StudiVZ – Hell in the Making
Dreifache Realität am 27.11.2006, festgehalten, weil es so unfassbar ist.
vs.
vs.
Sollte ich mal wieder Studenten was über Krisen-PR erzählen, dann weiss ich, was ich ihnen zeigen werde, um es auch dem Letzten zu erklären. Das da oben ist der Moment, bei dem der Kiel über die Kanten des Eisberg scheuert, während auf den Vergnügungsdecks die Durchsage kommt, dass das Orchester gleich wieder spielen wird.
Sorry, the comment form is closed at this time.
Erster again! Der Hauptfilm läuft weiter! Super!
und auf ein neues… bin gespannt auf die nächste neuigkeit…
werden sie wieder den stecker ziehen?
werden diesmal gleich alle profile gelöscht werden?
wir werdens sehen…
hi Don,
okay du hast Recht, deine Taktik ist voll und ganz aufgegangen, so lange im Dreck wühlen, bis sich selbst das schmutzigste Schwein auch noch aufregt…sehr gut, ein weiteres Mal sind unsere Interessen uim Spiegel gelandet.
dir Gratulierender,
elgrande
Im ersten Bild hätte auch stehen können:
Rechnung mit bei? 800 Euro etwa?
Nur my 2 cent.
Ausserdem ist es jetzt zu spät.
Hab grad was gefunden, was doch recht interessant ist…
Session Hijacking bei Studivz.net
Schon im August habe ich bei Studivz eine XSS Luecke entdeckt ueber die ich die Session und damit den Account eines Users uebernehmen konnte. Der Besuch auf meiner Studivzseite reichte, um die noetigen Information zu klauen. Ueber das Skypefeld konnte ich damals beliebigen JS Code einschleusen.
Nun aber zur neuen Sicherheitsluecke:
Das Problem liegt diesmal im Loeschen von Lehrveranstaltungen. Ueber folgende URL kann ich beliebigen JS Code einbinden:
[Edit: Jaja, ist bekannt, aber wir sind hier keine Hackerschule. Mit Bitte um Verständnis – Don]
Da wir es ja gerade vom Marketing haben:
http://www.pre sseportal.de/story.htx?nr=907280&firmaid=42945
(Gefunden bei Jörg-Olaf Schäfers, fx3.org/blog/2006/11/28/mitbewerber-marketing-mit-fingerspitzengefhl/)
http://de.wikipedia.org/wiki/Intergenia
Soviel zum 27-jährigen Gründer. *hust* Woran erinnert mich dieser Junge-Leute-machen-nettes-Startup-Trick nur?
Ich denke nicht, dass es zu spät ist.Viel mehr denke ich, dass es die einzige Möglichkeit ist, den Laden vor nachhaltigen Schäden zu bewaren, indem man möglichst schnell doch noch korrekt reagiert.
Einzig die Hosen runter lassen und Reue zeigen scheint noch geeignet zu sein um einen dauerhaften Imageschaden abzuwenden.
Und vor allem ist es wichtig das Ding entweder sicher oder dicht zu machen, bevor alle Script-Kiddies deren Basteltrieb man mit katastrophaler Informationspolitik angespornt hat ihre Scripts fertig haben. Weitere Angriffe werden nämlich ziemlich sicher kommen.
Hosen runter lassen und Reue zeigen läuft bei denen aber nicht unter cool.
Wenn alle die einigermaßen was in der Birne haben, ihre Accounts löschen und nur die Dumpfbacken drin bleiben, wie steht’s denn dann mit der coolness? Ich denke es fehlt kaum noch was von außen, momentan frisst sich das Ding von innen auf und das ist nur zu stoppen wie o.a. und hat auch nicht mehr viel Zeit. Aber vielleicht bin ich auch nur zu naiv und idealistisch!?
Mir wird in der Diskussion zu wenig unterschieden zwischen den Sicherheitsmängeln, die sich aus dem mangelnden technischen Equipment von StudiVZ ergeben, und solchen, die sich sozusagen aus der Logik der Sache, d. h. aus dem System einer Kontaktbörse mit user-generiertem Content ergeben.
Selbst wenn StudiVZ es schafft, die eklatanten Sicherheitsmängel abzustellen, bleibt es doch dabei, dass die Idee nur so lange funktioniert, wie Studenten bereit sind, relativ viel Daten von sich in einem offenen Netzwerk preiszugeben.
Ich meine, sobald ich dort nicht mehr auch einfach mal rumsurfen kann und gucken, mit wem denn die XY so befreundet ist und was sie für Partyfotos im Netz hat, ist doch der Gag weg: Wenn alle Daten komplett abgeschottet und tatsächlich nur noch für verifizierbare Freunde sichtbar sind, kann man doch im Prinzip auch wieder mailen.
Solange aber das System vom Zugang relativ offen ist, wird es immer so sein, dass da Männer nach Frauen surfen und sich über die auch mehr oder weniger geistreich unterhalten, sei es im Netz oder im RL.
