Andreas Dittes hat ein Problem mit dem „größten deutschen Studenten- & Absolventennetzwerk“ Unister. Das Portal, das auf den ersten Blick wie jede x-beliebige Singlebörse daherkommt (was nicht bedeutet, dass es nicht auch eine ebensolche sein könnte, ich konnte es nur nicht überprüfen, denn ich bekomme Fingerkrämpfe bei Sites, die wie ein einziges Werbebanner aussehen und konnte mich daher nicht registrieren), droht ihm offenbar mit Rechtsstreitigkeiten. Der Grund: Dittes hatte die Betreiber des Portals auf Sicherheitslücken aufmerksam gemacht, die den Zugang zu 34.000 Userdaten inkl. E-Mailadresse, Bild und Name ermöglichten.
Wer die letzten Zeilen mehrfach gelesen hat um den kausalen Zusammenhang zu verstehen und trotzdem immer noch mit einem dicken „HÄH?“ im Gesicht vor dem Rechner sitzt, dem geht es wie Andreas Dittes.
01
“HÄH?”
Jopp genau das war meine Reaktion… Normalerweise zeigt man doch dankbarkeit, schlimmstenfalls wird die Sicherheitslücke gestopft und der Warner unbeachtet gelassen, bzw ignoriert… aber sowas…
02
Unister scheint es nicht nur mit der Sicherheit nicht ganz genau zu nehmen…
Zwar sagen sie sie seien das größte Studentennetzwerk Deutschlands, allerdings findet man über die Suche bei ihnen nur etwas über 100000. Letzte Woche war im Spiegel ein Bericht von studiVZ.net, dort sind schon über 500.000 deutsche Studenten!
Sie scheinen sich also auch noch wichtiger zu machen als sie eigentlich sind…
03
Meine Meinung: Unister ist unseriös.
Wenn man eine (beliebige?) Seite von Unister aufruft, wird auch ein für Google Analytice benötigtes Javascript nachgeladen. Das passiert ganz am Ende der Seite:
_uacct = “UA-31842-12″;
urchinTracker();
Die AGB von Google schreiben ausdrücklich und verbindlich vor, dass in den AGB der Seite des Analytics-Anwenders auf die Weiterleitung der Userdaten an Google ausdrücklich hingewiesen wird. Insbesonders da die Daten an Google USA weitergeleitet werden. ICH finde weder in den AGB noch in der Datenschutzerklärung keinen Hinweis auf den Einsatz von Google Analytics.
Im Fußball werden Spieler die foulen vom Platz gestellt. Und hier?
Nachtrag:
Wer das als User nicht möchte, kann Google Analytice in seine Hostsdatei (unter Win 2000 und XP zu finden unter \windows\system32\drivers\etc\) aufnehmen, ungefähr so:
127.0.0.1 http://www.google-analytics.com
127.0.0.1 google-analytics.com
Dann ist Ruhe. Bei allen Seiten, die Google Analytice einsetzen.
04
Es ist eine Krankheit unserer Zeit. Im Wettlauf um das tollste Portal mit den meisten Usern und den dicksten Werbeeinnahmen werden Dinge wie Datensicherheit vernachlässigt. Während Systementwickler vor einigen Jahren noch einen wesentlich stärkeren Fokus auf sichere Mechanismen gerichtet haben, werden sie heute dazu getrieben die Scheunentore zugunsten von Ajax-Features, Werbe-APIs und BlingBling-Features aufzureissen. Auf die freundliche, unentgeldliche Mithilfe von Experten wird mit Drohgebärden reagiert, in der Hoffnung, es würde schon keiner merken. Die einzig korrekte Reaktion wäre doch gewesen, dem Mann zu danken und ihn im Zweifelsfal zu bitten, die Informationen wenigstens so lange zurückzuhalten, bis die Löcher gestopft sind. Man hätte ihm auch eine Gegenleistung für eine Tätigkeit als Tester anbieten können…
05
@Richard: Nett umgelitten ;)
06
“Hier findest Du
ddos-attackenStudenten deiner Hochschule!”Unister du bist einfach Klasse…
07
Dass so was auf den web2.0 Zug mit aufspringt, war abzusehen. Früher oder später.
