Marco Robertini um 10.06.2006 11:46:00 Uhr

Sehr geehrter Herr Aebi

Grundsätzlich ist nichts dagegen einzuwenden wenn Sie versuchen Sicherheitslücken aufzuspüren und die Öffentlichkeit arüber informieren. Voraussetzung dafür ist aber, dass man mit den erlangten Informationen verantwortungsvoll umgeht!

Dieses Verantwortungsbewusstsein scheint Ihnen offensichtlich leider zu fehlen. Anders ist es nicht zu erklären, dass Sie eine Liste mit Passwörter im Web veröffentlichen und den Betrachter auffordern diese Informationen zu missbrauchen!

Ich gehe zudem nicht davon aus, dass Sie die betroffenen Benutzer in irgendeiner Form gewarnt haben, oder? Sie wären wohl kaum erfreut, wenn man dies mit Ihren Daten machen würde...

Meiner Meiung nach ist dies zu tiefst verwerflich!

 Martin um 10.06.2006 12:24:00 Uhr

Und ausserdem ziemlich dumm...

 eMeidi um 10.06.2006 14:03:00 Uhr

Jungs, haltet den Ball tief.

Zuerst einmal: Ich heisse Aeby, nicht Aebi. Ausserdem darf man mich duzen, das stört mich nicht.

Meine Stellungnahme:

1) Ich habe die Lücke erst dann öffentlich gemacht, als das Loch bereits "gestopft" war.

2) Alle kompromittierten Accounts erhielten gestern ein neues Passwort.

3) Partyguide sollte die Pflicht haben, seine Benutzer über Sicherheitslücken aufzuklären. Ein Hinweis auf die Änderung des Passwortes "aus Sicherheitsgründen" reicht dazu nicht aus. Die Benutzer müssen umfassend auf das Problem hingewiesen werden.

Ich jedenfalls scheue keinen Gang vor Gericht, sollte ich von den verantwortungslosen Partyguide-Betreibern verklagt werden. Klar darf ich mit den Passwörtern keinen Unfug anstellen und mich bereichern (das wäre verwerflich), aber hat nicht auch ein Unternehmen die Pflicht, mit solchen Daten sorgsam umzugehen?

"Unbefugte Datenbeschaffung" - Fällt das Ausfindig machen eines Passwortes darunter?

"Unbefugtes Eindringen in ein Datenverarbeitungssystem" - Eindringen kann man nur, wenn das System entsprechend gesichert ist. Bei Partyguide war dies (bereits zum zweiten Mal) nicht der Fall (siehe geltende Rechtssprechung).

"Datenbeschädigung" - mir ist nicht bekannt, etwas beschädigt zu haben. Höchstens den Ruf von Partyguide selber *grins*

 Martin um 10.06.2006 15:22:00 Uhr

Du hast nicht nur die Lücke öffentlich gemacht, sondern ebenfalls die Benutzerdaten.

Damit hast Du gegen "geltendes Recht" verstossen.

Gemäss Artikel 143 aus dem StGB stellt auch ein Eindringen ohne Bereicherungsabsicht eine Straftat dar.

Durch die Veröffentlichung der Daten hast Du zudem gegen Artikel 50 des FMG verstossen, was ebenfalls mit Haftstrafe bis zu einem Jahr (oder Busse) bestraft wird.

Ja, Du hast eine Lücke gefunden...Toll...

Ein verantwortungsbewusster (oder "normaler") Mensch hätte den Betreiber auf diese Lücke hingewiesen (was Du offensichtlich nicht gemacht hast).

 Torquenstein um 10.06.2006 18:31:00 Uhr

tja, ich denke nicht, dass pg sich da auf nen dünnen ast rauswagt und etwas rechtliches unternimmt, denn ein betreiber einer datenbank mit pers. informationen ist verpflichtet diese auch mit allen möglichkeiten zu schützen... und ich denke, diese massnahmen werden nicht standhalten, sie könnten sich da ins eigenen fleisch schneiden, oder sollte auf einmal alle diese wahrheiten in grossen printmedien (mit grossen buchstaben) auftauchen.. und das über die seite mit schweizweit der grössten verweildauer?? naja wenns sis rechtlich gleich genau nehmen wie mit der programmierung... dass wird lustig :-)

 eMeidi um 10.06.2006 18:32:00 Uhr

Martin, willst du deine Identität nicht preisgeben?

Du hast nicht nur die Lücke öffentlich gemacht, sondern ebenfalls die Benutzerdaten.

Nein, die Passwörter waren zum Zeitpunkt der Veröffentlichung in meinem Blog geändert. Ich glaube nicht, dass es strafbar ist, Phantasielisten mit Passwörtern zu veröffentlichen.

Gemäss Artikel 143 aus dem StGB stellt auch ein Eindringen ohne Bereicherungsabsicht eine Straftat dar.

Ich bin nicht eingedrungen. Eindringen setzt voraus, dass bestehende Sicherheitsmechanismen überwunden wurden (Beispiele: Schloss aufbrechen, Fenster einschlagen, etc.). In diesem Falle existierten keine Sicherheitsmechanismen. Jederman mit genügend Zeit, genügendem Fachwissen und einem gewissen Spieltrieb hätte dies Lücke aufdecken können. Wer weiss, ob diese nicht bereits seit langem bekannt war?

