Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

April 04 2013

Offshore-Leaks gibt Einblicke in Steueroasen

Dem “International Consortium of Investigative Journalists” sind im letzten Jahr rund 260 GB Daten mit Informationen zu Konten von 130.000 Personen aus rund 170 Staaten in zehn Steueroasen zugespielt worden. Zusammen mit einem Netzwerk aus insgesamt 46 Medien weltweit wurden die rund 2.5 Millionen Dokumente, vor allem e-Mails, im vergangenen Jahr ausgewertet und heute Nacht gingen die Enthüllungen als Projekt “Offshore-Leaks” weltweit online. Vom “größte Datenleck in der Geschichte” spricht die Süddeutsche Zeitung, die zusammen mit dem NDR in Deutschland monatelang die Daten verifizierte. Die Daten stammen wohl von zwei ungesicherten Servern, die irgendwer gefunden und die Daten dann an ICIJ übermittelt hat.

Prominentester Fall aus Deutschland ist momentan der tote Ex-”Playboy” Gunter Sachs, den man jetzt Post-Mortem wohl als Ex-Steuerhinterzieher bezeichnen kann.

Das ICIJ beschreibt detailliert, wie man vorgegangen ist: How ICIJ’s Project Team Analyzed the Offshore Files.

Der NDR hat ein Interview mit dem Datenjournalisten Sebastian Mondial: “Einmaliger Einblick ins Offshore-Business”.

Wie groß ist die Aussagekraft dieser Daten?

Mondial: Wenn man berücksichtigt, dass es sich um große E-Mail-Mengen handelt, die quasi das alltägliche Geschäft beschreiben und dazu zwei Datenbanken, die sehr viel darüber aussagen, wie diese Offshore-Firmen angelegt sind, welche versteckten Informationen es auch dazu gibt, dann bekommt man einen einmaligen Einblick in das Offshore-Business und auch die Bereiche, von denen man nur vermuten kann, wie sie funktionieren und was sie für Auswirkungen haben.

In Zeiten der Finanzkrise wird mit der Aktion wenigstens ein wenig Zuversicht vermittelt, dass auch in Steueroasen die Daten nicht immer sicher sind. Insofern kann man in diesen nur auf weitere Datenlecks hoffen.

Was macht eigentlich Wikileaks? Mit etwas Neid kommentierte das ehemalige Leaking-Projekt auf Twitter den Fall und verwies darauf, dass man mit dem Stratfor-Release doch mehr Dokumente veröffentlicht habe. Quantitativ mag das von der Dateienanzahl stimmen, allerdings dürfte die Veröffentlichung der Daten dieser US-Sicherheitsberatung nicht ganz dieselbe Relevanz gehabt haben.

vgwort pixel

flattr this!

May 11 2011

Facebook-Lücke gab Nutzerprofile frei

Heute ist ein weiterer guter Tag, um als Facebook-Nutzer mal darüber nachzudeneken, ob man nicht mal das eigene Passwort ändern könnte. Das sollte man natürlich regelmäßig tun, aber aus Gewohnheit machen das wahrscheinlich nur wenige. Spiegel-Online berichtet über eine Datenlücke bei Facebook, worüber Werbekunden seit 2007 auf Profile von Facebook-Nutzern zugreifen konnten und anscheinend sogar (theoretisch) in der Lage waren, Chats mitzulesen. Unklar ist hingegen, ob jemand diese Lücke aufgefallen ist (Die wohl ausnahmsweise mal kein Feature war):

Der Grund für die ungewollte Offenheit: Versehentlich wurden den Werbetreibenden sogenannte access tokens der Anwender übertragen. Dabei handelt es sich quasi um Ersatzschlüssel für den Vollzugriff auf Profildaten der Facebook-Anwender, erklären die Symantec-Experten. Bis April hätten schätzungsweise 100.000 Facebook-Apps durch diesen Fehler Zugang zu solchen access tokens gehabt. Täglich würden rund 20 Millionen Facebook-Apps installiert. Da der Fehler zudem sei der Einführung von Facebook-Apps im Jahr 2007 besteht, ist der potentielle Schaden gewaltig – zumindest theoretisch. Die Symantec-Sicherheitsexperten Nishant Doshi und Candid Wueest bezweifeln allerdings dass überhaupt ein Schaden entstanden ist. Ihr Argument: “Glücklicherweise haben die Drittanbieter ihre Möglichkeit, auf diese Informationen zuzugreifen, wahrscheinlich gar nicht erkannt”.

flattr this!

Reposted bymondkroeteminderleistereat-slow

May 03 2011

Sony und Co: Verstöße gegen Datensicherheit und Datenschutz müssen weh tun!

Wir haben mal als “Digitale Gesellschaft” einen kurzen Forderungskatalog zu den aktuellen Datenlecks von Sony & Co aufgestellt, was aus Nutzersicht getan werden muss, um Datenschutz und Datensicherheit zu verbessern: Sony und Co: Verstöße gegen Datensicherheit und Datenschutz müssen weh tun!

Hier ist die Kurzfassung, hinter dem Link die Langfassung:

Vier Forderungen, die perspektivisch vielleicht etwas mehr Datensicherheit bringen könnten:

1. Beweisumkehr bei Datenschutz-GAU
2. Sammelklagen für Verbraucher und Verbraucherverbände ermöglichen
3. Datendiebstahlsanzeige verschärfen
4. Datenbenachrichtigung einführen (“Kleiner Datenbrief”)

flattr this!

Reposted by02mydafsoup-01mondkroeteppoe

April 28 2011

UNESCO stellte Bewerbungsunterlagen ins Netz

Beim politischen Ziel als UN-Organisation, den Zugang zu Wissen zu verbessern, ist die UNESCO etwas übers Ziel hinaus geschossen. Seit Jahren stehen wohl hunderttausende Bewerbungsunterlagen im Netz herum, wenn man sich im Bewerbungs-System auf der UNESCO-Webseite registriert hatte. Spiegel-Online berichtet über das Datenleck: Unesco entblößt Hunderttausende Bewerber im Web.

