Montag, August 07, 2006

Partyguide schreibt meinem Arbeitgeber einen Brief

Link zu diesem Artikel

Partyguide greift zur Feder

In der Ägäis muss wohl lange Zeit Windstille geherrscht haben, was Jason und die Partyguide-Argonauten dazu trieb, zur Feder zu greifen und ein literarisches Epos zu verfassen. Ziel: Ihre Heldentaten in aller Welt bekannt zu machen und sich bis in alle Ewigkeit in den Köpfen der Menschheit zu verewigen ... Nun gut, ich helfe, wo ich kann! An mir soll's nicht scheitern.

Die Beweggründe hinter dem Brief

Der Brief erzählt die Geschichte des (gemäss WEMF-Statistik) meistbesuchten schweizerischen Partyportales, welches es mit dem Datenschutz nicht so ernst nimmt. Durch amateurhafte und schludrige Programmierung waren wiederholt persönliche Daten seiner Nutzer gefährdet:

Beim ersten Hack waren alle damals ca. 200'000 Accounts betroffen (man konnte sich dank eines Cookie-Exploits in jedes beliebiges Konto einloggen, sofern man selber Benutzer der Site war), beim zweiten Hack konnten über ein Suchformular Passwörter von Benutzern ausfindig gemacht werden (Stichwort: SQL-Injection). Gab man ein bestimmtes Passwort in ein Formularfeld ein, lieferte die Suchfunktion der Web-Site alle Benutzer zurück, die dieses Passwort verwendeten. Hierzu war kein eigener Account auf dem Portal nötig - jedermann konnte mit minimen Kenntnissen von HTML die Suchanfrage um das Passwort-Feld erweitern. 13'000 Passwörtern fielen mir so innerhalb einer Woche in die Hände.

Datenschutz bei Partyguide - eine Farce?

Anstelle die Benutzer des Portals über die Sicherheitslöcher zu informieren (bis heute hat Partyguide nicht offiziell und direkt an seine Kunden gerichtet Stellung bezogen) und den gesamten Spaghetti-Code einem Sicherheits-Audit zu unterziehen, tat man dies, was man von Dilettanten nicht anderes erwarten konnte: Man köpfte den Überbringer der schlechten Nachricht und hoffte so, den sich aufdrängenden Fragen zu entkommen ... Liebe Betreiber: Sicherheitslöcher löst man nicht, in dem man alle Hacker dieser Welt an die Wand stellt und erschiesst.

Adressaten des Briefes

Der Brief, der letzte Woche verschickt wurde, ging an meinen Arbeitgeber, die Universität Bern. Dort arbeite ich am Departement Klinische Forschung als "IT-Verantwortlicher" (sorry, so lautet die Bezeichnung nun mal) und am Historischen Institut als Webmaster.

Ich möchte betonen: Die oben genannte Aufdeckung von Sicherheitslöchern wurden ausschliesslich von meinem Server zu Hause an der Stritenstrasse aus über einen Internetzugang von Cablecom Hispeed durchgeführt. Zu keiner Zeit habe ich dazu die Infrastruktur meines Arbeitgebers herangezogen. Für mich ist es deshalb etwas unverständlich, wieso mein Arbeitgeber über das Tun in meiner Freizeit informiert wird. Aber eben - bei Partyguide sollte mich eigentlich nichts mehr verwundern.

Der Inhalt des Briefes

Scan (PDF, 200kB)

Ich überlasse es der Blogosphäre selbst, sich ein Urteil über das Geschreibsel zu machen. Dieses wurde mir freundlicherweise von Kollege Liechti eingescannt und zur Verfügung gestellt.

Einige Leckerbissen (Hervorhebungen durch mich):

Der Grund dieses Schreibens an Sie ist rein informeller Natur. Es sind die höchst zweifelhaften und meines Erachtens verantwortungslosen Machenschaften eines Ihrer Mitarbeiter (evtl. Teilzeit). [...]

Wir haben lange überlegt, Sie in dieser Sache überhaupt zu kontaktieren. Da es aber Herr Aeby trotz unserer Ermahnungen vorzieht weitere Eindring- und Hackversuche auf unserem System zu starten [...] sehen wir uns gewzungen, Sie als eventuellen Arbeitgeber zu informieren.

Stellt euch vor - da weist ein Vergnügungsdampfer unzählige Löcher im Bug auf, und der Kapitän überlegt minutenlang, ob er den Matrosen, der die Löcher entdeckt hat, über Bord werfen soll. Ohne Rettungsring, versteht sich. Ich sehe die Leute hinter Partyguide förmlich, wie sehr sie mit sich gerungen haben - und doch, tjach, liess sich nichts machen. Der Brief musste raus!