Durch die Veröffentlichung der Daten hast Du zudem gegen Artikel 50 des FMG verstossen, was ebenfalls mit Haftstrafe bis zu einem Jahr (oder Busse) bestraft wird.

Siehe oben: Werden nicht mehr funktionierende Passwörter veröffentlicht, verstosse ich sicherlich auch nicht gegen das Fernmeldegesetz.

Ein verantwortungsbewusster (oder "normaler") Mensch hätte den Betreiber auf diese Lücke hingewiesen (was Du offensichtlich nicht gemacht hast).

Ich habe nie behauptet, ein "normaler" Mensch zu sein. Was ist überhaupt ein "normaler" Mensch? ;-)

Doch in der Tat, den Vorwurf der Verschleppung muss ich mir gefallen lassen. Die Lücke war mir seit knapp einer Woche bekannt. Wie schnell muss der Anbieter eines Produktes über eine Sicherheitslücke informiert werden? Steht davon etwas im Gesetz? Ich stelle mich auf den Standpunkt, dass mich nicht die Passwörter an sich, sondern die Reaktion des Anbieters interessierte. Sprich: Merken sie's, und falls ja, was tun sie?

 christoph um 10.06.2006 19:13:00 Uhr

Dieser Post wurde von einem Blog-Administrator entfernt.

 christoph um 10.06.2006 19:22:00 Uhr

Grundsaetzlich: Wenn meine Yahoo! ID und Passwort ploetzlich auf dem Internet frei fuer jeden verfuegbar waeren wuerde ich Yahoo! verklagen und nicht denjenigen, der die Sicherheitsluecke gefunden hat.

Und wenn Yahoo! den Hacker verklagt ist das im besten Fall schaedlich fuer den Ruf von Yahoo! denn diese Schuld kann nicht einfach "abgewaelzt" werden - und das ist jedem User bewusst.

Yahoo! verlierte in jedem Fall.

 Torquenstein um 11.06.2006 00:47:00 Uhr

hab da mal ein bsichen nachgefragt im pg-forum.. sehr schön die jungs :-) danke techniker....
-----------------------------
Ihr braucht euch natürlich keine Sorgen zu machen! Wir haben lediglich den Sicherheitsstandard grobfahrlässiger Passwörter nach oben korrigiert! Dies betraf folgende Passwörter welche aus nicht mindestens 8 Zeichen sowie Zahl und Buchstabe bestanden. Zum Teil gab es Accounts mit fahrlässigen Passwörtern, wie Nickname oder Geb. Datum um nur einige Beispiele zu nennen. Diese sind jetzt aber aus der Welt geschafft. Neu ist es auch nicht mehr möglich, ein unsicheres Passwort überhaupt erst zu erstellen. Daher ein Dankeschön an unsere Entwickler, welche dank Technik nun auch die Schwäche des Menschen sicher machen. Dieser Satz kommt ja nicht von ungefähr, Ihr wisst es ja alle! Maschinen lassen sich nicht Täuschen nur die Menschen, welche Sie Bedienen! Und jetzt kann man Sie ja nicht mehr falsch Bedienen.... ;-)

 Anonym um 11.06.2006 09:31:00 Uhr

Ich weiss nicht mit welcher Arroganz und Überheblichkeit gewisse Leute das
Internet missbrauchen um Ihre Selbstwertgefühle zu steigern. Was ist das
für ein "Typ" der in seiner Freizeit nichts mit sich anzufangen weiss, seine
Zeit lieber in einem fast einjährigen "Programmierkrieg" mit einer Internetadresse
totschlägt, und sich dann noch öffentlich seines Vergehens bezichtigt???

Das Studium Deiner "Blog Seiten" und Deiner "Homepage" konnte mir wenigstens
etwas Verständnis für Deine Lage aufzeigen: Du bist ein "unausgelasteter studierender
militanter Nichtraucher der die Anerkennung bei Freunden und in der Gesellschaft sucht.

Vielleicht solltest Du es mal mit arbeiten versuchen, oder wieso kommt es, dass
es Du (oder vielleicht Deine Kollegen) nicht länger als 11 Monate am Stück mit
deiner überheblichen Arroganz aushalten.
Zu Allem und jedem Thema hast Du Deinen Senf dazuzugeben. Dies mag ja niemanden
stören (und wahrscheinlich auch niemanden interessieren) solange es Du auf Deinen
"Blog-Seiten" machst.
Aber Du solltest Deine Finger (oder besser Programmierkenntnisse) aus fremdem
Eigentum lassen, und sie vielleicht besser in einem Hilfsprojekt in der dritten Welt
einsetzen. Damit wären zwei Fliegen auf einen Schlag erledigt: Wir hätten hier unsere
Ruhe und ein Entwicklungsland könnte von Deinen unermesslichen politischen und
kulturellen Erfahrungen profitieren!
Ich frage mich immer wieder was einen "erwachsenen" "normalen" Menschen dazu veranlassen
kann, die Arbeit anderer zu behindern oder zu beschädigen.
Spricht hier der Neid und die Missgunst am Erfolg eines Andern? Ist es ein unerfülltes Leben,
mangelhafte Selbstbestätigung, eine verschmähte Liebe oder gar eine verkorkste Kindheit?