Die Datensätze enthalten neben Handynummern, Anschriften, E-Mail-Adressen und Namen auch genaue Auskünfte zu bisherigen Arbeitgebern, zum Bildungsweg, zu Sprachkenntnissen, zum Teil auch Namen und Anschriften von Verwandten der Kandidaten. Aus den Bewerbungen erfährt man zum Beispiel exakt, wie viel ein leitender Mitarbeiter im diplomatischen Dienst Pakistans verdient (einen sechsstelligen Dollar-Betrag) und welche Angestellten der Weltbank zur Unesco wechseln wollen. Die Bewerber stammen aus aller Herren Länder, manche bekleiden derzeit durchaus hohe Positionen.

Die SpOn-Redaktion konnte bis ins Jahr 2006 zurück Bewerbungen finden. Beliebter Fehler: Anscheinend musste man nur eine Zahl in der URL verändern, um auf andere Bewerbungen zu kommen, sofern man eingeloggt war-

Update: Die Praktikanten-Bewerbungen stehen wohl immer noch im Netz und man muss nicht eingeloggt sein, um darauf zuzugreifen, sondern lediglich die richtige URL kennen und dann Zahlen verändern.

Update: Jetzt scheinen beide Datenbanken wohl mal offline zu sein.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

January 19 2011

Erpressungsversuch gegen Frogster

Die Nutzerdatenbank des Berliner Anbieters Frogster, der unter anderem die Online-Spiele Bounty Bay, Runes of Magic, und Throne of Fire betreibt, wurde offenbar von einem Hacker angegriffen, der nun versucht, die Firma mit der Veröffentlichung der Datensätze unter Druck zu setzen.

Zweitausend Login-Datensätze – anscheinend aber veraltete – hat er veröffentlich, und behauptet darüber hinaus im Besitz von insgesamt 3.5 Millionen Datensätzen zu sein. Diese will er in zwei Wochen veröffentlichen, wenn Frogster nicht seiner Forderung nach “Respekt vor Bürgerrechten, Menschlichkeit und [einer] sozialen Einstellung” sowie besserem Support für das Spiel nachkomme, wie er in einem YouTube-Video verlautbaren lässt.

Offentsichtlich geht es um das Löschen von Kommentaren im Frogster-eigenen Forum zu Runes of Magic, sowie vermeintliche Versuche von Frogster, andere Foren unter Druck zu setzen, wenn dort Kritik an Frogster geübt werde. Frogster reagierte mit einem Statement, in dem auf die transparenten Forenregeln verwiesen wird. Außerdem wird natürlich zum Ändern der Passworte – auch bei Drittanbietern, sofern gleiche Passwörter verwendet wurden, aufgerufen.

Ein Community-Manager stellt weiterhin fest:

Wir haben umgehend eine Task Force eingerichtet und arbeiten selbstverständlich mit Hochdruck an der Aufklärung der Ereignisse. [...]

Der Vorfall ist für uns alle sehr bedauerlich. Er richtet sich nicht nur gegen Frogster als Unternehmen, sondern auch gegen Runes of Magic als lebendige Spielwelt und gegen euch als Spieler. Wir sind jederzeit für konstruktive Vorschläge offen. Seiner Meinung über illegale Methoden Nachdruck zu verschaffen, ist aber sicherlich nicht der richtige Weg.

(Hier noch ein Update zu diesem Statement von heute)

Wegen der Erpressungsversuche hat Frogster das Landeskriminalamt eingeschaltet und Anzeige erstattet. Hoffentlich weiß der ‘Hacker’, dass Frogster durchaus gute Chancen hat, das auch zum Erfolg zu führen. Derart viele Daten zu veröffentlichen, wäre für das Unternehmen durchaus mit substanziellen finanziellen Verlusten wegen Ausfalls und mit enormem Imageschaden verbunden.

Ob dies eine angemessene Reaktion auf die Löschung von Kommentaren in einem Online-Rollenspiel-Forum ist, sei mal da hingestellt. Ich würde mich viel mehr fragen, wie nach besagten 2 Wochen geprüft werden bzw. nach welchen Maßstäben beurteilt werden soll, ob und wie Frogster der Forderung nach “Respekt vor Bürgerrechten, Menschlichkeit und [einer] sozialen Einstellung” nachgekommen ist – und wie seine Mitspieler die Aktion unter diesen Gesichtspunkten bewerten.

Auf mich macht das alles einen sehr wirren Eindruck.

Reposted bymondkroete mondkroete

October 11 2010

Zeit.de-Kundendaten “gestohlen”

Online-Premiumkunden der ZEIT wurden am Wochenende darüber informiert dass Namen, Adressen, E-Mail-Adressen und “unter Umständen” die Kontoverbindungen aus der Kundendatenbank gestohlen wurden. Aber keine Sorge, das betrifft “nur wenige tausend Kunden.

Natürlich wurde die Sicherheitslücke sofort geschlossen und Anzeige erstattet – angeblich sei der Täter sogar schon festgenommen worden. Gerüchteweise gibt es die Daten aber schon irgendwo dort draußen auf Filesharing-Plattformen.

Die ZEIT hat seit einiger Zeit immer wieder Schwierigkeiten mit ihrem Online-Angebot. So konnte jedermann vor einigen Wochen 2 Ausgaben in Folge gratis als .pdf und auch die dazugehörigen .mp3s herunterladen, weil das die Betreiber die Zugangskontrolle nicht im Griff hatten und daher abschalten mussten.

