaum einen davon ab, da jede Menge persönliches Zeug reinzuschreiben und sich auf die versprochene Sicherheit zu verlassen. Spammer und Kriminelle werden sich gewiss darüber freuen.
Nachtrag: Siehe auch, wie Fefe das Gefasel dieser VZ-Macher auseinandernimmt…
Noch ein Nachtrag: Golem berichtet nicht nur, dass ein Tatverdächtiger dingfest gemacht wurde, sondern auch, dass die anderen VZs auch betroffen seien. Der Brüller darin ist: »Wir versuchen mit allen Mitteln die Veröffentlichung dieser Daten zu verhindern« – da fragt man sich schon, was das denn für Mittel sein sollen. Beten die etwa darum?
-
Nachtwächter
Ach du Schreck!!!!!ELF! Das hätte doch niemand für möglich gehalten!!!1! Diese »Web To Zero«-Dinger sind so richtige Datenschleudern, die jede Menge Infos an die Reklameindustrie leaken lassen. Und die Werber können so richtig tolle Profile anlegen. Guhgells Dabbelklick hat ja noch nicht genug Daten, also geht fröhlich in diese Drecksseiten und legt euch da eure Profile an und sammelt
Briefmarken»Freunde«, ihr Zielgruppen, ihr! -
Nachtwächter
Schon mal darüber nachgedacht, was mit den ganzen Daten passieren könnte, die man in irgendwelche Bewerbungen reinschreibt? Nicht nur im Internet, auch auf Papier ist der Datenschutz nicht die Phrasen wert, mit denen die Menschen immer eingelullt werden – und die dumpfe Nachlässigkeit und die grobe Fahrlässigkeit lauern überall.
-
Nachtwächter
Hinweis des Tages für jeden, der noch eine Meldeadresse hat (also wohl die Mehrheit der Menschen in der BRD): Der Opt-out-Day.