Kommentare zu: Der SchülerVZ-Skandal ist keiner

Von: Oliver Springer

Oliver Springer — Wed, 05 May 2010 19:41:57 +0000

Ganz egal, ob es sich um ein Datenleck handelt. Es ist eine prima Gelegenheit, wieder auf das gefährliche Internet hinzuweisen…

Ob man Profil-Daten in einem Sozialen Netzwerk überhaupt schützen kann, ist bereits zu bezweifeln.

Von: Enno Park

Enno Park — Tue, 04 May 2010 14:51:51 +0000

@cosmo: bei auf privat gesetzte Daten stimme ich dir völlig zu. Bis auf Teile geht es aber um Daten, die die Schüler innerhalb des Netzes veröffentlich haben und die sich problemlos einsehen lassen. Dass auf Facebook irgendwelche alle Apps prinzipiell Zugriff auf ALLE meine Daten haben, auch die auf privat gesetzten, halte ich zum Beispiel für einen wesentlich größeren Skandal. Ich möchte in diesem Zusammenhang auch auf das äußerst lesenswerte FAZ-Blog “CTRLverlust” von Michael Seemann hinweisen: http://faz-community.faz.net/blogs/crtl-verlust/default.aspx

Von: cosmo

cosmo — Tue, 04 May 2010 14:41:56 +0000

Der scheinbar harmlose Gedanke, es wäre keine Frage, was die VZe “dagegen tun”, ist in der Konsequenz übrigens kreuzgefährlich: Er führt dahin, dass die löchrige Datensicherheit und das Überspielen derselben mit Sicherheitszertifikaten und Testsiegen völlig in Ordnung ist und der vom Datenmissbrauch betroffene “selbst schuld” am Datenmissbrauch ist.

Von: Parkrocker

Parkrocker — Tue, 04 May 2010 14:25:19 +0000

@Niclas:
Und für wie schwer genau hälst Du es, an eine Einladung ins SchülerVZ zu kommen? ;)
Das ist kein echtes Problem…

Von: Tweets die YuccaTree Post + » Der SchülerVZ-Skandal ist keiner erwähnt -- Topsy.com

Tue, 04 May 2010 14:23:26 +0000

[...] Dieser Eintrag wurde auf Twitter von Stephanie Frank, Mathias Penz, Daniel Bröckerhoff, Werner Lenhard, Jürgen Vielmeier und anderen erwähnt. Jürgen Vielmeier sagte: Der SchülerVZ-Skandal ist keiner http://bit.ly/cpvI4I [...]

Von: VolkerK

VolkerK — Tue, 04 May 2010 14:23:09 +0000

Enno, ich stimme Dir zu. Das Problem ist nicht der Crawler. Das Problem ist, dass dort Daten stehen. Es stellt sich also keineswegs die Frage, was die VZe “dagegen tun” – das wird immer nur ein Wettlauf mit den Crawlern sein. Die Frage ist – und die kann ich ohne Einblick ins SVZ nicht beantworten -: Was kann mit den Daten angestellt werden?
Sicherlich wird kei Pädo einen Crawler einsetzen, um das Profil eines potenziellen Opfers zu analysieren – die Aussage ist Blödfug.
Es geht um das Massengeschäft mit Handynummern und Mailadressen. So diese überhaupt in den Profilen stehen.
Den Eltern, die jetzt empört sind, sollten sich vielmehr mal damit befassen, was ihre Kinder so umtreibt

Von: Enno Park

Enno Park — Tue, 04 May 2010 14:22:07 +0000

@Philipp: Zu 1.: Wie möchtest du das verhindern? Entweder jeder kann sich anmelden, oder man kann einladen. Sobald man einladen kann, kann man auch fake-einladen. Die Einladerei war von Anfang an Augenwischerei. Zu 2.: War mir nicht bekannt, aber zumindest Rumpfinformationen müssen ja herausgegeben werden, sonst wäre ein Teilnahme an Gruppen mit einem privaten Profil nicht sinnvoll möglich bzw. das, was jemand in der Gruppe ablässt, passiert außerhalb seines Profils. Zu 3.: Eine ID ist immer irrelevant. Die Kombination aus Name, Schule, Wohnort und Alter ergibt immer einen Datensatz. Die ID erleichtert nur die Auffindbarkeit/Organisation/Zuordbarkeit der Daten. – wie ich im Artikel schon (vereinfacht) schrieb: Man kann die Schrauben beliebig weit andrehen, es wird trotzdem immer Möglichkeiten geben, zu crawlen, nur eben komplexer. Und Öffentlichkeit innerhalb einer geschlossenen Gruppe ist doch Öffentlichkeit, wenn diese Gruppe mal eben 4-5 Millionen Mitglieder umfasst.

Von: Niclas

Niclas — Tue, 04 May 2010 14:13:36 +0000

Wie im oberen Kommentar schon erwähnt wurde, kann sich nicht einfach jeder anmelden, sondern man muss von einem angemeldeten Mitglied eingeladen werden.

Von: weipah

weipah — Tue, 04 May 2010 14:11:44 +0000

Ich finde als Netzwerk sollte man schon zweimal drüber nachdenken, wie man mit den Informationen umgeht. Vorallem wenn mann schon öfters wegen solcher Schlupflöcher wie Crawling-Angriffen aufgefallen ist.

Zum Beispiel könnte man dazu übergehen persönliche Daten wie Vor- und Nachname zwar innerhalb der Datenbank zu erfassen, diese aber nicht als Klartext im Profil auslesbar darzustellen. So wäre zum Beispiel gewährleistet, dass die Suchfunktion noch nutzbar ist mit vollem Namen, diese Daten aber im UI nicht mehr auslesbar wären.

Viele Nutzer sind ja schon von sichaus dazu übergegangen Phantasienamen bei der Registrierung an zu geben, wodurch der eigentliche Sinn des Netzwerks natürlich in die Brüche geht. Das Suchen und Finden von Ehemaligen ist quasi nicht mehr möglich.

Wenn man sich ein paar Gedanken macht, fallen einem da schon noch mehr Dinge ein, die man noch “sicherer” gestalten könnte. Vorallem wenn man Mitarbeit einstellt, die eigentlich dafür bezahlt werden, solche Ideen zu haben ;-)

Von: Philipp

Philipp — Tue, 04 May 2010 14:06:42 +0000

Falsch. Man kann sich nur nach Einladung eines Mitglieds bei SchuelerVZ registrieren. Der “hacker” hat mit einem account also beliebig viele neue accounts erstellen können. Das ist Skandal nr 1. Skandal nr 2: der Crawler konnte auch nicht öffentlich zugängliche Profile abrufen, da diese auch weitehin bei Gruppen zu finden waren. Skandal nr 3: VZ ändert die Profil IDs der Nutzer (früher waren das noch statische IDs), der crawler konnte aber aus Kombination der weiterhin statischen Profilbild-Url, Namen und Schul-ID eindeutige Datensätze erzeugen.

Von: cosmo

cosmo — Tue, 04 May 2010 14:05:40 +0000

So lange prinzipiell alle Daten für alle Mitglieder öffentlich sichtbar sind, gibt es auch Mittel und Wege, diese Daten zu ernten.

Das ist ja nicht falsch. Aber leider steht in dem Artikel irgendwie nicht drin, warum das SchülerVZ-Datenleck kein Skandal sein soll, wie die Überschrift behauptet.