“Anstupsen” ist also voll im Trend, ja? Ganz schön zickig reagieren die, wenn ein Blogger die mal “anstupst”.
08
Wer weiß wen sie schon alles mit einem Anwalt gedroht haben um unschöne Dinge unter den Tepich zu kehren.
Rein theoretisch könnte eventuell ein direkter Konkurrent von Unister diese wegen unlauteren Wettbewerb abmahnen. Unister muss Geld in den Datenschutz investieren genauso wie die Konkurenz auch. Das scheint aber nicht der Fall gewesen zu sein…
09
also entweder bin ich hier der einzige, dem eine “kleinigkeit” in dittes’ artikel auffällt, oder eben jene wird von allen ignoriert:
“Daraufhin habe ich eine Kopie der Datensätze erstellt [...]”
das hätte herr dittes besser unterlassen. das geht deutlich über das “auf eine lücke aufmerksam machen” hinaus. das ist eben das aktive ausnutzen dieser lücke - ein mögliches “ist ja nur zur dokumentation…” zählt für mich absolut nicht.
wenn man eine solche lücke entdeckt, meldet man sie und nutzt sie gefälligst nicht selbst.
10
ich finde wir sollten den lieben herrn wagner von unister mit emails überschütten in denen wir unserer unzweideutige begeisterung über sein geschäftsgebaren zum ausdruck bringen.
ein mann der seine firma so fair, freundlich, kundenorientiert, vernünftig und kulant führt verdient unser aller lob und aufmerksamkeit.
das er dabei immer mit der gesellschaftlichen und unternehmerischen verantwortung die die handhabung sensitiver personenbezogener datenbestände mit sich bringt im blick handelt versteht sich von selbst.
nie würde er zu einschüchterungstaktiken greifen die für den gemeinen blogleser den beigeschmack der nötigung wenn nicht gar der erpressung besäßen.
nein ein mann wie thomas wagner war und ist schon seit je ein vorkämpfer der informations- und meinungsfreiheit gewesen.
ps: und über unister wird nie ein böses wort über meine virtuelen lippen kommen, das könnte ich mir nämlich gar nicht leisten.
11
ajeh, ich hab mich da mal vor x-millionen jahren registriert, weil man dort auch wohnungsangebote aufgeben kann (bin jetzt draußen). seit einem jahr erreichen sogar amerikanische spammails meinen uni-mail-account, der sonst absolut alles abprallen lässt und den ich kaum benutze, bzw. dessen adresse ich seit zwei jahren nirgendwo mehr hinterlassen habe.
ob das eine was mit dem anderen zu tun hat, weiß ich nicht - is nur ne vermutung.
12
thc: durch entdecken der lücke hat man sie genutzt. Zum zweiten braucht er ja einen Beweis. Es ist keine Kleinigkeit, es ist schlicht notwendig.
13
Unister scheint auf dem Weg zu sein einen astreinen Jamba hinzulegen.
PR-GAU the next generation sozusagen…
14
Was den PR-GAU betrifft, scheint das in diesem Fall wohl nur eine Frage der Zeit gewesen zu sein.
Mal unabhängig von der Geschichte mit Andreas… einfach dem Trackback (Kommentar 2) folgen und da die 3 Links zu SEO und Spam genauer angucken.
15
Apropos, PR-Gau… da mein Trackback offenbar nicht durchkam, hier manuell: Unister: Sicherheitslücke wird zu PR-Gau
16
Warum ist alles immer gleich ein “Skandal”, “GAU” oder “Affäre”?
17
Wie würdest du es in diesem Fall nennen?
18
@uwe #18: Wenn man bedenkt, dass “das Recht auf informationelle Selbstbestimmung” ein anerkanntes Grundrecht ist [1], das in diesem Fall, zumindest fahrlässig, in 34000 Fällen verletzt wurde und im Nachhinein versucht wurde, eine fortwährende Verletzung durch Vertuschung zu gewährleisten, darf man schon mal von einem “Skandal”, einem “Gau”, einer “Affäre” und eventuell sogar von einem “Verbrechen” reden.
