Andreas Dittes hat ein Problem mit dem „größten deutschen Studenten- & Absolventennetzwerk“ Unister. Das Portal, das auf den ersten Blick wie jede x-beliebige Singlebörse daherkommt (was nicht bedeutet, dass es nicht auch eine ebensolche sein könnte, ich konnte es nur nicht überprüfen, denn ich bekomme Fingerkrämpfe bei Sites, die wie ein einziges Werbebanner aussehen und konnte mich daher nicht registrieren), droht ihm offenbar mit Rechtsstreitigkeiten. Der Grund: Dittes hatte die Betreiber des Portals auf Sicherheitslücken aufmerksam gemacht, die den Zugang zu 34.000 Userdaten inkl. E-Mailadresse, Bild und Name ermöglichten.
Wer die letzten Zeilen mehrfach gelesen hat um den kausalen Zusammenhang zu verstehen und trotzdem immer noch mit einem dicken „HÄH?“ im Gesicht vor dem Rechner sitzt, dem geht es wie Andreas Dittes.
01
“HÄH?”
Jopp genau das war meine Reaktion… Normalerweise zeigt man doch dankbarkeit, schlimmstenfalls wird die Sicherheitslücke gestopft und der Warner unbeachtet gelassen, bzw ignoriert… aber sowas…
Alle Kommentare von Hendrik
02
Unister scheint es nicht nur mit der Sicherheit nicht ganz genau zu nehmen…
Zwar sagen sie sie seien das größte Studentennetzwerk Deutschlands, allerdings findet man über die Suche bei ihnen nur etwas über 100000. Letzte Woche war im Spiegel ein Bericht von studiVZ.net, dort sind schon über 500.000 deutsche Studenten!
Sie scheinen sich also auch noch wichtiger zu machen als sie eigentlich sind…
Alle Kommentare von Thomas
03
Meine Meinung: Unister ist unseriös.
Wenn man eine (beliebige?) Seite von Unister aufruft, wird auch ein für Google Analytice benötigtes Javascript nachgeladen. Das passiert ganz am Ende der Seite:
_uacct = “UA-31842-12″;
urchinTracker();
Die AGB von Google schreiben ausdrücklich und verbindlich vor, dass in den AGB der Seite des Analytics-Anwenders auf die Weiterleitung der Userdaten an Google ausdrücklich hingewiesen wird. Insbesonders da die Daten an Google USA weitergeleitet werden. ICH finde weder in den AGB noch in der Datenschutzerklärung keinen Hinweis auf den Einsatz von Google Analytics.
Im Fußball werden Spieler die foulen vom Platz gestellt. Und hier?
Nachtrag:
Wer das als User nicht möchte, kann Google Analytice in seine Hostsdatei (unter Win 2000 und XP zu finden unter \windows\system32\drivers\etc\) aufnehmen, ungefähr so:
127.0.0.1 http://www.google-analytics.com
127.0.0.1 google-analytics.com
Dann ist Ruhe. Bei allen Seiten, die Google Analytice einsetzen.
Alle Kommentare von Richard Kaufmann
04
Es ist eine Krankheit unserer Zeit. Im Wettlauf um das tollste Portal mit den meisten Usern und den dicksten Werbeeinnahmen werden Dinge wie Datensicherheit vernachlässigt. Während Systementwickler vor einigen Jahren noch einen wesentlich stärkeren Fokus auf sichere Mechanismen gerichtet haben, werden sie heute dazu getrieben die Scheunentore zugunsten von Ajax-Features, Werbe-APIs und BlingBling-Features aufzureissen. Auf die freundliche, unentgeldliche Mithilfe von Experten wird mit Drohgebärden reagiert, in der Hoffnung, es würde schon keiner merken. Die einzig korrekte Reaktion wäre doch gewesen, dem Mann zu danken und ihn im Zweifelsfal zu bitten, die Informationen wenigstens so lange zurückzuhalten, bis die Löcher gestopft sind. Man hätte ihm auch eine Gegenleistung für eine Tätigkeit als Tester anbieten können…
Alle Kommentare von leo
05
@Richard: Nett umgelitten ;)
Alle Kommentare von leo
06
“Hier findest Du
ddos-attackenStudenten deiner Hochschule!”Unister du bist einfach Klasse…
Alle Kommentare von Andreas
07
Dass so was auf den web2.0 Zug mit aufspringt, war abzusehen. Früher oder später.