So gesehen ist der entscheidende Knackepunkt der Geschäftsidee wahrscheinlich tatsächlich, ob die Frauen das – wenn der erste Reiz des Neuen mal weg ist – auf die Dauer mit sich machen lassen, ob der gefühlte Vorteil des “Rumstöbern-Könnens” über Kommilitonen den Nachteil der eigenen Preisgabe von Daten überwiegt. Wie hier einer treffend geschrieben hat: Eine Disko, in die keine Frauen gehen, ist tot.
Irgendwie hat mich sowieso noch keiner überzeugen können, was an dem Ding denn eigentlich wirklich cool sein soll. Ich meine, wenn ich WIRKLICH angesagt bin, habe ich es doch gar nicht nötig, mich in so einem Netzwerk zu präsentieren: Derjenige, mit dem ICH Kontakt haben möchte, kriegt meine Email-Adresse, fertig.
Die wollen doch vor allem die Hosen von Chicks auf Party-WC Mitte runterlassen. Hab mir gestern abend nochmal die Videos bei Woutube angeguckt – höchstnotpeinlich! Bald ist wieder Wochenende und Partyzeit – dann wird in Berlin und beim StudiVZ wieder alles gut: auf zur Party…
MfG
Daniel
@Dave-Kay:
In Bezug auf das “Sich von innen auffressen”:
Jain! Auch wenn Don und andere zu Recht den Umstand erwähnen, dass hier per Mund-zu-Mund en masse die andere Seite der Wirklichkeit von StudiVZ verbreitet wird … meine eigene Erfahrung im Bereich von Internet-Unternehmen sagt, dass die kritische Masse an Teilnehmern bei StudiVZ bereits zu groß und somit zu träge ist, um hier dauerhaften Schaden anzurichten.
Ich habe selbst erlebt, wie trotz massiver technischer Probleme, miserabler Performance, unausgereifter Bezahldienste, Abrechnungsfehlern und grassierender Spam-Mails die Nutzerzahlen eines nicht unbekannten FreeMail-Anbieters unentwegt in die Höhe geschossen sind.
Zwar hat man sich dort doch etwas professioneller Verhalten, was Kommunikation und Fehlerbehebung anging, aber das öffentliche Image war denoch massiv im Keller und zB. in Foren wurde nur noch abgekotzt. Ohne jeden großartigen Einfluss …
Es kümmert den Durchschnitts-User nicht. Schlimme Dinge passieren nämlich immer nur den anderen und wer dabei Schaden erleidet, ist doch selber schuld, da “MIR”tm sowas nie passieren kann.
da ist ein bekennerschreiben aufgetaucht:
http://fx3.org/blog/2006/11/28/studivz-bitte-keine-bekennerschreiben-danke/
Die zentrale Frage bei einem Verkauf ist doch, wie lange bleiben die Studenten dabei, wasnn schreiten die Unis ein, was kommt da noch. Das spielt gerade nicht so die Rolle, aber die wollen ja Kasse machen. Die Community ist zuerst mal nicht stabil, sondern nur stark vernetzt. Bislang ist die Folge die Stabilität, aber was ist, wenn die Vernetzung als instabilisierendes Moment genutzt wird? Und was ist, wenn das Gruscheln mal seinen Reiz verliert? Ich weiss noch, wie Gruppen wie Cycosmos damals 2001 auf Kritik reagiert haben, da gab es bombenfeste Communities mit Einpeitschern und Jubelpersern, genützt hat es ihnen allen nichts.
Cycosmos? Neulich – als so ein Matrix-Film kam – fragte ich mich was daraus geworden ist.
Wurde wegen zu hoher Kosten, fehlender Einnahmequellen und Unverkäuflichkeit im Rahmen der späten 2001er Reastrukturierung von I-D Media geshitcanned, was dem Börsenkurs aber auch nicht mehr geholfen hat.
@19: Daraus ist das hier geworden: Cynigma [http://www.cynigma.com]
“Jubelperser” ist aber angesichts von Darianis Herkunft nicht gerade gut ausgesucht. Aber um so lustiger. Auch schön: “Gruschelperser”, was aber auch wieder leider ein Einstieg für Kritiker werden könnte, die mal schön unter ihresgleichen rumkritisieren sollten. Deshalb: Vorsicht!
Ist es eigentlich bekannt, dass Dariani seinen eigenen Blog hat, sich darin am 17.11.06 das letzte Mal angemeldet hatte und dennoch die Dokumentation seines Chat – “Dialogs” mit seinem Freund namens “bjoern” dort belassen hat? In jenem Beitrag geht es so gut wie ausschliesslich um die verzweifelten Versuche rund um das Aufreissen von Vertreterinnen der Damenwelt, was scheinbar nicht so recht gelingen mag, aber auch das ist total lustig und hipp.
Der aktuellste Artikel befasst sich bereits mit der Freude auf das so zumindest gepriesene Samwer-Kind myvideo.de, was ja nun auch nicht einer gewissen Tragikkomik entbehrt.
Der testosteronschwangere erste Eintrag ist wohl ein Versuch, sich selbst literarische Qualität zu beweisen und ist gänzlich determiniert durch gegenläufige Elemente.
http://dariani.blog.de/
Jeans, Dariani-Bashing wegen den Einträgen in seinem Privatblog ist doch von gestern. Hier geht es inzwischen doch um was ganz anderes.