September 18 2010

Die Lesegewohnheiten der Anderen – Datenleck bei niiu

niiu ist ein Service, um eine gedruckte individualisierte Zeitung kostenpflichtig erstellen zu lassen. Aus verschiedenen Medienpartnern suchen die Kunden sich die passenden Inhalte heraus und morgens landet dann wohl die individuell gedruckte Zeitung mit den Inhalten von gestern im Briefkasten. Caspar Clemens Mierau hat den Service getestet und ist dabei über ein kleines Datenleck gestolpert. Das ePaper-Modul ist nicht abgesichert und alle ePapers stehen als PDF über einen Link mit einer individuellen Zahl online und die Zahl im Link kann man einfach austauschen.

Über eine einfache Link-Manipulation erhält man Zugriff auf

* Name und Adresse der Abonnenten und
* die jeweils kompletten einzelnen abonnierten Ausgaben,
* eine Liste der abonnierten Zeitungsinhalte der Abonnenten,
* eine Liste der abonnierten Blogs der Abonnenten.

Da hätten wir z.B. Steve S. aus Berlin. Er interessiert sich offensichtlich für Computer und Boulevard. In seiner persönlichen Zeitung werden kurze Artikel aus Blogs über aktueller Hardware mit den Ausgaben von Bild, BZ und Abendblatt kombiniert. Lustigerweise ergab ein kurzer Blick in eine Suchmaschine, dass Steve S. zufällig der CTO und CIO der Firma Interti GmbH ist, die hinter niiu steht.

Wieviele Kunden niiu hat, haben wir jetzt nicht so genau herausfinden wollen. Mit etwas Zeiteinsatz und ausreichend Festplattenspeicher wäre es aber problemlos möglich gewesen, mit einem Script alle knapp 35000 PDFs herunterzuladen und die Adressen und Lese-Gewohnheiten automatisiert in eine Datenbank zu packen. Dabei hätte man dann auch Analysen machen können, ob eine Nummer einer Ausgabe zugeordnet ist oder einem Kunden. Mit den Informationen könnte man dann auch das Wachstum des Unternehmens genauer analysisieren und nicht nur die Lesegewohnheiten der Kunden samt Namen und Anschrift.

Das Unternehmen ist informiert, mal schauen, wie lange die Lücke noch offen bleibt.

Reposted bymondkroete mondkroete

August 27 2010

Drogeriekette Schlecker: Kundendaten im Internet

Schlecker hat ein Problem. Nicht nur, dass die sympathische Drogeriekette regelmäßig für doch eher fragwürdige Arbeitsbedingungen in der Kritik steht, nun hat man auch noch ein Datenschutzproblem. Entdeckt hat es – einmal mehr – der Mainzer Erotik-Unternehmer Tobias Huch. Details gibt es exklusiv in bei der Bild u.a. bei Zeit Online:

Schlecker-Kundendaten frei im Internet zugänglich
150.000 Datensätze von Online-Kunden der Drogeriekette waren vorübergehend von gewöhnlichen PCs aus abrufbar. Derzeit sucht das Unternehmen nach der Sicherheitslücke. [...]

Alles halb so wild? Ich finde ja, dass 150.000 Datensätze schon nicht ohne sind. Offenbar handelt(e) es sich aber um ein größeres Problem bei einem Dienstleister. Heise Online schreibt:

[Update: Der Online-Dienstleister, bei dem die Schlecker-Kundendaten gehostet waren, soll auch Bundesministerien, das Bundesverwaltungsgericht, die Allianz-Versicherung und den SPD-Parteivorstand beraten.]

PS: Markus, wir brauchen eine Klatschspalte!

Reposted byreturn13mondkroetecoloredgrayscalesofias

May 04 2010

Netzpolitik-Interview: Hintergründe zum SchülerVZ-Datenleck

Als Hintergrund zum aktuellen Datenleck bei SchülerVZ haben wir ein Interview mit Florian Strankowski von der Leuphana-Universität Lüneburg gemacht, der die Sicherheitslücken entdeckt hat.

netzpolitik.org: Was war Deine Motivation, die Daten zu crawlen?

Florian Strankowski: Die Motivation bestand darin, nach den zig Interviews und Statements von Seiten VZ zu zeigen, dass im Endeffekt nichts unternommen worden ist, um die Daten der Nutzer effektiv zu schützen. Auch wollte ich aufzeigen, dass der TÜV in diesem Fall ein Zertifikat ausgestellt hat, das zwar schön aussieht, aber im Endeffekt etwas bestätigt, was so nicht der Fall ist. Die Daten der Nutzer waren nie sicher und sind derzeit nicht sicher vor Crawlern.

Ebenfalls haben sich einige meiner Kommilitonen amüsiert, als ich Ihnen meinen Vorschlag für den zu erbringenden Leistungsnachweis vorgestellt habe, einen Crawler zu schreiben. Ich muss hinzufügen, dass das Schreiben von Crawlern, egal für welchen Zweck, eine große Leidenschaft für mich ist, da ich es faszinierend finde, wie man Daten am effektivsten sammelt, verarbeitet und aufbereitet.

netzpolitik.org: Hast Du SchülerVZ kontaktiert?

Florian Strankowski: Ja. In zwei Mails habe ich in den vergangenen Wochen die VZ-Gruppe auf Sicherheitslücken hingewiesen und meine Hilfe angeboten. Auf beide Mails habe ich keine Reaktion erhalten

netzpolitik.org: Was war Deine Motivation, mit netzpolitik.org Kontakt aufzunehmen?

Florian Strankowski: Meine Motivation mit netzpolitik.org in Kontakt zu treten war es, ein Sprachrohr zu finden, welchem auch Gehör geschenkt wird. Auf meine Mails, welche ich im Rahmen der Responsible Disclosure zwei Mal an VZ geschickt habe, wurde ja nicht geantwortet. Bereits mit meinem Professor habe ich versucht, eine Lösung für den Weg der Veröffentlichung zu finden. netzpolitik.org ist und war für mich immer eine gute Anlaufstelle für aktuelle netzpolitische Thematiken (vor allem als es mit den Zensurplänen anfing). Auch wusste ich, dass Du in Deiner Funktion als Journalist die Möglichkeit hat, in diesem Fall zwischen den zwei Fronten zu vermitteln. Denn einerseits wollte ich den VZ-Netzwerken helfen, andererseits mich selbst aber keinem rechtlichen Risiko aussetzen.

