Holla, jetzt ist auch endlich raus, über welche Mechanismen neulich tonnenweise Profildaten beim SchülerVZ ausgelesen werden konnten. Der Bericht ist die reinste Freude, und ich kann nur hoffen, dass die gröbsten Lücken gefixt sind.
Automatisches Auslesen unter Umgehung der ach so sicheren Captcha ist kein Problem gewesen, wenn man einfach die Suchfunktion genutzt hat. Immerhin wurden so in ein paar Stündchen eine gute Million Datensätze ermittelt, immer schön Name, Schule, Alter, Foto, Geschlecht und was sonst noch über das Profil abrufbar war (auch mal so etwas wie politische Einstellungen). Ein Paradies für Leute, die solche Daten gern haben.
Bilder löschen möchte man ja manchmal, weil man zum Beispiel mit 19 einsieht, dass sich der total versoffene Abend mit 16 in übermütiger Pose vor dem Che-Guevara-Bild nicht so gut macht, wenn man sich um einen Job bei einem normalen, in Konservativität erstickenden deutschen Unternehmen bewirbt. Kann man ja auch, nur, diese Profilbilder waren dann eben nicht weg, sondern blieben auf dem Server liegen. Sicher, da wurde ein etwas anderer Text zum »Datenschutz« geschrieben, aber solange das niemand bemerkt, kann man ja auch ruhig mal eine Lüge einen anderen Text schreiben. Damit auch die Misstrauischen Vertrauen schöpfen.
Auf einem Bild erkannt, das da irgendjemand hochgeladen hat? Arschkarte! Selbst, wenn man eine deutliche Mail formulierte, wurde das Bild nicht gelöscht. Gründe gab es dafür zuhauf. Aber man konnte ja die »Melden-Funktion« verwenden. Dafür muss man zwar angemeldet sein und folglich gemäß den Nutzungsbedingungen jünger als 21 Jahre sein, aber das reicht doch als Verweis! Dass man da so einen Link hinschickt, reicht hingegen nicht.
Und zu guter Letzt waren da so lustige Zeichenketten in einem Formular, die nach Sicherheit aussahen, aber nur zur Zierde drinstanden – denn das automatische Erstellen irgendwelcher Einträge ist kein Problem, diese Werte bleiben für längere Zeit gültig. Ideal für Menschen, die mal eben Reklame pushen wollen. Oder auch einfach nur den Text »Elias ist ein schwuler Kinderficker«. Und mit einem bisschen mehr krimineller Bastelei ließ sich noch viel mehr anstellen, zum Beispiel das Bearbeiten von Profilen oder das Auslesen von Mailadressen oder…
Nicht, dass solche Lücken jetzt besonders schwer wären, ich tippe darauf, dass sich vergleichbare Lücken in fast jeder dieser Web-Zwo-Null-Dinger finden ließen, die schon das »beta« wie eine Auszeichnung mit sich herumtragen. Aber dass man den Betreiber eines solchen Portales mal über die Probleme unterrichtet und dass dann einfach nur nichts passiert, bis endlich Öffentlichkeit hergestellt wird und dann umso fröhlicher rumagiert wird (einschließlich einer rückverdummenden Presseerklärung), das ist schon eine kleine Anmerkung wert – und macht hoffentlich jedem klar, wie hoch die Priorität des Themas »Datenschutz« dort war und mutmaßlich auch noch ist. (Oder hatte das etwa irgendwelche Konsequenzen?) Und das – es könnte wohl auch für die anderen Vauzette aus der gleichen Hand zutreffen – ist durchaus auch etwas, was mal zum Nachdenken anreizen sollte. Vor allem, wenn man dort ein »Profil« hat.
tux. am 27.10.2009 um 14:50
Ich hatte gestern eine nette Konversation mit einem c‹t-Redakteur, von dem ich mal wissen wollte, wieso er sich eigentlich einen Dreck für die Nutzungsbedingungen interessiert (lustig, wie viele Leute beliebigen Alters so an Screenshots vom SchülerVZ rankommen), aber andererseits Texte über den Datenschutz jener Datenbank verfasst.
War irgendwas mit journalistischer Sorgfalt oder so. Hielt es aber für erwähnenswert.