Wäre es nicht verantwortungsvoller gewesen, Deine Kenntnisse in PG einzubringen und am Erfolg
und Ruhm von PG teilzuhaben? Wieso versuchst Du nicht Deine so grossen Programmierkenntnisse
zu Geld zu machen. Eine verantwortungsvolle Arbeit kann so manchen Frust im Leben stoppen!!
Achh.. sorry ich vergass, das geht ja vermutlich bei Dir nicht.

Überheblichkeit & Arroganz =! Verantwortungsbewusstsein

Da Du ja sehr offen zu Deinen "Taten" stehst, und diese auch noch öffentlich publizierst (welcher
Teufel Dich auch immer da geritten hat??), hoffe ich sehr dass PG die Fakten Ihrem Anwalt
übergibt, damit dieser die möglichen Schritte gegen Dich prüfen kann.

Auch wenn der Vergleich ein wenig "hinkt", in der momentanen WM Zeit doch passend:
Solche "Typen" wie Du gehören genauso wenig ins Internet wie Hooligans auf den Fussballplatz.
Nur einschneidende Massnahmen gegen diese "Sparte" von Leuten lässt das Internet wieder
das sein, was es eigentlich sein sollte (erspar mir bitte jetzt Deinen Kommentar dazu!)

Um nicht auch in den Genuss Deiner "Hacker Qualitäten" zu kommen, werde ich lieber Anonym bleiben.
Ich hoffe Du verstehst das ?

 eMeidi um 11.06.2006 12:26:00 Uhr

Ach Martin (ich nehme doch an, dass du dich auch für den letzten Kommentar verantwortlich zeigst) ... Ich fasse zusammen:

Ich bin ein nichtsnutziger, gelangweilter, nach Anerkennung strebender, unausgelasteter, mieser kleiner Student, der in seiner Freizeit nichts anderes tut als über Dinge zu bloggen, von denen er keine Ahnung hat.

Da ihn auch das nicht erfüllt, trat er auf die dunkle Seite der Macht über und wurde zu einem Internet-Hooligan, der sich zum Ziel gemacht hat, Partyguide zu zerstören. Welch ignoranter Trottel ich bin, der sich nicht an der Sonne sonnt und am (Zitat) "Erfolg und Ruhm von PG" teilhat?

Wie du vielleicht? Mir ist es eigentlich egal, ob du Schorsch, Sepp oder Tinu heisst. Mich würde eher Wunder nehmen, ob du mit Partyguide verbandelt bist. Denn dies sollten die Leser meines Blogs wissen, um sich ein objektives Bild zu machen.

Wie gesagt - Partyguide soll seinen Anwalt einschalten. Dann klärt ein unabhängiges, eidgenössisches Gericht die Sachlage. Wer ist das Opfer? Partyguide, oder doch eher seine gutgläubigen User? Ich?

Ich hoffe, die Dilettanten haben die Beweissicherung anständig durchgeführt.

 Martin um 11.06.2006 12:40:00 Uhr

Obwohl mir der Vorposter aus der Seele spricht, stammt dieser Kommentar nicht von mir...

Über Deine Objektivität wollen jetzt ja wohl nicht diskutieren, oder?

Und dass Du Dich jetzt noch als Opfer bezeichnest, finde ich richtig traurig... Get a life...

 eMeidi um 11.06.2006 15:04:00 Uhr

Martin, noch einmal: Hast du irgendwelche Verbindungen zu Partyguide?

 martin um 11.06.2006 18:05:00 Uhr

Wie, Du hast noch nicht versucht, das rauszufinden? Du willst doch nicht sagen, dass Du auf einmal etwas besseres zu tun hast, oder?

Ehrlich gesagt, kann es Dir vollkommen egal sein, denn das, was ich hier wiedergebe ist meine eigene, persönliche Meinung.

Wenn ich also mit PG verbandelt wäre, würde das nichts ändern, da dies keine "offizielle Aussage" wäre.

Wenn ich nicht mit PG "verbandelt" bin, finde ich Deine Aktionen noch immer dumm, meiner Meinung nach kriminell und wie der erste Poster schon sagte, zutiefst verwerflich.

 eMeidi um 11.06.2006 18:10:00 Uhr

Martin, noch einmal: Hast du irgendwelche Verbindungen zu Partyguide?

 martin um 11.06.2006 18:50:00 Uhr

Wie, Du hast noch nicht versucht, das rauszufinden? Du willst doch nicht sagen, dass Du auf einmal etwas besseres zu tun hast, oder?

Ehrlich gesagt, kann es Dir vollkommen egal sein, denn das, was ich hier wiedergebe ist meine eigene, persönliche Meinung.

Wenn ich also mit PG verbandelt wäre, würde das nichts ändern, da dies keine "offizielle Aussage" wäre.

Wenn ich nicht mit PG "verbandelt" bin, finde ich Deine Aktionen noch immer dumm, meiner Meinung nach kriminell und wie der erste Poster schon sagte, zutiefst verwerflich.

PS: Wollen wir das noch lang machen?

 Marco Robertini um 12.06.2006 08:46:00 Uhr

Zuerst einmal: Ich heisse Aeby, nicht Aebi. Ausserdem darf man mich duzen, das stört mich nicht.