Es wäre zu wünschen, wenn VZ sich mehr um seine Nutzer kümmern würde, vor allem um Mails die Problematiken aufzeigen, welche aber ignoriert werden. Es geht hier schließlich auch um den Ruf der VZ-Netzwerke.

netzpolitik.org: Wie bist Du vorgegangen?

Florian Strankowski: Kurz und Knapp: Jeden Schritt protokolliert (Live-HTTP-Header/ Firefox Addon), Sourcecode der Seiten analysiert, Login-, Logout-, Profilaufrufprozeduren analysiert und alles aufgeschrieben. Dann auf dem guten alten Blatt Papier (ich glaube es waren am Ende 10 Seiten) die Vorgehensweise in Form eines PAP (Programmablauf Plans) aufgeschrieben und letztendlich programmiert. Wie im Paper beschrieben, musste ich mich halt immer neu ein- und ausloggen. Das Erstellen der Accounts hat einige Zeit in Anspruch genommen (Habe hier jetzt knapp 800 Accounts). Dann nur noch Programm anschmeißen und abwarten.

netzpolitik.org: War das crawlen der Daten einfach?

Florian Strankowski: Jein. Da der Sourcecode von den VZ-Seiten recht unsauber ist, war es Anfangs eine Qual alle Regular Expressions zu schreiben, denn auch wenn man vermutet, dass der Aufbau einer Profilseite dem einer Anderen gleicht, ist dies leider nicht der Fall. Auch das letztendliche Crawlen war kinderleicht, nicht einer meiner 800 Accounts wurde gesperrt.

netzpolitik.org: SchülerVZ hat im letzten halben Jahr nach eigenen Angaben viel für eine bessere Sicherheit gemacht. War das ausreichend, bzw. was hat SchülerVZ Deiner Meinung nach falsch gemacht?

Florian Strankowski: Ich frage mich, ob das ein PR-Gag war. Es gab vielleicht mehr Informationen wie man die Privatsphäre seines Profils ändern kann (Tutorials & Co), jedoch wurden die temporär eingesetzten Captchas (reCaptcha) wieder entfernt, was ein großer Rückschritt war. Wie man in diesem Fall gut sieht, bringt die Limitierung von Aktionen pro Account nichts, denn man kann sich selbst ja immer wieder neu Einladen und somit unbegrenzt viele Accounts erstellen -> und somit Aktionen durchführen. Somit ist die derzeitige Lösung ungenügend. Warum der TÜV dies nicht bemerkt hat, verstehe ich jedoch nicht.

Falsch ist einfach die Herangehensweise an die Thematik. Wie ich Dir bereits geschildert habe, sind Profile in Gruppen sichtbar, obwohl sie privat sind, auf Bildverlinkungen stehen die Namen von Profilen, welche auch privat sind. Man kann doch einfach überprüfen, wie das Nutzerverhalten ist. Wenn man merkt, dass ein Nutzer am Tag und damit meine ich über Tage immer die knapp 2000 Aktionen damit verschwendet Profile aufzurufen, müssen die Alarmglocken doch mal klingeln.

netzpolitik.org: Warum hast Du nur 1,6 Mio Datensätze gesammelt?

Florian Strankowski: Ich hatte zwischenzeitlich weit über 2 Millionen Datensätze. Nach einer Optimierung des Codes habe ich jedoch einige Verworfen und habe bei einer Million wieder angefangen. Da mein Crawler jetzt “perfekt” ist und rundläuft, habe ich es dabei belassen. Wenn ich mit der Veröffentlichung eine Woche länger gewartet hätte, so hätte ich dann knappe 4-5 Millionen Datensätze – davon keiner doppelt. Eigentlich gab es noch eine Intention, mehr Datensätze zu sammeln als mein Vorgänger, aber nach der Optimierung habe ich das dann wieder verworfen, ich hatte ja schon > 2 Mio.

netzpolitik.org: Betrifft das Problem auch StudiVZ und MeinVZ, bzw. warum hast Du nur SchülerVZ genommen?

Florian Strankowski: Das Problem betrifft alle Netzwerke von VZ – denn alle basieren auf dem gleichen Code. Dies sieht man auch sehr schön im Quelltext! Daher war es so einfach einen Crawler für alle Netzwerke zu schreiben. Auf SchülerVZ traf meine Wahl, weil es hier besonders wichtig ist, die Daten der minderjährigen Nutzer zu schützen. Ich wage es kaum auszusprechen, aber wenn Millionen Daten von Minderjährigen in die falschen Hände geraten, kann schnell man etwas passieren und später will keiner die Schuld haben, auch nicht der TÜV.

Als Hintergrund zum aktuellen Datenleck bei SchülerVZ haben wir ein Interview mit Florian Strankowski von der Leuphana-Universität Lüneburg gemacht, der die Sicherheitslücken entdeckt hat.

Hier ist noch ein Video, was den Crawler bei der Arbeit zeigt (Nicht so spektakulär wie ein Hollywood-Film):

SchülerVZ-Crawler from netzpolitik on Vimeo.

Reposted byurfinmondkroete

Neues Datenleck bei SchülerVZ

Es gibt wieder ein neues Datenleck beim Social-Network SchülerVZ. SchülerVZ ist mit rund fünf Millionen Mitgliedern Marktführer im deutschsprachigen Raum, ein hoher Prozentsatz unserer Schüler ist dort Mitglied und veröffentlicht dort seine/ihre Verlieben und sonstige Informationen. Uns wurden 1,6 Millionen aktuelle Datensätze von dort aktiven Schülern zugeschickt, das sind rund 30% aller Nutzerprofile aus dem Social-Network.

