Es mußte nun offenbar schnell gehen mit der Übernahme der Mehrheitsanteile an StudiVZ. Wilde Spekulationen über spektakuläre Unsummen schossen ins Kraut, um dem PR-Desaster um die Gründer des StudiVZ und die eklatanten Sicherheitslücken endlich Einhalt zu gebieten und werbeträchtiger Legendenbildung über Startuperlöse mit der Brechstange nachzuhelfen. Noch zum Jahresende wurden auf der jährlich stattfindenden Chaos-Computer-Club (CCC) Konferenz verschiedene Analysen gesammelter Daten, von explizit eingeladenen Hackern vorgestellt, die einen Einblick in die Nutzerstruktur des StudiVZ erlauben. Hagen Fritsch: “Bis vor wenigen Wochen war es möglich die öffentlichen Nutzerprofile automatisiert und ungehindert auszulesen.”
Interessant hierbei: die hohe Rechtslastigkeit bei den Rechtswissenschaften und die Dominanz sogenannter Kronloyaler und Kommunisten bei Bergbau und Werkstoffwissenschaften.Allerdings geben die meisten StudiVZ-Nutzer an, unpolitisch zu sein. Darüberhinaus scheinen Männer die Plattform vorwiegend als Datingportal zu benutzen.
Das alles ist allerdings nicht so übermäßig spektakulär und verwundert, angesichts des vollmundig angekündigten Datengaus.
Der Unterstellung einer Zusammenarbeit mit StudiVZ wiederspricht Fritsch allerdings vehement. So gab es zwar Gespräche im Vorfeld des angekündigten Vortrages beim CCC-Kongress und sogar ein Jobangebot, das er allerdings aus Gründen des Zweifels an der Seriösistät der Manager des StudiVZ, insbesondere Ehssan Darianis, ablehnte.
Auf seiner Seite zum Vortrag schreibt Hagen Fritsch: “Man muss StudiVZ zu gute halten, dass sie langsam aus ihren Fehlern lernen. StudiVZ hat einige Maßnahmen eingeführt um das automatisierte crawlen der Profile effektiv zu verhindern. Ein “Abgrasen” ist demnach nur noch in sehr begrenztem Maße mit hohem Zeit- und Arbeitsaufwand möglich.”
Allerdings sind die bisher öffentlichen Daten, der über eine Million Nutzer, die vor dem Skandal und der hektischen Sicherung, durch Hacker “abegrast” wurden, uneingeschränkt durchsuchbar. D.h. wenn man nach StudiVZ-Nutzern sucht, die in einer “offenen Beziehung” leben sowie Mitglied der Gruppe “Massengruscheln” sind und in Hamburg leben, so kann man hier einzelne Personen ermitteln und umgekehrt – wenn man das braucht. Allerdings ohne so private Daten, wie Adresse oder Telefonnummer. Muss man ja auch nicht. Die stehen ja im Telefonbuch.
Wer sich übrigens über das Motiv des Hauptagenten der StudiVZ-Kampagne im Unklaren war, ist mit dem letzten Satz des Postings zum Verkaufserlös inzwischen ausreichend informiert.
Sven: Die Suche mit verknüpften Merkmalen ist ein (derzeit deaktiviertes*) Feature des StudiVZ, dafür braucht es keine Hacker oder abgegrasten Daten (Nichts gegen die Arbeit von Hagen Fritsch, deren Kernaussage wohl ist, dass bis zu 500.000 angemeldeten User Karteileichen/Fakes (SZ) sind, aber das ist eine andere Baustelle).
Durchsucht werden können grundsätzlich die öffentlich einsehbaren Daten, inkl. Beziehungsstatus, politischer Einstellung und zumindest Wohn- und Heimatort (sofern angegeben).
Auf Telefonnummer (ohnehin selten angegeben) und die genaue Adresse (dito) als Suchkriterium kommt es da eigentlich kaum noch an (Das kann man bei Bedarf aus einer Scoring-DB fischen, das was Hagen visualisiert hat nicht).
Bemerkenswert ist in diesem Zusammenhang vielleicht noch, dass bis Ende November auch Daten in verborgenen Profilen durchsucht wurden. Das ist inzwischen aber korrigiert.
Und nun, Dons Motivation war durchaus schon länger bekannt. 5 Jahre etwa. Das ändert aber nichts an den ganz real existierenden Problemen der Community.