'Tschuldigung, ich war wohl etwas unachtsam...

Zu Deiner Stellungsnahme:

1) Ich habe die Lücke erst dann öffentlich gemacht, als das Loch bereits "gestopft" war.

Ich habe nichts daran auszusetzen, dass Du Sicherheitslücken öffentlich machst! Leider ist es oft so, dass die Informatiker erst reagieren, wenn sie das Messer am Hals haben. In diesem Sinne braucht es schlaue Köpfe die versuchen das System auszuhebeln. Allerdings sollte man dann zuerst den Betreiber informieren und ihm Zeit geben das Loch zu stopfen.

2) Alle kompromittierten Accounts erhielten gestern ein neues Passwort.

War das vor oder nach der Veröffentlichung des .csv-Files? Allerdings ist dies gar nicht der Punkt! Du selbst schreibst, dass es sehr gut möglich ist, dass die Benutzer einfach wieder ihr altes Passwort verwenden. Das Risiko, dass man mit diesen Daten Unfug betreiben kann besteht also durchaus! Zudem stiftest Du ausdrücklich zum Missbrauch der Daten an. Das ist mein Kritikpunkt.

3) Partyguide sollte die Pflicht haben, seine Benutzer über Sicherheitslücken aufzuklären. Ein Hinweis auf die Änderung des Passwortes "aus Sicherheitsgründen" reicht dazu nicht aus. Die Benutzer müssen umfassend auf das Problem hingewiesen werden.

Hier bin ich vollkommen einverstanden. Wenn die Sicherheitslücke bekannt ist und vertrauliche Daten eingesehen werden konnten, so braucht es eine ehrliche und offene Information der BenutzerInnen.

Zum Juristischen:

Unbefuge Datenbeschaffung (Art. 143 StGB) fällt weg, da keine Bereicherungsabsicht besteht.

Unbefugtes Eindringen in ein Datenverarbeitungssystem (Art. 143bis StGB) dürfte schwer zu beweisen sein. Die Anforderungen an die besondere Sicherung der Daten sind, sofern ich mich richtig erinnere, sehr hoch. Daten die mit ein paar Kniffen erlangt werden können fallen kaum darunter.

Datenbeschädigung (Art. 14bis StGB) dürfte ebenfalls nicht greifen.

Im Fernmeldegesetz bin ich zuwenig bewandert.

Trotzdem, selbst wenn es nicht strafrechtlich relevant ist, so bleibt die Veröffentlichung jeglicher Benutzername-Passwort-Paare meiner Meinung nach zumindest moralisch sehr fragwürdig.

P.S.: Nein, ich bin nicht verbandelt mit dem Partyguide. Aber es hat mich trotzdem genervt.

 eMeidi um 12.06.2006 18:51:00 Uhr

Allerdings sollte man dann zuerst den Betreiber informieren und ihm Zeit geben das Loch zu stopfen.

Aus meinen Kommentaren sollte mittlerweile klar ersichtlich sein, dass ich den Exploit erst öffentlich gemacht habe, als die Betreiber die Lücke gestopft und die kompromittierten Accounts gesperrt haben.

Zum Juristischen:

... fällt weg, da keine Bereicherungsabsicht besteht.

... Die Anforderungen an die besondere Sicherung der Daten sind, sofern ich mich richtig erinnere, sehr hoch. Daten die mit ein paar Kniffen erlangt werden können fallen kaum darunter.

Eben. Du hast nicht etwa bei Virtuelle Welten dem Referat der Juristin gelauscht?

dürfte ebenfalls nicht greifen.

Danke, dass du meine juristische Einschätzung teilst, dass mir kaum etwas zur Last gelegt werden könnte.

Ich finde es erstaunlich, wie sehr man nun auf mich einschlägt, obwohl der Fehler offensichtlich bei Partyguide passiert ist. Und das notabene nicht zum ersten Mal. Wer ist schuld, dass auf Windows-Rechnern derart viele Viren und Spyware landet? Die Virenschreiber oder Microsoft, die bis vor einigen Jahren mit SIcherheit nichts am Hut?

P.S.: Nein, ich bin nicht verbandelt mit dem Partyguide.

Ja, das weiss ich:

From: mario.aeby@hist.unibe.ch
Subject: Re: IMAP-Ordner verschwunden
Date: 16. September 2005 11:20:30 GMT+02:00
To: marco.robertini@id.unibe.ch

Ihr von den ID haltet besser ein Auge auf mich ;-)

 martin um 12.06.2006 22:31:00 Uhr

Ich habe es wirklich versucht... Ehrlich! Ich wollte mich zurückhalten und den Dingen einfach Ihren Lauf lassen und warten, was passiert (wie bei der Fussball-WM sind meine Sympathien relativ eindeutig)...

Deine scheinbare Unbeschwertheit (obwohl die Original-Artikel von dir nachträglich verändert wurden), Deine unbedachten Kommentare und Deine "über-präsente" Arroganz führen mich dazu, dass ich doch noch einmal einen Kommentar dazu abgeben muss (der Brechreiz wird sonst zu stark)...