Der Fall reiht sich in die von uns im vergangenen Herbst aufgedeckten Datenlecks ein, die SchülerVZ betrafen und damals für großes Aufsehen sorgten. SchülerVZ hat sich in den vergangenen Monaten bemüht, das verlorene Vertrauen zurück zu gewinnen und mehr in den Datenschutz investiert. Dazu gab es ein TÜV-Prüfzeichen für Datensicherheit und Funktionalität. Damit gewinnt man zwar Vergleichstests in Verbraucherschutz-Magazinen und der Computer-Bild, die Sicherheit der Schüler-Daten steht aber immer noch in Frage, wie der neue Fall zeigt. Eine weitere Parallele zu den Datenlecks im Herbst ist die, dass unser Informant in zwei Mails in den vergangenen Wochen versucht hat, Kontakt mit der VZ-Gruppe aufzunehmen. Auf beide Kontaktversuche erhielt er keine Antwort und wendete sich dann an uns, um eine Beseitigung der Sicherheitslücken zu beschleunigen.

Wie war das massenhafte Auslesen von Schüler-Profilen möglich, wo doch SchülerVZ seit dem Herbst zahlreiche Maßnahmen getroffen hat, die das verhinden sollten?

Eine von SchülerVZ nach den Datenlecks getroffene Maßnahme war die Begrenzung der Profilabrufe. Dies sorgt aber nur gefühlt für mehr Sicherheit, da man gleichzeitig von zahlreichen Accounts parallel Profile abrufen kann, um die Inhalte in einer gemeinsamen Datenbank zu speichern. Im Herbst hat man auch reCaptchas eingeführt, um ein massenhaftes maschinelles Auslesen extrem zu erschweren. Diese reCaptchas hat man aber wieder rausgenommen, vermutlich weil sich viele Nutzer dadurch gestört fühlten. Eine weitere Maßnahme war ein besserer Schutz bei Suchabfragen.

Die uns zugeschickten Daten wurde aber über eine andere Methode gesammelt: Die meisten Nutzer sind in Gruppen angemeldet. Man kann Basisinformationen von Profilen über eine Gruppenmitgliedschaft abrufen, auch wenn die Profile auf privat gestellt sind. Die Basisinformationen enthalten Name, Schule, Schul-ID-Nummer und Link zum Bild. Nachdem diese Methode (nahezu) ausgereizt war, wurden dann weitere Profilen per “Freundesliste” mit einem zweiten Crawler abgegrast.

Viele Schüler nutzen aber nicht die scharfen Datenschutzeinstellungen, die ihre Profile auf privat stellen und deren Daten sind dann alle abgreifbar und man kann sie speichern. Dazu gehören die zusätzlichen Informationen Alter, Geschlecht, Klasse, Hobbys, Beziehungsstatus, politische Einstellung, Lieblingsfach, -musik, -filme, -bücher, wie lange man im SchülerVZ aktiv ist und individuelle Selbstbeschreibungstexte.

Doppelungen bei Mitgliedschaften in mehreren Gruppen kann man aussortieren, wenn erstmal alle Daten heruntergeladen sind. In der Regel gibt es nur einen Schüler mit dem gleichen Namen an einer bestimmten Schule.

Wo ist jetzt das Problem – Facebook ist viel schlimmer beim Datenschutz?

Es handelt sich überwiegend um Daten von minderjährigen Schülern, die sich über ihr Handeln und die Konsequenzen oft nicht bewusst sind. Daten von minderjährigen Schülern sollten daher besonderen Schutz genießen und gegen massenhaftes maschinelles Auslesen gesichert sein.

Mit den gesammelten Daten sind Invers-Suchen möglich, die so im System zum Schutz der Privatsphäre von Nutzern nicht funktionieren.

Die VZ-Gruppe bemüht sich zwar, gegenüber der US-Konkurrenz wie Facebook durch mehr Engagement in Datenschutzfragen zu punkten, was im Vergleich zu einem besseren Verbraucherschutz führt. Und dieses Bemühen muss man auch mal loben. Aber offensichtlich wurde noch nicht genug in die Sicherheit der Daten von Schülern investiert. Das ist mittlerweile der vierte uns bekannter Fall von massenhaften Auslesen von Schüler-Daten bei SchülerVZ innerhalb der vergangenen Monate. Man kann davon ausgehen, dass diese vier Fälle nur die Spitze des Eisberges sind und zahlreiche Datenbanken mit diesen sensiblen Daten existieren könnten.

Wir haben SchülerVZ gestern über den Datensatz und die Sicherheitslücken informiert. Und anschließend unsere Daten gelöscht. Unser Informant hat uns dies auch zugesagt.

Update:

Als Hintergrund zum aktuellen Datenleck bei SchülerVZ haben wir ein Interview mit Florian Strankowski von der Leuphana-Universität Lüneburg gemacht, der die Sicherheitslücken entdeckt hat.

March 09 2010

Datenleck macht betroffen

Der Münster-Marathon e.V. hat auf einer DVD-Dokumentation “versehentlich auch die Anmeldedaten inklusive der Teilnehmernamen, Adressen und Bankverbindungen” an etwa 3500 Teilnehmer verschickt. Das berichtet die Münsterländische Volkszeitung und bringt ein Interview mit dem Vorsitzenden des Vereins: „Wir sind tief betroffen“. Das ist schmerzhaft für den Verein, denn man musste eine Rückruf-Aktion starten, neue DVDs drucken und nochmal verschicken. Allerdings irritiert eine Aussage in dem Interview:

Welche unmittelbaren Gefahren beispielsweise hinsichtlich der Konten-Sicherheit bestehen?

Brinkmann: Mit der Kenntnis von Bankverbindungen kann keiner etwas anfangen. Wenn man mal vergleicht, welche sensiblen Daten anderswo kursieren . . . Aber ich will gar nichts relativieren und die Tragweite des Fehlers keineswegs schmälern. Schön ist die Angelegenheit sicher nicht und wir sind tief betroffen.