Und Onkel Lukasz ist jetzt erstmal nach Thailand in den Urlaub abgedampft. Weiterhin wortlos. Das nenne ich “aktives Investment”.
– Ein Fehler kommt selten allein. Mit Ajax kommen oft mehr Sicherheitslücken als es durch PHP überhaupt möglich war – vor allem, wenn man einen Teil aus Büchern verwendet oder bekannte Frameworks benutzt, aber die nicht updatet …
– Und was das Thema Datenschutz betrifft – mit http://www.studivz.net/profile.php?ids=xxxx und xxxx als aufsteigende hexadezimale Zahl freut sich der gute, alte Datenharvester über jede Menge einsammelbare Profile mit Geburtsdatum und so. Genause bei Freunden und den anderen – ist nur leicht anders kodiert. Die Programmierer müssen echt billig gewesen sein.
wenn Dariani nochmal nach vorne treten sollte (was ich nicht erwarte) gibts noch genügend Dinge die in gut gesicherten Giftschränken (oder offen im Netz, wenn man weiss wo man gucken muss) rumliegen.
Aber nach allem was wir wissen hat Dariani Kontaktsperre und kein Ruder mehr in der Hand. Also konzentrieren wir uns doch auf das Datenproblem und die Firma StudiVZ ltd.
EsEmKa, die meisten Coder sitzen den Maulwürfen zufolge in der Ukraine, also nicht in Berlin.
http://www.studivz.net/blog/?p=87#comment-5154
Der Kommentar von el_loco
EsEmKa: Das ist aber nix neues, und das mit den Hexzahlen funktioniert auch nur zufällig, man würde bei konsequenter Anwendung mit dem verfahren nicht alle Profile erreichen.
@feiern (28):
K̦stlich ! Treffer Рversenkt !
@25: Lustiges Detail am Rande:
Entweder sind in den IDs einige Sachen überflüssig oder, was ich eher vermute, bei denen existieren einige Kopien jedes Profils. Jedenfalls konnte ich grad bei mir die vorletzte Ziffer der ID größtenteils nach belieben austauschen und landete bei den meisten Varianten wieder auf meinem Profil. Ist allerdings auch nicht ganz zusammenhängend, zwischendurch waren ab und zu ein paar andere Profile zwischengeschoben.
Künstliche Vergrößerung der Benutzerzahlen? Oder nur sonderbare Programmierung? Oder ein eigenartiger und schlechter Mechanismus, um zwischen verschiedenen Datenbanken zu synchronisieren? Ok, letzteres ist etwas weit hergeholt…
Ein bestimmtes System konnte ich noch nicht feststellen, und obs auch bei anderen Teilen der ID oder anderen Benutzern klappt hab ich noch nicht ausprobiert, zu faul.
StudiVZ und “Stalker”
Oh man, ist heute Tag der ekel Nachrichten? Ich kann gar nicht so viel essen wie ich kotzen will. Grad bei Fefe auf das hier gestoßen. Da haben sich bei StudiVZ ~700 MÀnner zusammengetan und haben eine SicherheitslÃŒcke der Software ausgenutzt um an …
@31
Hab mir das mit den IDs grade auch mal angesehen: Man kann jeden Buchstaben/Zahl bis zu einem bestimmten Maß ändern und landet trotzdem immer beim selben Profil. Es scheint mir fast so als würde ne “Quersumme” gebildet und das Profil, das am nächsten dran liegt ausgewählt.
warum denn so kompliziert?(@25)
Nimm einfach id statt ids, bei 4 geht es los *haha*
http://www.studivz.net/profile.php?id=
@33: Nja, nicht so ganz. Gibt zumindest bei mir auch mind. eine Stelle mit
– (ID-1): Ich
– (ID+0): Irgendwer
– (ID+1): Wieder ich
Obwohl unscharfe Profilsuche schon was interessantes wär ;-)
Seit 1 Million zählen sie in 10er Schritten und kommen damit auf
http://www.studivz.net/profile.php?id=1467360
Das wären dann aktuell rund 1.046.000 Profile.
Hm. Für Datensammler ist das natürlich dennoch ein Traum.
Kinners, von wegen Eisberg und so: Es geht hier um IT, o.k., da passieren solche Dinge nunmal. Windows hat 10 Jahre und 100.000 Bugs gebraucht um halbwegs zu funktionieren. Da sind die StudiVZ-Leute vergleichsweise fit.
Gleichzeitig wird’s beim nicht vorhandenen deutschen Unternehmergeist auch nicht so schnell eine Konkurrenz geben.
Also wenn Ihr mal bitte die Frequenz hier fuer wirkliche Nachrichten freihaltet …
Nachrichten ist im Radio, hier ist Bloggen. Mannmannmann, doo!
Hmmmm….