Dass IT-Sicherheit nicht vollständig zu gewährleisten ist, ist kein Geheimnis, aber Professionalität (und in diesem Fall Rechtsbeweusstsein) zeigt sich häufig darin, wie mit Pannen (die ja vorkommen können) umgegangen wird.
[1] http://www.datenschutz.de/recht/grundlagen/
19
Manueller Trackback, da auch mein Trackback irgendwie nicht so durchkam…
20
Gar nicht, Henning, klingt unglaublich, aber ich würde nicht versuchen, dem Ding (”Vorfall”) einen Namen zu geben.
Nur weil es einen Namen hat ist es auch nicht anders.
21
Ich finde, ab einer gewissen Grösse (keine Lapalie mehr) sollte man häufig und lange über solche Dinge reden. Wenn die Dinge dann einen Namen haben, vereinfacht das die Kommunikation und es macht es für den Übeltäter schwerer, das Label wieder loszuwerden, was ich in diesem Fall gut und richtig finde.
22
Ich finde schon das der Begriff GAU hier zutreffend ist. Social-Network-Sites leben davon das ihnen die Nutzer ihre Daten bereit stellen. Dies tun viele ohne darüber nachzudenken was damit geschieht aber für die meisten dürfte es schon interessant sein das ihre Angaben nicht für jeden einsichtlich sind. Nicht die Tatsache man eine Sicherheitslücke hatte stellt hier das Problem dar, sondern die Art und Weise wie man das ganze unter den Teppich kehren wollte. Ein Verhalten wie dieses trägt nicht gerade dazu bei Vertrauen bei den potentiellen Nutzern zu schaffen. Dieses Vertrauen ist aber die Grundlage des Geschäfts.
23
@max
dann sehe ich das wohl als einziger bisher als problematisch an. ich kann nicht wissen, ob dittes in seiner benachrichtigung an unister erwähnte, dass er die datensätze kopiert hat. ich kann nur lesen, dass er das im blog veröffentlicht - offensichtlich ohne das als problem anzusehen. alleine die veröffentlichung der tatsache des kopierens spricht für eine gewisse naivität von dittes.
wenn er das kopieren also auch in seiner benachrichtigung an unister erwähnt hat, kann ich die schroffe reaktion von unister teilweise nachvollziehen. wenn er es nicht erwähnt hat, dann finde ich die reaktion von unister ebenso überzogen wie viele hier.
da weder auf seinem blog noch hier irgendjemand grundsätzliche bedenken gegen das kopieren zu haben scheint, existiert in diesem speziellen fall wohl kein unrechtsbewusstsein.
damit da keine missverständnisse aufkommen: ich will unister nicht “verteidigen” oder die scharfe reaktion “erläutern”. es ist schlicht nicht in ordnung, sich diese 34000 datensätze anzueignen.
24
Ich finde das Kopieren geht klar als Nachweis dafür, dass das auch wirklich funktioniert (ansonsten wäre es ja bloss eine Vermutung). Die Datensätze an Unister zum Nachweis zu schicken geht auch noch klar (die haben sie ja eh). Eine weitere Speicherung, Weitergabe an Dritte und auch das blosse rumstöbern in den Daten gehen nicht mehr klar. Man könnte allerdings darüber diskutieren, ob es nicht gereicht hätte, lediglich einen einzelnen Datensatz zu kopieren…
25
Naja ein klein wenig Paranoid ist der gute Andreas Dittes schon …
26
Unister ist etwas zu voll mit Werbeinhalten geworden.
Ernsthafte Freundschaften kann man auf diesem Portal wohl kaum finden.
Eine Allternative zu Myspace für Studies ist es allermal.
Danke für das Warnen über die Sicherheitslücken bei Unister.