“Anstupsen” ist also voll im Trend, ja? Ganz schön zickig reagieren die, wenn ein Blogger die mal “anstupst”.
Alle Kommentare von mspro
08
Wer weiß wen sie schon alles mit einem Anwalt gedroht haben um unschöne Dinge unter den Tepich zu kehren.
Rein theoretisch könnte eventuell ein direkter Konkurrent von Unister diese wegen unlauteren Wettbewerb abmahnen. Unister muss Geld in den Datenschutz investieren genauso wie die Konkurenz auch. Das scheint aber nicht der Fall gewesen zu sein…
Alle Kommentare von Felix
09
also entweder bin ich hier der einzige, dem eine “kleinigkeit” in dittes’ artikel auffällt, oder eben jene wird von allen ignoriert:
“Daraufhin habe ich eine Kopie der Datensätze erstellt [...]”
das hätte herr dittes besser unterlassen. das geht deutlich über das “auf eine lücke aufmerksam machen” hinaus. das ist eben das aktive ausnutzen dieser lücke - ein mögliches “ist ja nur zur dokumentation…” zählt für mich absolut nicht.
wenn man eine solche lücke entdeckt, meldet man sie und nutzt sie gefälligst nicht selbst.
Alle Kommentare von ~thc
10
ich finde wir sollten den lieben herrn wagner von unister mit emails überschütten in denen wir unserer unzweideutige begeisterung über sein geschäftsgebaren zum ausdruck bringen.
ein mann der seine firma so fair, freundlich, kundenorientiert, vernünftig und kulant führt verdient unser aller lob und aufmerksamkeit.
das er dabei immer mit der gesellschaftlichen und unternehmerischen verantwortung die die handhabung sensitiver personenbezogener datenbestände mit sich bringt im blick handelt versteht sich von selbst.
nie würde er zu einschüchterungstaktiken greifen die für den gemeinen blogleser den beigeschmack der nötigung wenn nicht gar der erpressung besäßen.
nein ein mann wie thomas wagner war und ist schon seit je ein vorkämpfer der informations- und meinungsfreiheit gewesen.
ps: und über unister wird nie ein böses wort über meine virtuelen lippen kommen, das könnte ich mir nämlich gar nicht leisten.
Alle Kommentare von westernworld
11
ajeh, ich hab mich da mal vor x-millionen jahren registriert, weil man dort auch wohnungsangebote aufgeben kann (bin jetzt draußen). seit einem jahr erreichen sogar amerikanische spammails meinen uni-mail-account, der sonst absolut alles abprallen lässt und den ich kaum benutze, bzw. dessen adresse ich seit zwei jahren nirgendwo mehr hinterlassen habe.
ob das eine was mit dem anderen zu tun hat, weiß ich nicht - is nur ne vermutung.
Alle Kommentare von sunny3d
12
thc: durch entdecken der lücke hat man sie genutzt. Zum zweiten braucht er ja einen Beweis. Es ist keine Kleinigkeit, es ist schlicht notwendig.
Alle Kommentare von Max
13
Unister scheint auf dem Weg zu sein einen astreinen Jamba hinzulegen.
PR-GAU the next generation sozusagen…
Alle Kommentare von bibo
14
Was den PR-GAU betrifft, scheint das in diesem Fall wohl nur eine Frage der Zeit gewesen zu sein.
Mal unabhängig von der Geschichte mit Andreas… einfach dem Trackback (Kommentar 2) folgen und da die 3 Links zu SEO und Spam genauer angucken.
Alle Kommentare von martin
15
Apropos, PR-Gau… da mein Trackback offenbar nicht durchkam, hier manuell: Unister: Sicherheitslücke wird zu PR-Gau
Alle Kommentare von Henning
16
Warum ist alles immer gleich ein “Skandal”, “GAU” oder “Affäre”?
Alle Kommentare von Uwe Keim (muss sein)
17
Wie würdest du es in diesem Fall nennen?
Alle Kommentare von Henning
18
@uwe #18: Wenn man bedenkt, dass “das Recht auf informationelle Selbstbestimmung” ein anerkanntes Grundrecht ist [1], das in diesem Fall, zumindest fahrlässig, in 34000 Fällen verletzt wurde und im Nachhinein versucht wurde, eine fortwährende Verletzung durch Vertuschung zu gewährleisten, darf man schon mal von einem “Skandal”, einem “Gau”, einer “Affäre” und eventuell sogar von einem “Verbrechen” reden.