1. Fake-Account anlegen
2. Datenbank einrichten
3. 10 Minuten lustig in Perl coden
4. Programm starten
5. Käffchen trinken (“Nein, beim Datensammeln gibts nur Kännchen”)
6. über die gefüllte DB freuen
In diesem Sinne, ich mach mir jetzt nen Cappucino (aber schmeisse weder DB noch Perl an)
Ich hoffte ja einfach, dass StudiVZ durch die Dresche gelernt hat und vielleicht Vernunft annimmt. Denn trotz allem ist StudiVZ immer noch bei vielen Studenten beliebt, auch wenn ich nicht verstehen kann, wieso. Aber derzeit kann ich meine Hoffnungen wohl einfach verbuddeln … und auf den Untergang warten.
”Nein, beim Datensammeln gibts nur Kännchen”
ROTFL
hmmm was kann man dagegen machen?? die studi fuzzis machen anscheinend ja nix dagegen??? oder sind wir selber dran schuld und haben die agbs nicht ordentlich gelesen??
Projekt: Berechnung von verschluesselten IDs zurueck zu numerischen IDs
— REIN ZUR ANSCHAUUNG —
Aaaalso, fangen wir mal mit einem Zitat aus dem allzu vertrauenswuerdigen Blog an:
“Die Suche nach einem beliebigen Code, wie beispielsweise Ev4M21/Z3uP7KA-5819, der Zahlen und Buchstaben enthält, viele Millionen Jahre benötigen. Die Kombination des von uns verwendeten Codes ist bedeutend komplexer als die Kombination aus PIN und TAN beim Online Banking”
Ehrlich? Nein, denn dann sollten wir schleunigst zum Protest gegen die Banken aufrufen!
Erstmal der “Weg zum Glueck”, bzw. ein wenig Theorie, die sich auf Beobachtung der ID-Veraenderung von Benutzer zu Benutzer, von Bild zu Bild stuetzt:
Zunaechst ist erkennbar, dass sich die ID “von vorne nach hinten” und scheinbar aufsteigend aendert. Als naechstes stellte ich durch die Betrachtung einer groesseren Menge von IDs fest, dass es nur __32__ verschiedene Moeglichkeiten je Zeichen gibt: qVgT8z3L0Bnc2Rw7X19khS4Y56MjDpfx – nicht mehr und nicht weniger. Der Zeichenraum ist somit _MASSIV_ kleiner als behauptet, da nicht a-z A-Z 0-9 (62 Moeglichkeiten) verwendet werden. Somit sinken auch die “viele Millionen [benoetigten] Jahre” um die IDs ggf. durchzutesten. Im Vergleich:
5 Zeichen mit je 62 Moeglichkeiten (62^5): 916.132.832 Variationen (optimum)
5 Zeichen mit je 32 Moeglichkeiten (32^5): 33.554.432 Variationen (VZ)
Jedes Zeichen muss also ein Zahlwert zwischen 0 und 31 zugeordnet werden koennen. Um das Rueckwaertszaehlen zu verstehen, lag es nahe, die IDs als Bitstream, also als Folge aus 0 und 1 zu betrachten. Nur so ist eine solche Zaehlweise logisch. Da sich die ersten beiden Ziffern jedoch stets massiv aenderten, musste ich bei dem “Herauskriegen” der Reihenfolge anders vorgehen: die hinteren Ziffern veraendern sich seltener (was widerum die von-Links-nach-Rechts Theroei manifestiert), wodurch ich darauf schloss hier die Reihenfolge ermitteln zu koennen. Und voila, es war tatsaechlich (durch _reine_ Betrachtung) moeglich. Somit ergab sich sich das von-links-nach-rechts gezaehltes Bitmuster wie folgt:
q => 00000
V => 10000
g => 01000
T => 11000
8 => 00100
z => 10100
3 => 01100
L => 11100
0 => 00010
B => 10010
n => 01010
c => 11010
2 => 00110
R => 10110
w => 01110
7 => 11110
X => 00001
1 => 10001
9 => 01001
k => 11001
h => 00101
S => 10101
4 => 01101
Y => 11101
5 => 00011
6 => 10011
M => 01011
j => 11011
D => 00111
p => 10111
f => 01111
x => 11111
Kauderwelsch? Machen wir mal ein Beispiel!
Meine User-ID im StudiVZ (ja, ich bin trotz aller Debatte Mitglied und werde es bleiben) ist die SV1SVT, meine numerische ID die 361899 (leicht der Adresse des Profilbildes zu entnehmen http://217.188.35.147/pics/members/*/*/361899-*.jpg).
Wie komme ich nun von SV1SVT auf 361899?
Wandeln wir zunaechst die einzelnen Ziffern in die durch die eben ermittelten 5-Bit-Werte um:
S = 10101 V = 10000 1 = 10001 S = 10101 V = 10000 T = 11000
Da wir von links nach rechts zaehlen dreh ich es einfach mal um (man liest von rechts nach links):
00011 00001 10101 10001 00001 10101
Geben wir es nun in den Windows-Taschenrechner (von rechts nach links lesend) im bin-Modus ein und wandeln es ins Dezimalsystem:
102417461
Aber was nun? Toll Zahl, bringt insoweit nichts – aber wir wollen ja auf die 361889 kommen. Also teilen wir doch einfach mal!