27
Offizielle Gegendarstellung von Unister,
zu unserem Bedauern hat sich bislang NICHT EINER der berichtenden Blogger bei Unister direkt nach dem Sachverhalt erkundigt bzw. nach Art, Fakten und Auswirkungen des Sicherheitsfehlers gefragt. Um diese Diskussion wieder auf eine sachliche Ebene zu bringen, haben wir unter der folgender URL eine Gegendarstellung, inkl. vollständiger Emailkommunikation mit Herrn Dittes und genauer Beschreibung des Fehlers, veröffentlicht
http://www.unister.de/pdf/gegendarstellung_unister_droht_andreas_dittes_mit_klagen.pdf
Wer sich näher über den Sachverhalt informieren möchte, kann sich jederzeit gerne an Unister wenden und sich dann selbst ein Bild machen. Die Kontaktdaten findet ihr in der Gegendarstellung.
Viele Grüße,
Thomas Wagner
28
zu unserem Bedauern hat sich bislang NICHT EINER der berichtenden Blogger bei Unister direkt nach dem Sachverhalt erkundigt bzw. nach Art, Fakten und Auswirkungen des Sicherheitsfehlers gefragt. Um diese Diskussion wieder auf eine sachliche Ebene zu bringen, haben wir unter der folgender URL eine Gegendarstellung, inkl. vollständiger Emailkommunikation mit Herrn Dittes und genauer Beschreibung des Fehlers, veröffentlicht
http://www.unister.de/pdf/gegendarstellung_unister_droht_andreas_dittes_mit_klagen.pdf
Wer sich näher über den Sachverhalt informieren möchte, kann sich jederzeit gerne an Unister wenden und sich dann selbst ein Bild machen. Die Kontaktdaten findet ihr in der Gegendarstellung.
Viele Grüße,
Thomas Wagner
29
Wow. Das eigentlich Erschreckende ist, wie sich die Blogger-Szene von Herrn Dittes instrumentalisieren lässt. Er nutzt ein Schlupfloch bei Unister aus, klaut Userdaten und erpresst damit Unister (”Wenn ihr nicht bald reagiert, dann veröffentliche ich die Bilder auf meinem Blog”) bzw. hat sogar Bilder unbedarfter Unister-User in sein Blog gestellt! Und dann beklagt er sich, dass Unister sich nicht überschwänglich bei ihm bedankt…
30
Nirgendwo hat er geschrieben, dass er die Bilder veröffentlichen würde, sondern Details zur Sicherheitslücke (die er ihnen ja aber vorab mitgeteilt hat).
Der von dir “zitierte” Satz taucht nirgendwo auf.
31
Und bei den Bildern, die er veröffentlicht hat, ging es wohl um Unister-Logos usw.
32
@yetused: die userdaten wurden nicht “geklaut”. das problem ist, das ich beweisen muss, dass es eine sicherheitslücke gibts. ansonsten wäre es ja eine annahme, dass es eine lücke gibt und keine tatsache.
und du solltest meine artikel und die gegendarstellung nochmal genau lesen, das mit den bildern ist ne andere geschichte… ;)
33
hmm???
34
Dazu aus Andreas’ Antwort auf die Gegendarstellung:
Kompletter Text hier.
35
@Henning
nein, um Logos ging es nicht. Es ging um Bilder. Einmal nachfragen, ob er diese veröffentlichen kann, hätte auch gereicht. Da hätten wir nichts dagegen gehabt, aber einfach klauen ist nicht ok.
36
@Thomas Wagner
Bilder wovon denn?
Jedenfalls ging es nicht um Veröffentlichung der Userprofile, oder?
37
Ein Kommentar von mir (Antwort auf leo) hängt noch in der Moderation. Vermutlich weil ein Link drin war.
38
Antwort auf “hmm???”? ;)
39
@leo:
leider wird in der gegendarstellung nur erwähnt, was für unister positiv sein könnte. dass ich ein praktikumsangebot von studivz abelehnt habe, wurde schon mehrfach erwähnt, auch gegenüber herr wagner.
bitte das nächste mal genauer lesen, johnny hat ja meinen artikel verlinkt, da steht eigentlich schon alles. inklusive warum ich mich dazu nicht mehr wesentlich äußern möchte… ;)
40
@leo
Ja, auf “hmm???”. :-)
Antwort ist jetzt erschienen, siehe oben (Nr. 37).