Da hätte man sicher nochmal nachfragen können, ob denn der Vorsitzender seine Bankdaten und Adresse zusammen im Netz veröffentlicht, wenn damit keiner was anfangen kann.

[Danke an Vera]

January 21 2010

Update zum Datenleck bei Ruf-Jugendreisen

Die Firma Ruf hat sich jetzt öffentlich zu ihrem Datenleck geäussert und sich bei unserer Quelle für die Informationen zur Sicherung der Daten bedankt: RUF verbessert Sicherheitsstandards. Etwas dumm gelaufen ist wohl der Hinweis, dass davon natürlich keine sensitiven Daten betroffen waren*:

Betroffen waren lediglich die Profildaten der Community-Nutzer, die weder Anschrift, Telefonnummer, Reisedaten oder Kontoverbindungen enthalten. Bei diesen Aktivitäten waren zu keinem Zeitpunkt unsere aktuellen Kunden- oder Buchungsdaten in Gefahr bzw. betroffen.

Stimmt. Bei den von uns veröffentlichten Informationen war vom Buchungssystem noch keine Rede. Aber eine Heise-Security-Meldung von heute hat neue Informationen, die das Statement von Ruf wieder etwas obsolet machen:

Der Reiseveranstalter Ruf-Jugendreisen hatte nicht nur Sicherheitsprobleme mit seiner Online-Community, sondern auch in seinem Buchungssystem. Durch Angabe einer einfachen URL mit einer gültigen System-ID war es für jedermann möglich, ohne Login die Buchungsreservierungen einzusehen, wie heise Security in einem kurzen Test mit mehreren Buchungen nachvollziehen konnte.

*Wobei ich ich frage, ob die mir zugeschickte Datenbank nur lauter Fake-Profiladressdaten enthielt. Kann ich mir nicht vorstellen.

January 19 2010

Datenleck bei Ruf-Jugendreisen

Die Firma Ruf ist nach eigenen Angaben die Nummer 1 unter den deutschen Jugendreisen-Veranstalter. Auf ruf-jugendreisen.de gibt es eine dazu gehörige Community, in der sich die meist Jugendlichen Kunden vor und nach den Reisen austauschen können. Vor einer Woche erhielten wir detaillierte Informationen, wonach es in der Community zahlreiche kritische Sicherheitslücken gibt. Der Fall ist damit vergleichbar mit haefft.de, einer Schüler-Community, der vor wenigen Wochen vom Chaos Computer Club eklatante Sicherheitslücken nachgewiesen wurde.

Neben den üblichen XSS- und SQL-Injection-Lücken wurden die Passwörter der jugendlichen Benutzer im Klartext in der Datenbank gespeichert, anstatt, wie üblich, gehasht zu werden. Unserer Quelle war es sogar möglich, alle Details von ca. 50000 Benutzerkonten auszulesen, auch das Lesen privater Nachrichten war möglich.

Unsere Quelle hatte ein Interesse, dass das Datenleck schnell behoben wird. Wir haben am Freitag das Unternehmen kontaktiert und ihm alle relevanten Informationen zur Schließung der Sicherheitslücken zu gesendet, inklusive einer Kopie ihrer Datenbank. In der Datenbank fanden sich zahlreiche personenbezogene Daten von Jugendlichen, wie Geburtsdatum, Mailadresse, Name, Vorname, Pseudonym, Webseite, Adresse und Passwort.

Die Firma Ruf reagierte sofort und nahm die Community noch in der Nacht zum Samstag vom Netz. Derzeit ist sie immer noch offline. Uns wurde auch erklärt, dass die uns zugespielten Nutzerdaten nicht mehr aktuell seien, sondern nur ein Backup älterer Datenbestände seien. Unsere Quelle hat die vom Server gezogenen Daten nach Verschickung an uns sofort gelöscht.

Ruf erklärte uns nun, dass beim Eindringen in ihren Server “in großem Umfang Daten manipuliert wurden” und ihnen “somit ein nicht unerheblicher wirtschaftlicher Schaden zugefügt wurde”. Man gehe davon aus, dass unsere Quelle dafür verantwortlich ist und ihre Anwälte ihnen nahe gelegt haben, Strafanzeige zu stellen. Wir versuchen nun zwischen unserer Quelle und Ruf zu vermitteln. Vor allem klingt der Vorwurf etwas absurd, dass unsere Quelle erstmal massiv Schaden anrichtet und dann detailliert Fehler und Sicherheitslücken beschreibt und über uns den Kontakt zu Ruf sucht, damit diese endlich mal ihre Community sicherer machen. Nach Durchsicht aller Sicherheitslücken sieht es danach aus, als sei die Community-Plattform mit einem Schweizer Käse vergleichbar, der zahlreiche dicke Löcher hat. Man kann davon ausgehen, dass schon früher andere Personen die recht offensichtlichen Sicherheitslücken genutzt haben.

Passend ist auch der Datenschutz-Hinweis auf der Webseite:

Bei uns sind deine Daten sicher!

Wir garantieren, das wir keine Daten, die ihr über die Website ruf.de eingebt, an Dritte weitergeben werden. Die Daten, die ihr bei der Registrierung eingebt, werden ausschließlich für die Nutzung der Angebote unter ruf.de benötigt und auch nur dazu gespeichert.

Wir berichten über die weiteren Entwicklungen und gehen davon aus, dass Ruf die Vorwürfe gegen unsere Quelle zurück nimmt. Der Datenschutz der zumeist jugendlichen Kunden von Ruf konnte erst durch die Informationen unserer Quelle wieder besser gewährleistet werden.