102417461 / 361889 = 283.007941662
Tja.. und nachdem ich das ganze mit ein paar weiteren IDs versuchte, machte ich die erstaunliche Erkenntnis, dass _grundsaetzlich_ eine Zahl 283.xxxxx dabei herauskommt.
Gegenprobe: (SV1SVT -> )102417461 / 283 = 361899.xxxx (
Gegenprobe: (SV1SVT -> )102417461 / 283 = 361899.xxxx (
(sorry, bei nem “kleiner als”-Zeichen bricht der Kommentar hier ab)
meine numerische ID)
– Das wars auch schon, Sache geloest! Es funktioniert bei jeder “verschluesselten” ids ^^
Zuerst wandelt man die ids wie oben beschrieben in eine Dezimalzahl, teilt anschliessend durch die ermittelte magische StudiVZ-Zahl 283 – und schneidet nur noch die Nachkommastellen ab.
Tada, schon ist das System, das “komplexer als die Kombination aus PIN und TAN beim Online Banking”… hmm.. als blankes Zahlenspiel enttarnt.
Bei den Bildern wird uebrigens auf gleiche Weise gezaehlt, in den Alben ebenfalls. Versuchts mal selbst mit Eurer ID oder Alben/Bildern – es wird stimmen.
Ich fass mir echt an meinem Kopf wenn ich solch ein PR-Humbuck vom VZ lesen muss…..
Mit bestem Gruss aus Regensburg,
Michi
P.S.: es beruht _komplett_ auf Beobachtungen, ist also fuer jedermann nachvollziehbar.
Ich hätte da noch einen fetten Server, wochentags etwas unterbeschäftigt, riesige Platten, superschnell Anbindung. Wo soll ich dann die Datenbank hinschicken?
Spamversender? Bonitätsprüfung? Vermieterverein? Drogenfahndung?
und jetzt drehe man die Berechung um auf: aus ID mach Code…
So, jetzt fehlt noch dass jemand die ganzen Infos in einem ukrainischen Coder-IRC-Kanal postet, dann kann der Spass losgehen ;)
Es wird vielen bestimmt relativ schnuppe sein, womit die da ihr Geld verdienen…
Okay, da ist also mal wieder was handfestes an die Oberfläche gespült worden. Naja, lass die mal machen.
Sollen Sie doch…
Ich les jetzt bisslŽ Machiavelli, irgendwie ist mir anhand der Naivität der StudiVZ mal wieder nach etwas Erbauung.
Die Welt ist gut. Alles ist schön! Will jemand gruscheln?
@michi: AUTSCH…! Naja, sicher ist es trotzdem! Basta! Wer kommt denn schon darauf, sich das mal genauer anzugucken.
Das mit den numerischen ids ist zwischenzeitlich gefixt / auskommentiert worden…
Sie haben heute Nachmittag versucht, die Sache nach außen hin zu drehen:
http://www.heise.de/newsticker/meldung/81688
Netter Versuch… dumm nur, dass ihnen gleichzeitig wieder der Laden um die Ohren fliegt. O Mann !!
Es scheinen sich Veränderungen anzubahnen ??? Jedenfalls ist momentan für deren Server Kaffee-Pause angesagt….
UPS :-)
Bin ich der Einzige der die sich Anmeldemail mal genauer angeschaut hat?
http://studivz.net/register.php?job=3Dconfirm&first_name=3DG
1452279
(Dieser Link ist 7 Tage g=C3=BCltig)
(Man beachte den Unterschied zwischen dargestellter URL und tatsächlichem Link…
Hmm…. irgendwie vermurkste das die Kommentarfunktion. Nochmal mit ein paar _ statt böser Zeichen.
_br_
_a href=http_//studivz.net/register.php?job=3Dconfirm&first_name=3DGuntar&q_id=3D=_http_//studivz.net/register.php?job=3Dconfirm&first_name=3DG
_/a_
_br_1452279
_br_(Dieser Link ist 7 Tage g=C3=BCltig)
Hallo erstmal :)
Don Alphonso, ist kai@kaipahl.de deine eMailadresse? Mir wurde in einem anderen Blog empfohlen mich an dich zu wenden. Allerdings möcht ich das bei der Brisanz meiner gefundenen Lücke erstmal via eMail machen. Wäre schön, wenn du antwortest.
Gruß fukurokuju
@ fukurokuju
guck mal im aktuellen Beitrag http://www.blogbar.de/archiv/2006/11/28/studivz-irgendwann-kommt-mir-ohne-sicherheit-das-essen-hoch/#commentlist
Ich denke der Don wird im YAMB Blog auch mitlesen (so er denn noch zu so etwas kommt)!
Im aktuellen Thread mal eben melden. Ich denke dann geht as alles ganz schnell, und er nimmt Kontakt zu Dir auf!