Ich habe heute den Artikel im Tages-Anzeiger über Sozial- und Geisteswissenschaften gelesen (wozu Dein heutiger Kommentar erfolgte) und musste mir ganz ehrlich sagen: Wenn so etwas wie Du dabei rauskommt, ja, dann sollten die Mittel sofort gekürzt werden. Ich bin nicht mehr hundertprozentig sicher, aber meines Wissens ging es in diesem Artikel auch um Ethik und dabei scheinst Du gefehlt zu haben.

Sorry, blöd, das war persönlich und das wollte ich eigentlich nicht werden. Ich habe nichts gegen Studenten: Tagsüber schlafen sie und am Abend siehst Du sie höchstens an der Coop-Kasse, wenn sie kurz vor halb sieben die zwei Sixpacks-Bier und ihre Tiefkühlpizza bezahlen... (Persönlich, ich weiss, aber der Studentenwitz musste einfach sein)

Egal, ich schweife ab...

Dein Blog-Eintrag von heute betreffend flirtlife.de war auch interessant. "Full Disclosure" hat ja eine Passwortliste von rund 100'000 Benutzern veröffentlicht. Wenn ich Deinen Kommentar lese, bist Du damit grundsätzlich einverstanden, oder sehe ich das falsch?

Eines darfst Du jedoch hier nicht ausser Acht lassen: Die Rechtssprechung ist hier keineswegs nebensächlich.. :) Während eine solche Aktion in Deutschland und Österreich strafrechtlich nicht relevant ist, ist sie es bei uns in der Schweiz sehr wohl (vergiss das FMG nicht)...

Ich weiss nicht, ob das noch gilt, aber eine Projektgruppe der SI ist unter Leitung von PWC zu einem anderen Ergebnis gekommen als Mario Robertini, aber wir werden sehen, was passiert...

So, und jetzt mal ganz unter uns: Ich habe Dein Blog während der letzten Monate (ok, hauptsächlich die Artikel über PG) gelesen und bin zum Schluss gekommen, dass Du, obwohl Du ein Student bist (sorry, musste auch wieder sein! :) grundsätzlich ein intelligenter Mensch bist.

Ich muss ehrlich zugeben, dass PG (nein, ich benutze nur dieselbe Abkürzung, ich war's trotzdem nicht) in gewissen Bereichen Verbesserungspotential hat. Ganz ehrlich: GROSSE ÜBERRASCHUNG!!!!

Jeder, der schnell wächst, muss sich mit der zunehmenden Benutzerzahl abfinden und mit dieser irgendwie fertig werden. Andere Communities müssen das, genauso wie PG. Der Unterschied ist vielleicht, dass hinter PG keine RIESEN-MANNSCHAFT steht wie z.B. hinter Google oder anderen Party-Seiten. Der Unterschied ist vielleicht auch, dass es (obwohl es kommerzielle Aspekte gibt) nicht NUR um Kommerz geht.

Aber anyway, wenn Dir Partyguide nicht gefällt, dann besuch die Seite einfach nicht mehr und HALT EINFACH DIE < censored >. Es ist nicht nötig, dass Du Deine "Anhänger" (wie Torquenstein) noch zu irgendwelchen Dingen anstiftest...
Lass Dir doch die Genugtuung schmecken, dass Du eine Lücke in einem Script entdeckt hast (und trotzdem zu dumm warst, als Student von Soziologie- und Geisteswissenschaften die richtige Entscheidung zu treffen) und warte ab, was weiter passiert.

PS: Zitat: "Und nein, ich bin nicht mit Partyguide verbandelt, aber genervt hat es mich trotzdem..." :)

PPS: Ob Mario so erfreut über seine "Identitäts-Erhüllung" ist? Wir werden sehen...

PPPS: Wäre das herrlich, wenn man Leute an der Uni kennen würde... Vor allem IT-Entscheidungsträger.. ;)

 eMeidi um 12.06.2006 23:28:00 Uhr

Lieber Martin

Persönliche Wertungen

Ich habe heute den Artikel im Tages-Anzeiger über Sozial- und Geisteswissenschaften gelesen ... und musste mir ganz ehrlich sagen: Wenn so etwas wie Du dabei rauskommt, ja, dann sollten die Mittel sofort gekürzt werden.

Leser deiner Kommentare werden bemerken, dass du zunehmends persönlicher wirst. Wieso? Gehen dir die Argumente aus?

Ich finde es ja vorbildlich, dass du von meinem Blog auf meine (Nicht-)Qualitäten als Student schliesst, aber ich glaube, da greifst du definitiv zu kurz.

Ich bin nicht mehr hundertprozentig sicher, aber meines Wissens ging es in diesem Artikel auch um Ethik und dabei scheinst Du gefehlt zu haben.

Ich kann dir eine Vorlesung Medienethik anbieten, deren Prüfung ich mit einer glatten 6 bestanden habe.

Ansonsten ist mir das Thema im Unterricht noch nicht begegnet.

Bist du Pfarrer (und somit auch ehemaliger Student), oder von wo hast du deine ethisch-moralischen Grundlagen?

Ich habe nichts gegen Studenten: Tagsüber schlafen sie und am Abend siehst Du sie höchstens an der Coop-Kasse, wenn sie kurz vor halb sieben die zwei Sixpacks-Bier und ihre Tiefkühlpizza bezahlen... (Persönlich, ich weiss, aber der Studentenwitz musste einfach sein)

Damit qualifizierst du dich selber. Willkommen im Boot. Jetzt tragen wir unsere kleine Streiterei endlich auf demselben Niveau auf. Super.