Dass IT-Sicherheit nicht vollständig zu gewährleisten ist, ist kein Geheimnis, aber Professionalität (und in diesem Fall Rechtsbeweusstsein) zeigt sich häufig darin, wie mit Pannen (die ja vorkommen können) umgegangen wird.
[1] http://www.datenschutz.de/recht/grundlagen/
Alle Kommentare von leo
19
Manueller Trackback, da auch mein Trackback irgendwie nicht so durchkam…
Alle Kommentare von Hong-An
20
Gar nicht, Henning, klingt unglaublich, aber ich würde nicht versuchen, dem Ding (”Vorfall”) einen Namen zu geben.
Nur weil es einen Namen hat ist es auch nicht anders.
Alle Kommentare von Uwe Keim (muss sein)
21
Ich finde, ab einer gewissen Grösse (keine Lapalie mehr) sollte man häufig und lange über solche Dinge reden. Wenn die Dinge dann einen Namen haben, vereinfacht das die Kommunikation und es macht es für den Übeltäter schwerer, das Label wieder loszuwerden, was ich in diesem Fall gut und richtig finde.
Alle Kommentare von leo
22
Ich finde schon das der Begriff GAU hier zutreffend ist. Social-Network-Sites leben davon das ihnen die Nutzer ihre Daten bereit stellen. Dies tun viele ohne darüber nachzudenken was damit geschieht aber für die meisten dürfte es schon interessant sein das ihre Angaben nicht für jeden einsichtlich sind. Nicht die Tatsache man eine Sicherheitslücke hatte stellt hier das Problem dar, sondern die Art und Weise wie man das ganze unter den Teppich kehren wollte. Ein Verhalten wie dieses trägt nicht gerade dazu bei Vertrauen bei den potentiellen Nutzern zu schaffen. Dieses Vertrauen ist aber die Grundlage des Geschäfts.
Alle Kommentare von Lars
23
@max
dann sehe ich das wohl als einziger bisher als problematisch an. ich kann nicht wissen, ob dittes in seiner benachrichtigung an unister erwähnte, dass er die datensätze kopiert hat. ich kann nur lesen, dass er das im blog veröffentlicht - offensichtlich ohne das als problem anzusehen. alleine die veröffentlichung der tatsache des kopierens spricht für eine gewisse naivität von dittes.
wenn er das kopieren also auch in seiner benachrichtigung an unister erwähnt hat, kann ich die schroffe reaktion von unister teilweise nachvollziehen. wenn er es nicht erwähnt hat, dann finde ich die reaktion von unister ebenso überzogen wie viele hier.
da weder auf seinem blog noch hier irgendjemand grundsätzliche bedenken gegen das kopieren zu haben scheint, existiert in diesem speziellen fall wohl kein unrechtsbewusstsein.
damit da keine missverständnisse aufkommen: ich will unister nicht “verteidigen” oder die scharfe reaktion “erläutern”. es ist schlicht nicht in ordnung, sich diese 34000 datensätze anzueignen.
Alle Kommentare von ~thc
24
Ich finde das Kopieren geht klar als Nachweis dafür, dass das auch wirklich funktioniert (ansonsten wäre es ja bloss eine Vermutung). Die Datensätze an Unister zum Nachweis zu schicken geht auch noch klar (die haben sie ja eh). Eine weitere Speicherung, Weitergabe an Dritte und auch das blosse rumstöbern in den Daten gehen nicht mehr klar. Man könnte allerdings darüber diskutieren, ob es nicht gereicht hätte, lediglich einen einzelnen Datensatz zu kopieren…
Alle Kommentare von leo
25
Naja ein klein wenig Paranoid ist der gute Andreas Dittes schon …
Alle Kommentare von Jan(TM)
26
Unister ist etwas zu voll mit Werbeinhalten geworden.
Ernsthafte Freundschaften kann man auf diesem Portal wohl kaum finden.
Eine Allternative zu Myspace für Studies ist es allermal.
Danke für das Warnen über die Sicherheitslücken bei Unister.
Alle Kommentare von Marina making pictures
27
Offizielle Gegendarstellung von Unister,
zu unserem Bedauern hat sich bislang NICHT EINER der berichtenden Blogger bei Unister direkt nach dem Sachverhalt erkundigt bzw. nach Art, Fakten und Auswirkungen des Sicherheitsfehlers gefragt. Um diese Diskussion wieder auf eine sachliche Ebene zu bringen, haben wir unter der folgender URL eine Gegendarstellung, inkl. vollständiger Emailkommunikation mit Herrn Dittes und genauer Beschreibung des Fehlers, veröffentlicht
http://www.unister.de/pdf/gegendarstellung_unister_droht_andreas_dittes_mit_klagen.pdf
Wer sich näher über den Sachverhalt informieren möchte, kann sich jederzeit gerne an Unister wenden und sich dann selbst ein Bild machen. Die Kontaktdaten findet ihr in der Gegendarstellung.