MIC
Guntar man sollte nicht unbedingt Mailinator nehmen um sowas auszuprobieren, zerfetzt einem den Link ein wenig (und sieht natürlich auch anders aus…)
Hallo,
ist das hier der nächste PR-Gau?
http://www.dia-blog.de/?p=433
paul
Hallo nochmal,
kennt ihr das Artikelchen von web.de über StudiVZ schon?
http://magazine.web.de/de/themen/computer/internet/aktuell/3276072,page=0.html
Danke Paul für den Service :-)
Der web.de-Artikel ist identisch mit dem berühmt-berüchtigten Spiegel.de-Artikel von gestern (selber Autor, über der Headline die Info “In Kooperation mit Spiegel Online”).
web.de / @59: Naja, web.de halt. Ich denke nächste Woche steht das auch in der Bild unter “Bild deckt auf: Studenten Sex Skandal im Internet” o.ä., aber die Redaktionen scheinen mehr und mehr der Meinung zu sein, dass das ein Thema 2.0 ist, mit dem sich was verkaufen lässt. Kann noch böse werden. (Manno… WP Comments will meine url nich fressen).
Ich hab mich mal bei den Damen und Herren erkundigt, was man so über sich in erfahrung bringen kann.
*****
Sehr geehrter Herr Friedrich,
ich wende mich an Sie, da Sie der Datenschutzbeauftragte von StudiVZ Ltd. sind. Seit einigen Tagen beobachte ich besorgt die Ereignisse und Nachrichten, die den Umgang Ihres Unternehmens mit dem Datenschutz betreffen, sowie Ihre Reaktionen auf die dabei geäußerten Vorwürfe. Ich habe Verständnis für die Ihnen aus dem rapidem Nutzerzuwachs Ihres Dienstes entstehenden (offensichtlich unerwarteten) Probleme und möchte Ihnen für den bisherigen Erfolg Ihres Unternehmens gratulieren. Ich bedaure allerdings sehr, dass ich nicht zufrieden damit sein kann, was und wie Ihr Unternehmen mit den Nutzern Ihres Dienstes kommuniziert, vor allem nicht, wie auf die zwichenzeitlichen Vorwürfe eingegangen wird. Bedauerlicherweise gewinne ich den Eindruck, dass Ihr Unternehmen anzunehmen scheint, dass eine für den Nutzer kostenlos angebotene Dienstleistung die allgemeinene Gültigkeit der Gesetzggebung aufhebt, zumindest jedoch den Anspruch der Nutzer auf die Umsetzung und Einhaltung geltenden Rechts erheblich einschränkt.
Hiermit widerspreche ich der Nutzung der von Ihnen gespeicherten Daten zu meiner Person und meinem Account zu Marketing- und Werbezwecken. Desweiteren ziehe ich alle eventuell erteilte Einwilligungen zur Vermarktung, Auswertung und Weitergabe sämtlicher auf mich bezogenen Daten zurück. Daher fordere ich Sie auf, die entsprechenden Daten in Ihrem Datenbestand für die Nutzung zu Werbezwecken und für die Weitergabe zu sperren. Bitte unterrichten Sie mich über die erfolgte Sperrung.
Desweiteren bitte ich hiermit formal um Auskunftserteilung über die von Ihnen gespeicherten und generierten Daten zu meiner Person und dem Zweck ihrer Speicherung nach § 34 BDSG.
Schließlich möchte ich darauf hinweisen, dass Sie den von Ihnen zugesicherten Schutz der Privatssphäre unverzüglich herzustellen haben und bitte Sie von unangekündigten zustimmungspflichtigen Änderungen der AGB abzusehen.
Mein Account bei dem von Ihnen angebotenem Dienst läuft unter dem Login “mein Login”.
Vielen Dank für Ihr Entgegenkommen und mit freundlichen Grüßen,
Christoph Meißner
*****
Recht fixe Antwort (gleich nach dem Wochenende am eigentlich ziemlich turbulenten Montag für StudiVZ) auf meine Nachfrage:
*****
Sehr geehrter Herr Christoph Meißner,
Sie haben um (a) Auskunftserteilung bezueglich gespeicherten und generierten Daten zu Ihrer Person und (b) dem Zweck ihrer Speicherung nach § 34 BDSG gebeten.
Wir werden unserer Auskunftspflicht in kuerze Folge leisten.
Da wir solch eine Auskunft nur schriftlich und per Einschreiben zustellen, moechte ich Sie bitten uns mitzuteilen an welche Anschrift wir diese Auskunft uebermitteln sollen.
mit freundlichen Gruessen
– —
Manfred Friedrich
Datenschutzbeauftragter
*****
Hm, würde mich interessieren, was danach mit der Adresse passiert… Legen die der Auskunft dann Werbung bei, immerhin können sie ja garantieren, dass ich sie auch wirklich bekomme und auch nicht sofort wegschmeiße (Einschreiben).
sorry für das lange ding
schönes Ding. Glaube allerdings, dass sie deiner Forderung einfach Folge leisten. Immerhin hamse noch genug Wiese zum Grasen :o
Ich rufe zur studivz-Spende an die Deutsche Bundespost auf.
Einmal alle bitte Lageplan eigener Daten bei Studivz anfordern.
Eine wirklich brilliante Vorlage: @61
Todesstoß fÌr das Studivz?
Muss das denn wirklich alles sein?! (jetzt schlÀgt auch der spiegel weiter)Man darf ja ruhig die Sachen kritisieren wenn man merkt, es ist nicht alles ok.