Update: Aufgrund dieses Artikels haben wir einen Hinweis bekommen, dass die Lücken schon im Rahmen eines Lightning-Talks auf dem 23c3, also vor 3 Jahren, bekannt gegeben wurden. Als Vorgeschichte gab es noch den Hinweis, dass eine Person damals auch die Sicherheitslücken an Ruf gemeldet hat und dieser dann mit Anwälten bedroht wurde. Das lässt die Drohungen gegen unsere Quelle nochmal in einem ganz anderen Licht erscheinen. Wenn daran was dran ist, was die Videoaufzeichnung der 23c3 Lightning-Talks auch sagen, dann ist das Verhalten von Ruf unverantwortlich und jugendgefährdend.

Mal schauen, ob Ruf jetzt alle betroffenen Nutzer über das Datenleck informiert?!

January 12 2010

Berliner Gewerbeauskunft ist offline

Vor einem Monat haben wir über ein Datenleck bei der Berliner Online-Gewerbeauskunft berichtet. Es war problemlos möglich, rund 350.000 Grunddaten von Berliner Firmen aus dem System zu ziehen. Dadurch wurden Invers-Suchen möglich und es fanden sich dann auch zahlreiche angemeldete Gewerbe, die eher heikler Natur sind, wie z.B. angemeldete Prostituierte mit Adressen.

Die Berliner Senatsverwaltung hat die Sache dann etwas runter gespielt und erklärt, dass das nicht so schlimm sei. Das sahen wir etwas anders. Denn es wurde explizit aus Datenschutzgründen kein Suchfeld angeboten, womit man nach der Gewerbe-Tätigkeit suchen konnte, was aber durch das Auslesen möglich wurde.

Heute war der Fall ein Thema im Berliner Abgeordnetenhaus. Und dabei kam heraus, dass die Berliner Gewerbeauskunft offline gegangen ist und erst wieder im März online gehen soll. Sieht so aus, als ob die Lösung doch nicht so koscher war, wie von Seiten der Senatsverwaltung kommuniziert. Im März soll es bessere Schutzmöglichkeiten gegen ein maschinelles Auslesen der Daten geben, wie Captchas und eine Registrierung per Fax bei Sammelauskünften.

Vor einem Monat haben wir auch drei Fragen zu der Sache an die Pressestelle der Senatsverwaltung für Wirtschaft geschickt. Diese wurden bisher nicht beantwortet.

Reposted byurfin urfin

December 13 2009

Datenleck bei der Berliner Online-Gewerbeauskunft

Auf berlin.de findet sich die “eAuskunft – die Online-Gewerbeauskunft” als eGovernment-Projekt. Aus der Selbstbeschreibung:

“Berlin bietet mit der eAuskunft als erste deutsche Großstadt eine durchgängige Online-Auskunft aus dem Gewerberegister an. Sie können frei in den Grunddaten der Berliner Unternehmen suchen.”

Auf der Seite kann man konkret nach Firmensuchen und bekommt Grundstammdaten wie Adresse und Tätigkeit angezeigt. Auch kann man nach Straßen sortiert suchen und findet dort alle angemeldeten Gewerbe.

Eine Quelle brachte uns einen Datensatz von 350.000 Grunddaten vorbei. (Kommentar der Senatsverwaltung: Das sind nahezu alle Berliner Firmen.) Unsere Quelle hatte mit einem Script massenhaft alle einzelnen Firmen ausgelesen. Das kann man z.B. durch ein Berliner Straßenverzeichnis machen, indem man alle Straßen von A-Z durchlaufen lässt und die einzelnen Daten abspeichert. Das Auslesen ist nicht strafbar, weil die Datensätze nicht urheberrechtlich geschützt sind. Ist das jetzt nur ein OpenGovernment – Feature? Nicht wirklich, denn einerseits fehlen natürlich die offenen Schnittstellen. Andererseits geht es hier auch um sensible Daten, die man nicht freiwillig dem Staat gibt, sondern weil man es bei der Anmeldung eines Gewerbes tun muss. In dem Datensatz fanden sich auch jeweils die Tätigkeitsfelder. Damit wurden Invers-Suchen möglich, z.B. nach einzelnen Tätigkeitsfeldern.

Das ist ein Datenschutzproblem und sollte eigentlich verhindert werden. Denn das Gesetz zur eAuskunft schreibt vor, dass man nicht nach der Tätigkeit alleine suchen darf. Deshalb fehlt diese Funktion auch in der eAuskunft. Wir haben nach einzelnen Tätigkeiten gesucht, die uns etwas heikel vor kamen. Alleine aus den Suchbegriffen “Prostitution”, “Begleit-Service” (Davon sind manche auch nur Senioren-Begleitung, etc.) und “Erotik” haben wir knapp 1850 Datensätze heraus gefischt. Hier ist eine bereinigte Liste nur mit den aussortierten Tätigkeitsfeldern und ohne private Angaben als CSV-Datei. Einzelne Personen, die z.B. legal ein Gewerbe auf Prostitution angemeldet haben, konnten wir auch in sozialen Netzwerken als Privatperson entdecken, wo nichts von ihrer Berufstätigkeit zu finden war. Mit der Liste hätten wir auch problemlos ein Google -Maps Mash-Up bauen können, wo auf einer Berliner Landkarte die Standorte aller legal angemeldeten Prostituierten angezeigt werden.

Wir haben den Berliner Datenschutzbeauftragten und die Senatsverwaltung für Wirtschaft, Technologie und Frauen über das Problem informiert. Die Senatsverwaltung hat sofort zugesichert, das Problem rasch zu lösen. Eine schriftliche Antwort auf unsere kurzen Fragen zur Problematik wurde uns für spätestens Mitte Januar angekündigt… Wir hoffen mal, dass die Problematik vorher gelöst wird. Das wird sicherlich durch die Berichterstattung beschleunigt.

Die lustigste Tätigkeitsbeschreibung, die wir finden konnten, war übrigens “Software-Entwicklung, Server-Vermietung, Datenschutzlösung und Spirituosenhandel”. Wir verraten jetzt mal nicht, welche Firma dies konkret war.