Viele Grüße,
Thomas Wagner
Alle Kommentare von Thomas Wagner
28
zu unserem Bedauern hat sich bislang NICHT EINER der berichtenden Blogger bei Unister direkt nach dem Sachverhalt erkundigt bzw. nach Art, Fakten und Auswirkungen des Sicherheitsfehlers gefragt. Um diese Diskussion wieder auf eine sachliche Ebene zu bringen, haben wir unter der folgender URL eine Gegendarstellung, inkl. vollständiger Emailkommunikation mit Herrn Dittes und genauer Beschreibung des Fehlers, veröffentlicht
http://www.unister.de/pdf/gegendarstellung_unister_droht_andreas_dittes_mit_klagen.pdf
Wer sich näher über den Sachverhalt informieren möchte, kann sich jederzeit gerne an Unister wenden und sich dann selbst ein Bild machen. Die Kontaktdaten findet ihr in der Gegendarstellung.
Viele Grüße,
Thomas Wagner
Alle Kommentare von Thomas Wagner
29
Wow. Das eigentlich Erschreckende ist, wie sich die Blogger-Szene von Herrn Dittes instrumentalisieren lässt. Er nutzt ein Schlupfloch bei Unister aus, klaut Userdaten und erpresst damit Unister (”Wenn ihr nicht bald reagiert, dann veröffentliche ich die Bilder auf meinem Blog”) bzw. hat sogar Bilder unbedarfter Unister-User in sein Blog gestellt! Und dann beklagt er sich, dass Unister sich nicht überschwänglich bei ihm bedankt…
Alle Kommentare von Yetused
30
Nirgendwo hat er geschrieben, dass er die Bilder veröffentlichen würde, sondern Details zur Sicherheitslücke (die er ihnen ja aber vorab mitgeteilt hat).
Der von dir “zitierte” Satz taucht nirgendwo auf.
Alle Kommentare von Henning
31
Und bei den Bildern, die er veröffentlicht hat, ging es wohl um Unister-Logos usw.
Alle Kommentare von Henning
32
@yetused: die userdaten wurden nicht “geklaut”. das problem ist, das ich beweisen muss, dass es eine sicherheitslücke gibts. ansonsten wäre es ja eine annahme, dass es eine lücke gibt und keine tatsache.
und du solltest meine artikel und die gegendarstellung nochmal genau lesen, das mit den bildern ist ne andere geschichte… ;)
Alle Kommentare von Andreas Dittes
33
hmm???
Alle Kommentare von leo
34
Dazu aus Andreas’ Antwort auf die Gegendarstellung:
Kompletter Text hier.
Alle Kommentare von Henning
35
@Henning
nein, um Logos ging es nicht. Es ging um Bilder. Einmal nachfragen, ob er diese veröffentlichen kann, hätte auch gereicht. Da hätten wir nichts dagegen gehabt, aber einfach klauen ist nicht ok.
Alle Kommentare von Thomas Wagner
36
@Thomas Wagner
Bilder wovon denn?
Jedenfalls ging es nicht um Veröffentlichung der Userprofile, oder?
Alle Kommentare von Henning
37
Ein Kommentar von mir (Antwort auf leo) hängt noch in der Moderation. Vermutlich weil ein Link drin war.
Alle Kommentare von Henning
38
Antwort auf “hmm???”? ;)
Alle Kommentare von leo
39
@leo:
leider wird in der gegendarstellung nur erwähnt, was für unister positiv sein könnte. dass ich ein praktikumsangebot von studivz abelehnt habe, wurde schon mehrfach erwähnt, auch gegenüber herr wagner.
bitte das nächste mal genauer lesen, johnny hat ja meinen artikel verlinkt, da steht eigentlich schon alles. inklusive warum ich mich dazu nicht mehr wesentlich äußern möchte… ;)
Alle Kommentare von Andreas Dittes
40
@leo
Ja, auf “hmm???”. :-)
Antwort ist jetzt erschienen, siehe oben (Nr. 37).
Alle Kommentare von Henning