Dienstag, 21. November 2006

StudiVZ – Das Thema Datenschutz

Das Thema Ehssan Dariani dürfte wohl mittlerweile gegessen sein, das Thema Datenschutz noch lange nicht. Im offiziellen Blog wurde darüber ja auch schon von höchster Instanz aka Datenschutzbeauftrager geschrieben:

Unsere Benutzer vertrauen uns, dass wir

* ihre Daten nie an Dritte weitergeben
* Informationen aus unserer Arbeit nie außerhalb der Tätigkeit bei studiVZ benutzen
* ihre Anliegen bezüglich Privatsphäre respektieren und ernst nehmen
* den Zugang zu den Daten schützenStudiVZ Blog

Soso. Na wolln doch mal sehen…

Nachricht gelöscht. Fast

Herr Dariani ist sich seiner Rolle als Buh-Mann durchaus bewusst, ein bisschen Image polieren kann da sicherlich nicht schaden. Um das Ganze ordentlich aufzuziehen muss natürlich erst einmal das Beweismaterial vernichtet werden; da man aber nicht so wirklich viel Ahnung hat, was es wo im Internet alles so gibt, fragt man natürlich auch bei seinen Freunden an:

bitte alle bilder auf flickr, vz, youtube
etc. systematisch durchforsten und nicht 100%
einwandfreie löschen. thx.

Aber sowas macht man natürlich nicht publik, und so hat Herr Dariani die Nachricht, die er auf Kolja Hebenstreit‘s Profilseite hinterlassen hat, direkt wieder gelöscht.

Oder so ähnlich.

Jetzt kann sich jeder selbst ausmalen, was mit all den Nachrichten passiert, die tagtäglich gelöscht werden. Aber wenn selbst die Gründer darauf vertrauen, dass ihre Daten auch wirklich geschützt sind, dann muss das doch sicher sein!

Meine Bilder kann niemand sehen. Fast.

Fallbeispiel: Juliane studiert Philosophie in München. In ihrer Freizeit besucht sie aber gerne die ein oder andere Swinger-Party, wo es heiß hergeht. Solche Fotos sollen natürlich für niemanden sichtbar sein, dennoch möchte Juliane sie irgendwo im Web ablegen. Natürlich denkt sie sofort an StudiVZ, wo man für Alben auch einstellen kann, dass nur der Besitzer die Fotos ansehen kann:

Juliane bei StudiVZ 1

Dann gehts natürlich los mit dem Bilderupload. Statt den Bildern der letzten Orgie soll hier stellvertretend ein Bild einer Skulptur fungieren, dass aber auch recht eindeutige Posen hat:

Juliane bei StudiVZ 2

Natürlich hat Juliane auch noch andere Interessen, ihre Stadt Berlin zum Beispiel. Also legt sie ein weiteres Album an, in dem sie Bilder der Hauptstadt sammelt. Da das für jedermann interessant sein könnte, belässt sie die Standardeinstellungen des Albums. Jeder kann dieses Album also anschauen.

Juliane bei StudiVZ 3

Dennoch ist Juliane ein vorsichtiger Mensch. Vielleicht ist ja einer der unbekannten Swinger ebenfalls Student und schreibt ihr gar eine Nachricht auf die Pinnwand. Also stellt Juliane ihre Profilseite so ein, dass nur ihre Freunde diese sehen können. Nicht mal die Suche von StudiVZ würde sie so finden.

Juliane bei StudiVZ 4

Und so sieht das Ganze dann aus: Eine verrammelte Profilseite, gerade mal das Fotoalbum von Berlin ist zugänglich, alles andere bleibt im Verborgenen. Das Album mit der Sexorgie wird niemals angezeigt, völlig egal ob Freund oder nicht, das sieht nur Juliane selbst.