Aber man muss seine Machtstellung nicht ausnutzen um etwas zu zerstören, das viele Studenten g…
@64: wirklich eine schöne Vorlage. Wenn jeder per Einschreiben eine entsprechende Auskunft, die ihm übrigens zusteht ;-), erhält, ginge das – und ich rechne nur hoch – ganz schön auf die Portokasse.
Ich bin KEIN Jurist – vielleicht lesen hier echte mit und können weiterhelfen: ich hatte eben den Gedanken, den super Text aus #61 zu variieren, indem ich nicht schreibe “evtl. erteilte Ermächtigungen” (Absatz 2, Zeilen 3-5), sondern erstmal frage, ob ihnen eine Ermächtigung angeblich vorliegt, und wann und auf welchem Wege diese erteilt wurde…
Sollte dann tatsächlich evtl. eine erteilt worden sein, kann man die in neuem Schreiben widerrufen.
studentix.pl (der polnische Ableger) bittet derweil während der Beseitigung technischer Probleme um Berücksichtigung im Abendgebet…
@66: Also nur um das klarzustellen. Meine Intension war es zu keinem Zeitpunkt, dazu aufzurufen, massenhaft Anträge auf Auskunft zu stellen um damit StudiVZ Ltd. einen wirtschaftlichen Schaden zuzufügen.
Vielmehr wollte ich mich darüber informieren, welcher Natur die gespeicherten Daten sind und die prompte Antwort mit dem auf mich persönlich zugeschnittenem Kategorie-Mail-Pattern-Geballer (Ticket_Nr + Anrede_Male_Pattern + Name + BDSG_34_Request_Received_Pattern + BDSG_34_Response_Pending_Notification_Pattern + Missing_Address_Delay_Pattern + Closing_Pattern + Current_Datenschutzbeauftragter_Signature) annerkennend erwähnen; das GnuPG v1.4.5 (Darwin) PGP-Hash, -Version, -Signature Kram am Anfang und Ende lass ich mal weg.
Was ich da eingegeben habe weiß ich und das verändere ich ja auch mehr oder weniger regelmäßig. Es kommt mir vor allem auf zwei wesentliche Dinge an. Ich möchte die auf mich bezogenen Daten nicht gelöscht haben (da ich nicht aus dem StudiVZ austreten will), sondern für die kommerzielle Verwertung (wobei ich mir schwer vorstellen kann, dies durchzusetzen, da ja hierauf das Geschäftsmodell von StudiVZ fußt) und die Weitergabe an Dritte zu sperren. Das bedeutet, zumindest verspreche ich mir dies als Jura-Laie, dass auch in Zukunft über mich gesammelte (neu anfallende) Daten, die meine Person betreffen unter diese Sperre fallen. Sowas zieht vor allem bei Adresshändlern wie (hier nur exemplarisch genannt) der Deutschen Post (http://www.deutschepost.de/dpag?tab=1&skin=hi&check=yes&lang=de_DE&xmlFile=1002171) und Schober (http://shop.schober.com/mall/1/files/preise.pdf); aber das ist ja ein offenes Geheimnis und inzwischen ein alter Hut.
Was zum zweiten Punkt führt, den generierten Daten. Denn davon will ich mir mit der angeforderten Auskunft eigentlich ein Bild machen, um zu verstehen, welche Daten überhaupt in welche Daten überführt werden und in welcher Form. Wenn jemand bereits von diesem Recht gebrauch gemacht hat, bitte mal beschreiben, was alles anfällt.
Für die Audiovisuellen Typen gibt es (unter vielen anderen) eine interessante TV Reportage die auch in den StudiVZ Blog Comments mal erwähnt wurde.
Ähh: Ja, ich versuche ein bisschen StudiVZ Ltd. als Sündenbock zu entlasten. Der eine oder andere Arbeitnehmer/-geber in Berlin wird sich freuen das zu lesen. Geschenkt! Es ist mir klar, worum es hier geht und das “derundder macht das aber auch soundso und überhaupt… Eine Hetzjagd ist das doch!” Argument erklärt vielleicht wo’s herkommt, ist aber weder eine Rechtfertigung (wenn diese überhaupt irgendetwas bessern könnte) noch eine Hilfe bei der Lösung des Problems.
Und jetzt noch eine kleine Gutenachtlektüre für alle, deren kommentarerzeugender Gedankengang mir zuweilen etwas schleierhaft erscheint:
http://www.bfdi.bund.de/nn_531520/DE/GesetzeUndRechtsprechung/BDSG/BDSG__node.html__nnn=true
@68
Das ist schon ein Spass gewesen,hehe.
Zumal ich keinen Euro ausgeben würde
um diese Anfrage schriftlich zu stellen,
ich habe eh keinen Account mehr;)
Ich bin schon seit einigen Wochen deletet *hoffentlich*
weil es mir nichts gebracht hat.
Ich hatte eine Einladung “blabla StutiPubsBet”
dann: pinn:schön das du da bist
dann: 2 mal DUMM gekrätzt worden(jeder muss für sich entscheiden wie er das empfindet)
dann: SCHNELL->del
Dann hab ich erst diese Berichte gelesen.