*Es gibt allerdings eine inoffizielle Suchmaske eines Bloggers, die die Funktionalität der sogenannten “Supersuche” extern anbietet. Ansonsten kann bzw. konnte man die Parameter aber auch direkt an das Suchscript übergeben.
05.01.2007, 19:08 Uhr, #
Keine Angabe bedeutet nicht, dass die meisten sich fuer unpolitisch halten. Ich habe da keine Zahlen, kann auch nur das wiedergeben, was ich aus ein paar Gespraechen heraus gehoert habe. Die meisten aus meinem Umfeld haben eher ein Problem mit dem starren Schubladendenken, dass bei StudiVZ in Form von vermeitlicher politische Ausrichtung bekleidet ist. Deswegen erfolt meistens keine Angabe, was jedoch definitiv nicht die eigentliche Einstellung der Person wiederspiegeln muss.
05.01.2007, 23:44 Uhr, #
Igor: Das denke ich auch. “Unpolitisch” dürfte in den meisten Fällen der Joker “Lasst mich doch damit in Ruhe” / “Ich möchte mich hier nicht festlegen” sein, nicht aber bedeuten, dass man ohne politische Orientierung/eigene Meinung durch sein Leben stolpert.
Bei “Mitte links”, der Quasi-Standardangabe in der Geisteswissenschaft, dürfte es ebenso sein. Ähnliche Dynamiken darf man im Bereich der Wirtschafts- und vielleicht noch Ingenieurswissenschaften für “liberal” oder “konservativ” annnehmen.
Reichlich unsinnig sind übrigens auch die Differenzierungen. Links von “Liberal” gibt es 5 Abstufungen, auf der anderen Seite mit “Konservativ”, “Mitte Rechts” und “Rechts” gerade einmal 3 (“Kronroyal” ist wohl eher eine Spaßantwort für Kommilitonen mit Hang zur britischen (Pop-)Kultur und weniger eine ideologische Grundhaltung).
06.01.2007, 00:37 Uhr, #
Etwas eigenartig finde ich auch, dass Hagen Fritsch von einer Schließung der Sicherheitslücken spricht. Das eingesetzte CAPTCHA (HN CAPTCHA CLASS) ist nicht sonderlich sicher…
06.01.2007, 02:59 Uhr, #
Jörg, die Daten, auch geschützte, die von Hackern ausgelesen wurden, sind jetzt noch – und auch in Zukunft – problemlos durchsuchbar. Die aktuelle Konfiguration der Datenbank des StudiVZ-Servers erschwert eine Auslese, wie sie vor zwei Monaten, noch innerhalb von vier Stunden möglich war, laut Hagen, erheblich. Auch wenn andere, wie Du, Oliver, offenbar anderer Meinung sind. Jede weitere Enthüllung, die sich beweisen läßt, ist hier willkommen! :o)
06.01.2007, 03:22 Uhr, #
Sven: Ja, natürlich. Der Datenbestand konnte (und wurde wohl auch) bis Ende November/Mitte Dezember recht einfach ausgelesen werden. Darauf habe ich drüben bei mir aber auch oft genug hingewiesen (2. Absatz).
Richtig ist aber auch, siehe auch Hagen, dass inzwischen einiges passiert ist, nicht nur bei den Captchas (die in der modifizierten Form afaik noch nicht geknackt wurden).
Dass öffentliche Daten auch weiterhin abgefragt werden können … ja mei, mein Ansatz war eigentlich schon recht früh, nicht nur auf die real existierende Lücken hinzuweisen, sondern auch ein Bewußtsein dafür zu schaffen, was man einträgt, bzw. wie man sich darstellt (!sich zu verbiegen).
Du bist, hmm, ein wenig spät ,)
06.01.2007, 12:49 Uhr, #
Jörg, was sollen uns die ersten drei Absätze Deines letzten Kommentars (und die zahlreichen Links auf Dein lesenswertes Blog) sagen? Daß Du meinen Blogeintrag überflüssig findest, weil Du schon selber schlau bist? Oder, daß die Arbeit nun erledigt ist. Jetzt wo StudiVZ verkauft und Ehssan Darini und Co. um ein paar Milliönchen, wenn auch nicht in der erhofften Menge, reicher sind. Ging es also hauptsächlich darum den Herren vom StudiVZ die Tour zu vermasseln und nur am Rande um die Nutzerdaten, wie Du selbst noch einen Absatz drüber behauptest. Oder warum sollte ich mit meiner Aufforderung zu weiteren Enthüllungen “hm, ein wenig spät” sein?
06.01.2007, 14:19 Uhr, #