Juliane bei StudiVZ 5

Alles klar soweit? Dann wären drei Klicks auf folgende URLs angebracht:

Hoppla? Da ist ja auch das Bild der Sexorgie dabei! Na sowas, das sollte doch, laut den Datenschützern von StudiVZ, überhaupt nicht sichtbar, ja nicht mal zugänglich sein! Und wer ist denn der nette Herr, der so doof guckt? Das ist Dennis Bemmann, Mitgründer und Chefprogrammierer bei StudiVZ. Das ist auch der nette Mann, der behauptet hat, StudiVZ würde eure “Anliegen bezüglich Privatsphäre respektieren und ernst nehmen”. Sachen gibts…

Natürlich ist man bei StudiVZ fix und dementiert und bestätigt zugleich. Falsche Aussagen gibts aber auch hier, wie man beim Don nachlesen kann: Die wirklich generischen Bestandteile der URL bestehen gerade mal aus 7 Zeichen. Bravo. Sowas dann mit der Sicherheit von Online-Banking zu vergleichen ist schon grenzwertig. Nochmal: StudiVZ will die Daten ihrer User schützen. Das ist spätestens hier nicht mehr gegeben.

Mein Profil ist verborgen. Fast.

Das System mit den Bildern funktioniert auch für die Freunde, die man sich im Laufe der Zeit so angesammelt hat. Die Methode wurde in Don Alphonso’s Blog beschrieben, mittlerweile aber wieder gelöscht. Ich habe aber angesichts einer dermaßen instabilen Plattform keinen Grund, daran zu zweifeln. Bei YAMB.BETA² erfährt man dann zusätzlich, dass den Entwicklern dieser Fehler seit Oktober bekannt ist. Ich frage mich, ob das die Philosophie ist; erst warten, bis irgendwer was entdeckt, dann reagieren…

Nachtrag: Ich hatte ja schon eine Vermutung um was es sich bei der Methode handelt, ein kurzer Test meinerseits bestätigt dies voll und ganz. Jeder Depp kann die Nachrichtenliste, die Freundesliste und die Liste der Fotoalben von wirklich jedem Profil ansehen, ganz egal ob das Profil als Privat eingestellt wurde. Ich werde hier aber nicht aufzeigen, wie das vonstatten geht.

Mein Profil ist up to date. Fast.

Ein System wie StudiVZ besteht nicht nur aus einem Server, der könnte diese Unmenge an Datenmengen gar nicht bewältigen. Wenn ein User http://www.studivz.net aufruft, dann geht die Anfrage an einen sogenannten Loadbalancer, der einen Server auswählt, der gerade nicht so sehr beschäftigt ist. Ferner sind sie auch dafür zuständig, die Zustände der Server gleich zu halten. Das nur als Info.

Dumm nur dass die Server anscheinend unterschiedliche Zustände besitzen. Beispielsweise kann man eine Nachricht schreiben, woanders eine löschen, einer Gruppe beitreten, eine andere verlassen und vielleicht auch noch ein wenig an seinem eigenen Profil arbeiten. Bis die anderen Server diese Änderungen im System mitbekommen haben vergehen mitunter Stunden. Es mag vielleicht nur ein Detail am Rande sein, aber der oben beschrieben Fall mit Herrn Dariani zeigt durchaus die möglichen Konsequenzen. Aber hey, wenn schon die Server ziemlicher Schrott sind (StudiVZ on Speed lässt ja immer noch auf sich warten…), dann kann man von den LoadBalancern doch wohl nicht mehr erwarten…

Rechtlich ist alles in Ordnung. Fast

Abschließend nur eine Vermutung, aber ist eigentlich schonmal jemandem aufgefallen, dass man sich zwar redlich mühe gibt, Datenschutz rumzuplärren, wo es nur geht, selbiges aber nirgendwo in den AGB‘s verankert ist? Schaue ich mir andere Websites an, steht dort immer ein Passus a la “Der Betreiber garantiert, dass die vom User übermittelten Daten nicht an Dritte weiter gegeben werden” oder so ähnlich. Warum nicht hier? Oder liege ich da falsch?

Abschluss

Meine Daten sind bei StudiVZ sicher. Nicht.