Ich lach ja schon wenn’s die vz’ler Verkauft werden und 7 Tage später im Blog lesen:
Die Sonne scheint und der Regen war nass, drumm nennen wir uns jetzt jambobook.com
Das Ende der Geschichte,
der Verlierer: die Treuen zum SVZ stehenden Kinder.
Feiert man schön bis zum letzten Mann!
Gruppen gibt es da massig für.
Ich schmunzel derweilen hier und da ein wenig rum:O)
So jedem wies bedarf!
Zu Schreiben:
Lieber Admin der Uni J***
die Blogbar wird momentan von einem User “Hugo” mit der IP 141.35.186.79 , 4165-01ae13.stw-wh.uni-jena.de gespamt, die Ihrem Serverpark zuzuschreiben ist, unter anderem mit diesen Inhalten:
(Beispiel) (Uhrzeitangabe)
Der Verfasser gibt dabei die Community http://www.han****.de an, im Impressum findet sich ein durchaus passender, in J*** lebender Fa*** Pfei****. Wären Sie so freundlich, das umgehend abzustellen und Massnahmen gegen den Spammer zu ergreifen?
Mit freundlichen Grüssen
Don
Hugo du Vollspack, hier aus eurem Forum:
Bitte achtet im Öffentlichen Bereich darauf, dass ihr nicht unter einem anonymen Namen postet, da diese einfach gelöscht werde. Bei Fragen, Anregungen oder auch Kritik, soll dieser Bereich es euch ermöglichen dies uns kund zu geben. Viel Spaß im Forum und solltest Ihr euch dazu entschliessen euch zu registrieren, dann stellt Euch hier erstmal kurz vor, damit wir auch wissen, mit wem wir es zu tun haben
Man sollte nicht glauben, es würden nun studentische Heerscharen ihre Accounts kündigen und das studiVZ blutete mit der Zeit aus. Sofern das mit den aufwärtszählenden IDs so stimmt, haben sich gestern fast 12.000 Leute neu angemeldet.
Dank Stasivz kann man hier auch annehmen, dass es sich um
Fabian Pf**** seinen Freund Ronny E***** handelt, der auch in der Uni J*** ist und mit einem Gründer befreundet ist und die Gruppe
Hanfr**** gegründet hat.
Beide wohgnen derzeit in der selben Str. Johann-G ****Str. 8
Zimmernummer: *hüstel*
ja! Seit gestern sind die Logins von Bugmenot gesperrt :D
das Ding ist angeschossen, jetzt gilt es den Gnadenschuss gut zu setzen – Weiter so !
kennst Du die 524000 Fake addis nicht alle?
kein Problem machen wir 524001 draus:O)
Na irgendwas scheinen sie aber mitlerweile doch geaendert zu haben, denn wenn man das ganze jetzt mit http://www.studivz.net/profile.php?id=xxxxx eingibt erscheint nur noch “GetPerson: Person nicht gefunden!”
So sollte eine Community nicht funktionieren
Dieser Blogeintrag wird eine ungeordnete Zusammenstellung aller möglichen Links, die ich rund um die Probleme bei StudiVZ finde:
Was war. Was wird (1)
Was war. Was wird (2)
Was war. Was wird (3)
(Heise) Datenleck beim StudiVZ?
(Heise) Weiter Wi…
Ich warte ja immer noch auf den Tag, an dem sich endlich einer der Herren StudiVZ dazu entschließt, eine Blog-Meldung wie:
// Leider dauert es noch II
// Dezember 1st, 2006
//
// Ihr werdet uns zerreißen, es ist aber leider so: Das studiVZ wird
// noch bis voraussichtlich morgen (Freitag) Nacht offline sein.
mal auf die “kaffee-Seite” zu schreiben, dass alle Nutzer wissen, was überhaupt grad los ist.
Gibts eigentlich auch ähnliche Negativ-Schlagzeilen für die StudyLounge? Wäre evtl ne Alternative (wenn ich auch gestehe, dass ich ungern das VZ verlassen würde)
Charmantes Nächtle
proXon: Das Problem aus Datensätze Umsätze zu generieren, hat erstmal jedes kommerzielle Studentenportal.
Die Mitbewerber haben derzeit zudem das Problem, dass sie vergleichsweise wenige Mitglieder haben. Aus einer Studylounge-Pressemledung vom 28.11.:
“Vor sieben Monaten startete Christoph Berger (27) das Studentennetzwerk. Studylounge hat inzwischen über 100.000 Mitglieder
in vier Ländern.”
Und selbst das ist evtl. noch eine reichlich optimistische Annahme.
[…] 28.11.2006: Heise online meldet, daß das StudiVZ mit den Mitgliedern einen Verhaltenscodex als Reaktion auf die angebliche Stalkinggruppe aufstellen will. DonAlphonso erklärt, wie man trotz verschlüsselter Profilnummernkombination jedes Profil ansehen kann. In einem Kommentar auf diese Beitrag, beschreibt Michi, wie man die verschlüsselten IDs zu einfachen Zahlen umrechnen kann. Focus online schreibt über die Schattenseiten der Online-Communities. […]