Kernthema
Wenn ich Deinen Kommentar lese, bist Du damit [Veröffentlichung Flirt-City-Passwörter] grundsätzlich einverstanden, oder sehe ich das falsch?

Ja. Eine Internet-Plattform, der 100'000 Passwörter einfach mir-nichts-dir-nichts abhanden kommen, hat es nicht verdient, weiter zu bestehen. Es zeugt grundsätzlich von einem mangelnden Sicherheitsbewusstsein, das in den letzten Jahren stark um sich gegriffen hat.

Durch die Passwort-Reset-Aktion ist hoffentlich allen Benutzern klar geworden, dass ihre privaten Daten auf solchen Plattformen vehement gefährdet sind. Ziel erreicht. Die Konkurrenz, die es hoffentlich besser macht, wird sich über den Zulauf freuen. Freie Marktwirtschaft nennt man das. Aber als Geistes- und Sozialwissenschaftler wage ich mich auf fremdes Terrain ...

ist sie es bei uns in der Schweiz sehr wohl

Gut, dann arbeitet ihr bei Partyguide an einem "Lawsuit"? Ich freue mich schon auf die Verhandlung.

grundsätzlich ein intelligenter Mensch bist.

Danke. Eindeutiges Indiz: Mein Passwort war nicht unter den ca. 5'000 Stück (und nein, ich habe es nicht erst nach meinem Hack geändert).

Aber ja, ich gehörte auch mal zu den ca. 500 "Silliots", die (zumindest bei mir: einst) dasselbe Passwort wie der Account-Name verwendeten.

Der Unterschied ist vielleicht, dass hinter PG keine RIESEN-MANNSCHAFT steht wie z.B. hinter Google oder anderen Party-Seiten. Der Unterschied ist vielleicht auch, dass es (obwohl es kommerzielle Aspekte gibt) nicht NUR um Kommerz geht.

Sorry, aber wenn man persönliche Daten von über 200'000 Schweizern in seiner Datenbank liegen hat, hört das Amateurwesen auf und beginnt mit professioneller Arbeit. Wer das nicht wahrhaben will, soll es lieber sein lassen. Partyguide will sich für keinen der beiden Wege entscheiden und hat demnach das Vertrauen der Benutzer bis auf weiteres nicht verdient.

wenn Dir Partyguide nicht gefällt, dann besuch die Seite einfach nicht mehr

Mir gefällt Partyuide vom Konzept her, das habe ich immer wieder betont. Die technische Umsetzung war und ist weiterhin miserabel. Schade, denn durch grundlegende Verbesserung hätte die Site entwicklungspotential. Mit solchen peinlichen Aktionen laufen die Macher aber Gefahr, bald nicht mehr für voll genommen zu werden.

Es ist nicht nötig, dass Du Deine "Anhänger" (wie Torquenstein) noch zu irgendwelchen Dingen anstiftest...

Torquenstein, der übrigens von dir "enttarnt" wurde (wie du das gemacht hast, musst du mir noch genauer erläutern - mit ein Grund, wieso ich hinter 'martin' eine Partyguide-affine Person vermute), ist längst erwachsen und hat einen freien Willen. Weder ist er ein "Anhänger" von mir, noch wurde er von mir angestiftet. Wenn ich in meinem Blog mit richtigem Name antrete, würde ich das auch auf Partyguide tun, wenn ich der Community etwas zu sagen hätte (obwohl im Freistaat Partyguide u.a. ja die Zensur herrscht).

PPS: Ob Mario so erfreut über seine "Identitäts-Erhüllung" ist? Wir werden sehen...

Er heisst Marco, nicht Mario. Und ist - meines Wissens - übrigens auch Student, wie ich.

Wäre das herrlich, wenn man Leute an der Uni kennen würde... Vor allem IT-Entscheidungsträger.. ;)

Gerne. Für alle, die Google nicht bedienen können: Ich arbeite als Webmaster am Historischen Institut sowie als IT-Verantwortlicher am Departement Klinische Forschung. Ich möchte hier aber auch gleich betonen, dass mein Blog meine persönliche Meinung widerspiegelt und in keinem Zusammenhang mit meinem Arbeitgeber steht. Für den "Hack" habe ich ausschliesslich Hard- und Software und eine Internet-Leitung verwendet, die zu meinem Privatbesitz gehört.

[Partyguide] in gewissen Bereichen Verbesserungspotential hat.

Danke. Im Gegensatz zu dir und anderen Benutzern bewirken meine Aktionen rasche und nachvollziehbare Verbesserungen am Produkt. Natürlech wäre es toll, wenn die Jungs die Probleme gar nicht entstehen lassen würden - aber he, mit PG muss man Nachsicht haben.

Mal ehrlich: Würdest du dich wohler fühlen, wenn die Sicherheits-Lücken immer noch bestünden?

obwohl die Original-Artikel von dir nachträglich verändert wurden

Das bestreite ich vehement. An Artikeln ändere ich meistens nur noch Kleinigkeiten wie Rechtschreibefehler. Weder verändere ich den Sinn auch nur ansatzweise, noch kann ich plötzlich nicht mehr zu Gesagtem stehen.

Guet Nacht
Mario

 martin um 13.06.2006 01:11:00 Uhr

Leser deiner Kommentare werden bemerken, dass du zunehmends persönlicher wirst. Wieso? Gehen dir die Argumente aus?

Wieso persönlicher? Noch persönlicher als Dich und Deine Aktionen als "dumm" zu bezeichnen, kann ich nicht werden oder?

Ganz ehrlich, es tut mir leid, wenn Du Dich als Person angegriffen fühlst. Ich kenne Dich nicht persönlich (und möchte es auch möglichst vermeiden), aber grundsätzlich bist Du mir als Mensch egal. Wenn Du nicht damit leben kannst, dass Du auf Deine Aktionen (und Artikel) Kommentare bekommst, dann hör auf zu bloggen, führ wieder Tagebuch und versteck das unter der Matratze... Dann kritisiert Dich keiner für Deine Gedanken (und Aktionen, ausser, Du machst sie wieder öffentlich).

Damit qualifizierst du dich selber. Willkommen im Boot. Jetzt tragen wir unsere kleine Streiterei endlich auf demselben Niveau aus. Super.
Wieso? Weil ich Witze über Studenten mache? Ach Gott, ich könnte Dir auch eine (ausgewählte) Palette an Informatikerwitzen bieten, liegt Dir das besser?

Ich finde es ja vorbildlich, dass du von meinem Blog auf meine (Nicht-)Qualitäten als Student schliesst,
Wieso auf Deine Qualitäten als Student? Deine Qualitäten als Mensch stehen hier zur Sprache und hier hättest Du, wenn das ein Fach wäre, wahrscheinlich kläglich versagt...

Gut, dann arbeitet ihr bei Partyguide an einem "Lawsuit"? Ich freue mich schon auf die Verhandlung.
Erstens: Wieso "Ihr"? Und zweitens, vielleicht ist Dir beim Lesen der flirtlife-Artikel aufgefallen, dass nirgends über rechtliche Konsequenzen geredet wird. Dies aus dem ganz einfachen (und erwähnten Grund), dass dieser Straftatbestand meines Wissens in Österreich und Deutschland so nicht exisiert.

Mir gefällt Partyuide vom Konzept her, das habe ich immer wieder betont. Die technische Umsetzung war und ist weiterhin miserabel...< snip > Mit solchen peinlichen Aktionen laufen die Macher aber Gefahr, bald nicht mehr für voll genommen zu werden.
Ach, und was war Deine Aktion? Ehrlich, meiner Meinung nach fehlt Dir das "In-Sich-Ge(h)n", was man bei "normalen" (ja, das Wort ist bewusst gewählt), verantwortungsvollen Nutzern einer Community erwarten könnte. Klar, dass es immer wieder schwarze Schafe gibt, hast Du zur Genüge bewiesen...

Torquenstein, der übrigens von dir "enttarnt" wurde (wie du das gemacht hast, musst du mir noch genauer erläutern < snip >
Nein, muss ich nicht, aber das findest Du sicher selber raus... :)

Ok, ich gebe zu, die Wortwahl war etwas unglücklich... Aber wenn er sich in diesem Kommentar ausdrücklich dazu äussert und Du in Deinem nächsten Artikel dann schreibst "Danke Francine", dann macht ihr Euch beide ein bisschen unglaubwürdig... Egal, Torquenstein ist nicht das Thema (und ich möchte mich dafür entschuldigen, wenn er sich durch meinen Kommentar angegriffen fühlte)...

Ich möchte hier aber auch gleich betonen, dass mein Blog meine persönliche Meinung widerspiegelt und in keinem Zusammenhang mit meinem Arbeitgeber steht. Für den "Hack" habe ich ausschliesslich Hard- und Software und eine Internet-Leitung verwendet, die zu meinem Privatbesitz gehört.
Hui, da waren wir aber schnell mit der "Distanzierung"... Und jetzt kommt der Oberhammer: Auch wenn ich mit Partyguide "verbandelt" wäre (vielleicht bin ich nur eines der betroffenen "Opfer"?), spiegeln die hier abgegebenen Kommentare ausdrücklich meine persönliche Meinung wider... Wie gefällt Dir das? :)

...Im Gegensatz zu dir und anderen Benutzern bewirken meine Aktionen rasche und nachvollziehbare Verbesserungen am Produkt...
Denkst Du das wirklich? Ich hoffe, Du kommst nie in eine Führungsposition...

Ich persönlich benutze das Produkt dafür, wozu es gedacht ist: Um Spass zu haben. Wenn mich die Seite nervt, dann besuche ich sie nicht mehr und führe nicht einen "jahrelangen" Kleinkrieg, um meine Verbesserungsvorschläge durchzusetzen.

Wenn ich einer Party-Community "besonders schützenswerte" Daten von mir bekanntgebe, bin ich "selber schuld" (gemäss DSG gehören übrigens Adressen nicht dazu). Wenn jedoch durch Script-Kiddies wie Dich meine "Daten" der Öffentlichkeit zugänglich gemacht werden, dann macht mich das schon ein bisschen sauer.

Das bestreite ich vehement.
Bestreite, was Du willst. Meine Festplatte sagt etwas anderes...

Auch Dir eine gute Nacht...

PS: Nochmal ganz ehrlich: Ich werde Dein Blog weiter verfolgen (aus reinem Interesse an der "Dunklen Seite" des Internets), aber langsam kostest Du mich zuviel Zeit, die ich sinnloser (ja, auch bewusst gewählt) nützen könnte. Nicht Deine Schuld, ich weiss, ich bin ganz alleine schuld daran, dass ich mich auf solche Diskussionen einlasse...

Viel Spass bei bloggen...

 Marco Robertini um 13.06.2006 16:51:00 Uhr

Nur noch schnell um Klarheit zu schaffen:

1. Alles was ich hier schreibe ist ausschliesslich meine persönliche Meinung.

2. Ich war bis vor kurzem Mitarbeiter bei den Informatikdiensten der Uni Bern. Meine Bemerkungen haben aber überhaupt nichts mit dieser Anstellung zu tun. Allerdings kenne ich die Problematik der Sicherheit von Passwörtern nur zu gut!

3. Ich habe mich unterdessen vom Studenten zum Juristen mit Uniabschluss gemausert.

4. Wenn ich hätte verhindern wollen, dass man mich "entarnt", dann hätte ich kaum meinen vollen und richtigen Namen angegeben. "Hans Müller" wäre dann wohl besser gewesen. ;-)

5. Bitte bleibt sachlich! Gegenseitige Beschimpfungen sind völlig fehl am Platz!

 Marco Robertini um 13.06.2006 17:03:00 Uhr

Ah ja, noch was: Auch wenn ich jetzt nicht mehr Student bin, so lerne ich trotzdem gerne noch was.

@Martin: Du schreibst von einer Projektgruppe von SI unter der Leitung von PWC, die sich über das Problem Gedanken gemacht hat. Sind die Erkenntnisse irgendwo festgehalten? Würde mich sehr interessieren...

 solaris um 12.07.2006 14:03:00 Uhr

emeidi, ich kann nur sagen: weiter so!!! bin sprachlos, und finde dein tun absolut erste sahne!!!

 Anonym um 23.08.2006 00:28:00 Uhr

-anonym schrieb:-

Wieso versuchst Du nicht Deine so grossen Programmierkenntnisse
zu Geld zu machen.

-Ende Zitat.

Um an die Passwörter ran zu kommen waren doch keine grossen Programmierkenntnisse nötig... tzzzz

 mix um 17.09.2006 15:26:00 Uhr

Hallo,

Ich habs doch schon immer geahnt, dass die Partyguide-Programmierer überhaupt keine Ahnung von Sicherheit haben.
Man schaue sich nur die Cookies an, die das Autologin ermöglichen.. Passwort ohne jegliche Verschlüsselung im Klartext lesbar..

Und wenn man so sachen meldet, dann passiert genau nichts.

Gratuliere zum finden deiner Lücke und dies auch zu publizieren.

 Anonym um 05.10.2006 12:33:00 Uhr

hy.
ich finds cool wie du mit etwas kreativität und "hmm geht das wohl" diese lücke gefunden hast, welche ja wirklich auf schlechtem code/konfiguration basiert.
ausserdem finde ich die bild suche ne coole sache :)
und die statistik über häufig genutzte "dumme" passwörter.

 Anonym um 05.10.2006 12:34:00 Uhr

hy.
ich finds cool wie du mit etwas kreativität und "hmm geht das wohl" diese lücke gefunden hast, welche ja wirklich auf schlechtem code/konfiguration basiert.
ausserdem finde ich die bild suche ne coole sache :)
und die statistik über häufig genutzte "dumme" passwörter.

 Anonym um 05.02.2007 15:31:00 Uhr

Weiter so, mach partyguide platt!!!

 Booby1408 um 27.11.2007 09:04:00 Uhr

Hallo, ich brauche Hilfe von jemanden der mir sagen kann, ob die Seite Wintermailer.de ebenso unsicher ist. Wer kann mir da helfen bzw. rechtlich was sagen. Es ist schon vorgekommen, das sich User mit ihrem Nick und Passwort eingelogged haben, und in einem anderen Account gelandet sind. Jetzt hat der Admin das Script geändert und sagt, es war kein Fehler auf der Seite - kann man das nachweisen bzw. wo liegt hier ein Fehler vor bzw. wer ist für solche Dinge verantwortlich für die Sicherheit der Seite zu sorgen? Ich bitte um Hilfe bzw. Info. MfG

 oloman um 05.02.2009 19:00:00 Uhr

Interessant wie wenige Bewohner unserer Gemeinde wissen was der Herr Gemeinderat Aebi so alles in seiner Freizeit treibt^^ Da hat sich manch einer gewundert, dass Sie da illegal Sites hacken und dafür sogar vor Gericht müssen. Interessant, interessant...

 oloman um 05.02.2009 19:01:00 Uhr

Interessant wie wenige Bewohner unserer Gemeinde wissen was der Herr Gemeinderat Aebi so alles in seiner Freizeit treibt^^ Da hat sich manch einer gewundert, dass Sie da illegal Sites hacken und dafür sogar vor Gericht müssen. Interessant, interessant...