Langsam hört der Spaß wirklich auf. Ehssan Dariani’s Eskapaden dürften ja mittlerweile aufgehört haben, so dass der Imageverlust auf dieser Seite zumindest eingedämmt werden könnte. Alles, was oben beschrieben wurde, kann jetzt aber auch rechtliche Konsequenzen mit sich bringen, vor allem, da auch die großen Medien darauf angesprungen sind (diesmal wirklich schnell). Sich damit rausreden zu wollen, der Code der Bilder könnte nicht geknackt werden, ist lächerlich; wenn die Dateien öffentlich zugänglich sind, dann sind sie öffentlich zugänglich. Punkt. Aber die Samwer’s bzw. Holtzbrinck werden schon gute Anwälte sponsern…

Zusammen getragen bei Don Alphonso und YAMB.BETA²

6 Kommentare

  1. Christian
    (Website)

    Die Seite ist anscheinend ziemlich schlampig programmiert – warum löscht du nicht einfach deinen Account und “gut is”?

  2. Jeriko
    (Website) (Twitter)

    Mein Account ist auf die Informationen beschränkt, die (leider) notwendig bzw. als nötig erachtet werden, reduziert: Hochschule und Geschlecht. Unter “Sonstiges” gibts dann auch ein Statement, warum ich keinerlei Informationen dort verfügbar mache. Damit kann ich leben.

    Und wie soll ich denn all die Sicherheitslücken ausprobieren wenn ich keinen Account mehr habe… ;-)

  3. Atari
    (Website)

    Mir war die Seite von Anfang an nicht sympathisch, allein schon wegen ihrer Datensammelei und Beziehungsgeflechteanalysiererei…

    Das jetzt noch ein schlecht gescriptetes php alles ausplaudert, hatte ich nicht geahnt, aber es bestätigt mich mal wieder darin das Teil zum Unverständniss vieler Kommilitonen nicht zu benutzen.

  4. Mareike

    Na toll, nichts geht mehr. Die Seite öffnet sich nicht mehr, meine ganzen Daten sind da irgendwo gespeichert und ich kann nichts machen. Anfangs war ich sehr dagegen, mich dort überhaupt anzumelden, aber als immer mehr und mehr Freunde und Komillitonen davon schwärmten, meldete auch ich mich schließlich an. mit Spitznamen.
    Irgendwann bekam ich eine Benachrichtigung von einem Studivzz-Captian Namens Rico Nochwas.. oder so… Er meinte, dass ich mich bitte mit vollständigem Vor-und Zunamen registrieren soll, dass es zu viele Fake-Accounts gibt und, dass ab jetzt jeder aufgefordert wird, sich mit vollständigem Namen anzumelden, was mir sehr Spanisch vorkam, ehrlich gesagt. Aber ich dachte mir nichts Schlimmes dabei, schließlich war der Großteil meiner Freunde auch mit echtem Vor-und Nachnamen dort. Man vertraut halt immer darauf, dass andere Leute gut sind und nix Böses mit deinen Daten vorhaben. Aber jetzt wird mir auch klar, weshalb ich diese Benachrichtigung bekam. die waren wohl hinter unseren wahrheitstreuen Daten und alles. Na super..
    Ich bin total verärgert. Und sowas passiert in Deutschland! Krass.

  5. Lisa
    (Website)

    Wer sich ins StudiVZ begibt, kommt darin um… Oder zumindest um den Verstand!

  6. Arkan

    Was ist mit euch los? Was habt ihr so viel zu verbergen?
    Ein paar Fotos und Namen und wie könnte das euch schaden?
    StudiVZ ist ja freiwillig, wer anonym bleiben will, hat dort nichts zu suchen.

Kommentar schreiben

SEOs brauchen es erst gar nicht probieren, Kommentare mit dem Zweck der kommerziellen Eigenwerbung (Links zu Shops, Firmen, o.ä.) sowie sinnloser Schrott werden ebenfalls als Spam markiert. Wenn ihr etwas völlig anderes beisteuern wollt, dann bitte über den normalen Kontakt.