Reposted by02mydafsoup-01 02mydafsoup-01

December 01 2009

Die SchülerVZ-Datenlecks im Rückblick

Die Frankfurter Rundschau hat die SchülerVZ-Geschichte mit den Datenlecks als Rückblick zusammengefasst: Unter Beobachtung.

Das heißt im Klartext, dass es noch bis vor einem Monat für jeden, der die Grundkenntnisse des Programmierens beherrscht, möglich war, an die Profildaten aller VZ-Nutzer zu gelangen. Problemlos. Es ist deshalb davon auszugehen, dass weit mehr Menschen im Besitz der Daten sind, als bisher angenommen.

November 26 2009

Die Lehmanns Brothers Gläubiger-Datenbank im Netz

Ein Leser hat mir einen Link zugeschickt, über den sich viele Gläubiger der Lehmanns Brothers Pleite finden lassen. Dort kann man u.a. nach Namen und Ort suchen. Mit einer Suchabfrage der gängigen deutschen Namen findet man eine Menge Personen. aber auch die Ortssuche funktioniert: 327 Personen hab ich z.B. bei der Ortssuche “Berlin” gefunden und 38 mit “Hamburg”. Mit dabei sind alle Adressdaten und der Betrag, den man bei Lehmanns Brothers investiert hat. Das sind teilweise sechs- und siebenstellige Beträge. Unter der Suchabfrage “Munich” findet man u.a. ein ausgefülltes Formular der Allianz Global Investors Kapitalgesellschafts mbH, die wohl rund 4278000 Millionen Dollar verloren hat.

Der Link gehört zu einem US-Angebot und dort gibt es andere Datenschutzgesetze. In diesem Fall scheint alles korrekt zu sein, weil dies alles Claims gegen Lehmann sind und dabei wohl Transparenz das oberste Gebot ist. Aber es fühlt sich schon komisch an, wenn man in die Suchmaske Namen und Orte eingibt und so persönliche Daten findet wie Name, Adresse und versenktes Vermögen.

November 18 2009

Datenleck bei Kabel Deutschland

Die Grafschafter Nachrichten berichten über ein Datenleck bei Kabel Deutschland. Mehr als 11000 Datensätze von Kabel Deutschland Kunden aus Bad Bentheim, Meppen, Schüttorf und Emsbüren waren bei Google zu finden. Schuld war wohl ein “einzelner Dienstleister” von Kabel Deutschland, der die Daten im Internet öffentlich zugänglich gemacht habe. Kabel Deutschland bedauert die Panne laut Grafschafter Nachrichten. Diese fragten auch den Bundesdatenschutzbeauftragten, was er von der Sache hält:

„Ich bin sprachlos“, erklärte der Sprecher des Bundesbeauftragten: „Das ist ein Unding.“

Aufgefallen ist die Sache wohl, als ein Kunde seinen Namen bei Google eingab und 550 Seiten mit 11000 Datensätzen inklusive seinem fand. Was die Datensätze konkret enthielten, ist dank einer Paid-Content Funktion bei den Grafschafter Nachrichten nicht nachvollziehbar.

November 17 2009

Kleines Datenleck bei der CDU-Hamburg

Die CDU-Hamburg betreibt eine Internetseite und bietet dort auch einen Newsletter an. Wir bekamen den Hinweis, dass man als Newsletter-Abonnent leicht Zugriff auf alle anderen eingetragenen Empfänger bekommen kann. Um das auszuprobieren, mussten wir uns anmelden. Das war gar nicht so einfach. Entgegen üblicher Praktiken verschickt das System keine Bestätigungsmail und es gibt auch kein Double-Opt-In-Verfahren. Da kann die CDU-Hamburg glücklich sein, dass sie noch nicht abgemahnt wurde. Erst mit dem verschicken eines Newsletters konnten wir die Datenlücke verifizieren. Jeder Newsletter-Abonnent bekommt eine individuelle Zahl zugeordnet, wie man an URL zum managen des Newsletter-Accounts sehen kann. Ich würde ja gerne die URL hier bloggen, aber dann hat jeder Zugriff auf alle Newsletter-Abonnenten. Also lass ich das mal. Wir hatten die Zahlen 704 und 705, weil wir mangels Bestätigungsmail uns doppelt angemeldet haben. Und daran konnten wir auch erkennen, wie erfolgreich der Newsletter nachgefragt wurde. Interessanterweise fanden wir eine Menge Dubletten von Personen, die sich wahrscheinlich ebenfalls doppelt angemeldet haben.

Mit der URL konnte man herumspielen und alle Zahlen zwischen 001 und 705 eingeben. Zahlreiche Zahlen funktionierten nicht mehr, weil anscheinend der Newsletter abbestellt wurde. Ungefähr die Hälfte der Zahlen klappten und wir konnten schauen, wer den Newsletter mit welcher Mailadresse abonniert hat. Das scheinen bei der CDU-Hamburg vor allem Journalisten aller möglichen Medien zu sein. Mit dem Wissen um die Datenlücke könnte man einige Dinge anfangen. Einerseits ist es möglich, alle Newsletter-Abonnenten einfach durch einen Mausklick abzumelden. Vermutlich würde das mangels Bestätigungsmail niemand bemerken. Man könnte auch einen gefakten Newsletter im Namen der CDU-Hamburg an alle Adressaten mit Links zu Schadsoftware oder anderen Dingen verschicken.

Wir haben der CDU-Hamburg am Sonntag per Mail an die offizielle Kontaktadresse info@cduhamburg.de Bescheid gegeben, auf diese und andere Sicherheitslücken in ihrem System hingewiesen und als Veröffentlichung den heutigen Dienstag angekündigt. Leider haben wir dann nichts mehr gehört. Vielleicht werden die Lücken ja jetzt rasch geschlossen.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl