Donnerstag, August 10, 2006

Heute in "heute" ...

Link zu diesem Artikel

Wegen angeblichem "Hack" auf Partyguide.ch

Strafanzeige gegen Blogger

NEUENEGG BE. Der Berner Mario Aeby (25) bloggte über Sicherheitslücken bei Partyguide.ch. Nun reichten die Macher Strafanzeige ein und verpetzten ihn beim Chef.

[...]

Quelle: Strafanzeige gegen Blogger

Endlich ...

... erfahren Benutzer von Partyguide auf breiter Basis über die Unsicherheit des Community-Portals. Ich bin mir sicher, dass dieser zusätzliche Druck förderlich für die Sicherheit des Portals sein wird. Und vielleicht sogar den einen oder anderen Nutzer sensibilisiert, grundsätzlich vorsichtiger mit Passwörtern und persönlichen Daten im Internet zu hantieren.

In den Partyguide-Foren wird bereits Rege diskutiert. Löblich. (Dank: Torquie)

Jason vs. Mario

Jetzt gerade erreicht mich noch der Hinweis auf die Stellungnahme Jason Fellmanns auf den 'heute'-Artikel.

Lustiges Bildli - der Zeitung kann man garantiert nicht vorwerfen, dass zu wenig personalisiert wird *grins*.

Ich betone ein weiteres Mal: Ich habe die Zugangsdaten erst veröffentlicht, als die Passwörter bereits vom Betreiber geändert worden waren (wie sonst könnte ich das E-Mail abdrucken, dass einem kompromittierten User zugesandt wurde?!)

Mir ist zudem immer noch unverständlich, wieso Benutzer mit unsicheren Passwörtern dieses nicht beim nächsten Login zwingend wechseln mussten?

Aber eben ... In unserem nächsten Leben ist zwischen mir und Jason alles vergessen und wir gehen einen Saufen. Versprochen. Vielleicht programmieren wir dann ja sogar zusammen eine Party-Web-Site? (Dank: Torquie)

Nocheinmal genau so?

Jein.

Ich weiss zwar jetzt, ...

  • ... dass in der Schweiz jeder jeden anzeigen kann,
  • ... wie eine Befragung bei der Polizei abläuft,
  • ... wie eine Hausdurchsuchung vonstatten geht (der Server darf nicht ordnungsgemäss heruntergefahren werden, sondern der Stromstecker muss im laufenden Betrieb gezogen werden),
  • ... dass 808GB Festplattendaten beim Freund und Helfer in Bern nun quasi als Backup gelagert werden und auf die Beweissicherung warten,
  • ... dass die Hardware dank meinem Kooperationswillen mit dem Hüter von Gesetz und Ordnung bereits nach knapp einer Woche anstelle nach drei bis vier Monaten wieder freigegeben wurde,
  • ... dass die Blogosphäre zur Angelegenheit nicht geschwiegen hat und Solidarität, aber auch Kritik ausgeteilt hat, die ich zu Herzen nehmen werde
  • ... ich nicht zuletzt bei meinen Kollegen für Unterhaltung ("du siech wirsch so öppis vo iglochet, aeby!") gesorgt habe,
  • ... ich von unzähligen Tipps und gutgemeinten Ratschlägen förmlich erschlagen wurde (u.a. Gegenklage, Anzeige wegen Ehrverletzung, Anwalt nehmen),
  • ... ich unbedingt eine Rechtschutzversicherung abschliessen muss,
  • ... dass mein Umgang mit telefonischen Anfragen von Seiten der Medien verbessert werden konnte,
  • ... dass der Hack erst so richtig an Nachrichtenwert gewann (und die nötige Reizschwelle überschritt), als Strafanzeige gegen mich erlassen wurde und Partyguide danach (nachdoppelnd?) zur Feder griff,

Dennoch: Alles in allem hinterlässt die ganze Sache einen zwiespältigen Eindruck. Nahe legen kann ich solche Aktionen niemandem.

Labels: ,

16 Kommentare | neuen Kommentar verfassen

Kommentare

neuen Kommentar verfassen

Anonymous Anonym um 10.08.2006 22:51:00 Uhr

Wenn man die ganze Posse verfolgt, fragt man sich schon, ob die 'Macher' nicht fähig sind/waren, die Sicherheitslücken zu schliessen. Auch ihr in holprigem Deutsch geschriebenes Brieflein an die Uni basiert auf einem Template vom letzten Jahrhundert. Anders kann man sich das 'hochachtungsvoll' am Schluss nicht plausibel erklären... Tja, früher war die elektrische Datumsverarbeitung noch ein ehrbares Handwerk, heute kann sich jeder was zusammenclicken ohne zu verstehen, was hinter den Kulissen abgeht...

Anonymous Anonym um 11.08.2006 08:19:00 Uhr

Und Schwupp, wurde der Thread wurde wieder mal gelöscht bei PG!! Ist also kein Forum in welchem über dies und das diskutiert werden kann. Hier ist ein Zensurteam am Werk, welches mit Kritik nicht umgehen kann. Hat denn jemand etwas anderes erwartet von einer sochen Plattform, welche die Arbeitgeber ihrer Nutzer informiert??!!

Blogger Matthias um 11.08.2006 13:06:00 Uhr

Hallo erstmals,

solche Briefe von PartyGuide kenn ich leider auch! rofl:-) Das ganze Team ist aus dem Kindergarten in die Kleinklasse gewechselt...

Interessant sind die Zahlen auf alexa.com, dort ist ab Januar 2006 eine drasstische Steigerung der Besucher feststellbar! Diese Zahlen liegen sogar über tilllate.com (Europaweit tätig)! Komisch ist nur, das PartyGuide seit Februar 2006 von WEMF/Net-Audit (offizielle Zahlen) gezält wird. Werden da etwa Werbeauftraggeber beschissen??? Macht euch selber ein Bild davon! Link: http://www.alexa.com/data
/details/traffic_details?
compare_sites=tillate.
com&range=1y&size=medium&y=r
&url=partyguide.ch


Viel Spass...:-)

P.S. informiert mal den Kassensturtz

Grüsse MS

Blogger eMeidi um 11.08.2006 13:19:00 Uhr

@Matthias:

Mit der Kommentar-Funktion sind ohne weiteres Links möglich:

Alexa.com

Dann bist du also der Meinung, dass Partyguide Nutzerzahlen/Verweildauer fälscht?

Falls ja, zöge das die Folgefrage auf sich: Ist die WEMF-Zählung so leicht zu fälschen?

Anonymous Matthias um 11.08.2006 14:00:00 Uhr

@emeidi

Dies kann ich dir leider auch nicht sagen, es ist nur Interessant weil auf alexa.com eine derart schnelle erhöhung der Zahlen nicht möglich wäre ohne zu mogeln...Ich schliesse auch nicht aus, das dies evtl. ein Fehler auf alexa.com sein könnte. Wobei sich fehler meisstens nicht auf mehrere Monate hinziehen.

Ich glaube du bist da die bessere Person um darüber auskunft zu geben ob WEMF-Zahlen gefakt werden könne oder nicht. Dies sollte nur mal einen kleinen Anstoss geben um der Sache mal nachzugehen.

Anonymous Anonym um 11.08.2006 14:34:00 Uhr

naja, alexa-zahlen sind problemlos manipulierbar. installier die alexa-toolbar auf 100pcs und schon hast du für eine schweizer seite wohl einen MASSIV höheren wert.

wemf geht grundsätzlich auch problemlos zu manipulieren, nur sollte es die wemf relativ rasch merken. aber partyguide ist die einzige seite, wo der wemf-tag auch im chat eingebaut ist, was eigentlich eine art "loophole" war, aber ab nächstem monat verboten sein wird von der wemf aus. macht aber ned allzuviel aus.

Anonymous Anonym um 11.08.2006 15:05:00 Uhr

@Matthias:

Vielleicht solltest Du mal Deine Tastatur (S) überprüfen...

- drasstische
- meisstens

oder gleich besser in einen Deutschkurs:

- gezält
- Kassensturtz

ja Kassensturz... das wäre eine gute Idee. Die müsste man informieren.
Aber wieso machst Du das nicht selber ?
Wenn da wirklich so was abgeht... "Werden da etwa Werbeauftraggeber beschissen???"
und Du das aufdeckst... Mensch wäre das eine gute Propaganda für fire-pics.ch.

...und Du sprichst von "Kindergarten" ?

Anonymous Vreni um 11.08.2006 16:07:00 Uhr

emeidi, matthias spricht etwas an, was ich eben auch schon vermutet habe.

schau mal den link an:
http://www.alexa.com/data/details/traffic_details?compare_sites=scarywater.net&range=1y&size=medium&y=r&url=partyguide.ch

da ist doch was faul, oder?

Anonymous Vreni um 11.08.2006 16:27:00 Uhr

was ich noch vergessen habe zu erwähnen...

Der betreiber dieser website (a.scarywater.net) ist „eike frost“ aus oldenburg (DE).

Er ist bei partyguide früher mal server admin gewesen bevor sie zu nine.ch gewechselt haben. Somit macht der vergleich von partyguide.ch und diesem scarywater.net auf alexa schon sinn ;-)

Anonymous Anonym um 11.08.2006 16:31:00 Uhr

es gibt eben leute die ohne zu mogeln nicht auffallen würden, zuwenig im rampenlicht stehen oder sich zu wenig wichtig/beachtet fühlen.

genau jene leute sind nicht ehrlich zu sich selbst und kommen deshalb auch nie wirklich weiter im geschäftsleben

dass mit dem Kassensturz find ich ne ganz nette idee! über den tisch mit den schönmalern. gäb da auch noch weitere portale die sich zuoberst hinmogeln...

im übrigen, seit wann lassen die sich von WEMF auswerten? ist das jetzt kostenlos?

Anonymous Anonym um 11.08.2006 17:26:00 Uhr

wemf-auswertung seit ca. märz ; nein, kostenlos ist es nicht, kostet partyguide etwa 20'000 chf im jahr.

Anonymous Hans um 11.08.2006 19:57:00 Uhr

Mir ist noch etwas viel besseres passiert: Nichtsahnend surfte ich durch die unendlichen Weiten von Pargyguide.ch und plötzlich war ich unter einem anderen Benutzernamen eingeloggt. Ich konnte Kommentare zu Bildern verfassen und das Profil des Benutzers nach meinen Wünschen anpassen, ohne dass ich irgendein Cookie abgeändert hatte. Nun, ich fand dies ziemlich seltsam und schrieb dem PG-Team ein eMail. Ich dachte, das würde die sicher interessieren. Doch die Antwort hat mich ziemlich überrascht: "Bitte logge dich einfach einmal aus und wieder ein... Dann funktionierts wieder!" Nun ja, das war mir schon klar, doch mich hatte eigentlich mehr die Tatsache interessiert, wie so etwas passieren konnte...

Anonymous Hans um 11.08.2006 20:21:00 Uhr

Ach und noch etwas... Ich kenne eine andere "Party" Site, die noch viel schlimmer ist als PG... bei der musste man bis vor kurzem man nur die URL (!) manipulieren um an die Userdaten (ausser dem Passwort) zu kommen. Scheinbar geht das nicht mehr, aber andere Lücken lassen einem immernoch Daten anschauen und verändern. Ich habe mir lange überlegt ob ich das irgendwem (ie. dem Betreiber der Site) mitteilen soll, und habe es in Absprache mit einem Juristen lieber gelassen...

Anonymous Anonym um 14.08.2006 10:21:00 Uhr

@Hans

Das ist strategisch falsch. Grundsätzlich sollte eine solche Schwachstelle dem Betreiber gemeldet werden.

Ich kann nur von mir erzählen und sagen dass ich pro Monat zwischen 5 und 15 Sicherheitslücken in Apple-, Microsoft-Produkten, weiteren Hersteller von Software aller Art und Internetseiten aufdecke.

Ich kann schon fast sagen dass ich international in der Secrurity-Branche bekannt bin. Bis jetzt erhielt ich hauptsächlich positive Rückmeldungen (nicht immer, aber meistens).

Anonymous Anonym um 15.08.2006 12:02:00 Uhr

@Anonymous

Richtig: Melden ist gut, aber Passwörter veröffentlichen ist sicherlich die falsche Methode und strafbar wie wir nun ja alle wissen ;) Wie auch immer ich denke alle haben daraus gelernt und vielleicht wird nun auch Mario seine Erkentnisse den Sitebetreibern (egal welchen) jeweils mailen bevor er sie veröffentlicht. Mario, so wirst du dir sogar Freunde statt Feinde machen ;)

Blogger eMeidi um 20.08.2006 19:45:00 Uhr

Richtig: Melden ist gut, aber Passwörter veröffentlichen ist sicherlich die falsche Methode

Passwörter zu veröffentlichen, nachdem die Sicherheitslücke gestopft und die Kennwörter vom Betreiber bereits geändert worden sind, ist nichts Verwerfliches.

Jeder normale Betreiber einer Datenbank würde seine Kunden auf die Sicherheitslücke hinweisen und ihnen wärmstens anraten, die Passwörter zu überprüfen/wechseln. Trotz diesem Druck von aussen hat Partyguide nichts in dieser Richtung unternommen.

Zudem hätte es wohl starke Zweifel am "Hack" gegeben, wenn ich diese Passwörter nicht veröffentlicht hätte. Motto: "Kann ja jeder kommen ...".

und strafbar wie wir nun ja alle wissen ;)

Warten wir ab, ob das Verfahren eingestellte ist oder vor den Richter kommt. Selbst dann kann ich freigesprochen werden. Deshalb: Keine voreilige Verurteilung, bitte.