Am Freitag den 09.06.2006 hat Herr Mario Aeby leider mit seinen privaten Attacken die Grenzen von Anstand und Moral bei weitem überschritten.

Grenzgänger Aeby - diesen Spruch drucke ich mir auf ein T-Shirt mit Partyguide-Logo ... Was ist mit Grenzen des Gesetzes?

Durch einen Programmierfehler in unserer Suchabfrage ist Ihm dies auch nach mehrtägigen Versuchen gelungen.

Jungs, das Scriptlein habe ich in zwei Stunden zusammengezimmert. Es funktionierte danach über sieben Tage lang zufriedenstellend (und unbemerkt). Immerhin gibt Partyguide zu, einen (?) Programmierfehler begangen zu haben.

[...] Von einem Webmaster (zumal er dies ja an einem renommierten Institut ausübt) [...]

Wow, da ist jemand genau im Bilde über das Historische Institut der Universität Bern ...

[...] geschäftsschädigende Tat [...] Wir werden alle Rechtsmittel in Erwägung ziehen [...]

Partyguide ist keine kleine Partysite

[...]

Aha. Hat da jemand Komplexe? Selbstbewusstseinsstörungen? Eben gerade darum sollten doch solche Sicherheitslücken eher bei einem kleinen, personell unterdotierten Partyportälchen eher auftauchen als bei Partyguide?!

[...] Uns ist die Sicherheit unserer User wichtig und wir werden die Sicherheitsstandards laufend anpassen und verbessern.

Ob der Futur hier absichtlich gewählt wurde?

Anstelle sinnvoller Programmiertätigkeiten und Programmverbesserungen muss sich unser Systemprogrammierer mit den Log-Files und Protokollen auseinandersetzen, um die Machenschaften des Herrn Aeby zu kontrollieren.

Ich leide mit ihm - wer im Vorfeld halt nicht sicher programmiert, muss im Nachgang mit grösserem Aufwand kämpfen.

Zudem wird die Performance des Systems zusätzlich belastet, was "normale" User mit grösseren Responsezeiten zu spüren kriegen. Der finanzielle Aufwand den wir investieren müssen ist für uns nicht mehr tragbar.

Partyguide - bald Konkurs? Her mit den Gönnerbeiträgen. Sofort.

Alle Hacker-Attacken wurden gemäss Aussage von seinem privaten PC gemacht. Es besteht keinerlei Zusammenhang zwischen der Strafanziege gegen Herrn Mario Aeby und Ihrem Institut. Wir erachten es als unsere Pflicht, Sie über die privaten Tätigkeiten Ihres Mitarbeiters zu informieren [...]

Ich stelle mir vor, wie meine Vorgesetzten den Wisch durchlesen und auf der zweiten Seite gegen Schluss endlich erfahren, dass die pöhsen, pöhsen Hackereien nichts mit dem Arbeitgeber zu tun haben. Mir wäre es lieber, würde Partyguide in anderen Bereichen pflichtbewusst auftreten. Dann würden solche Briefe auch nicht nötig werden.

Ich weiss nicht, ob sich renommierte Institute wie die Ihren einen Webmaster mit solchen Verfehlungen leisten können oder möchten [...]

... aber Jungs, jetzt wird's schon gerade ein wenig deftig, nicht? Normalerweise wird man in der Schweiz entlassen, weil die Arbeitsleistung unbefriedigend ist, und nicht, weil der Mitarbeiter in seinem Privatleben Dinge tut, die Dritten nicht genehm sind.

[...] ohne Ihre Antwort nehme ich an, dass besagter Herr nicht/nicht mehr in Ihrem Institut angestellt ist [...]

Hochachtungsvoll
Marcel Fellmann
Marketing PartyGuide.ch GmbH [...]

Marcel Fellmann - Jasons Pappi? Hmmm, mal schauen, ob mein Pappi eine Replik auf diesen Brief schreiben möchte? Zwar, nein, ich lasse es wohl bleiben. Wo ist eigentlich mein Leiter Marketing? Der könnte doch zur Feder greifen ...

Reaktionen und Kommentare von Bekannten

(Work in Progress; wird laufend ergänzt)

  • Mindestens ein Empfänger hat den Brief durchgelesen und ihn danach - weggeworfen.
  • "nur so näbäbii: isch scho leid, i eim Brief so viu Fallfähler ... "
  • "und wenn das öpperem ir Uni mitteilt, isch das sicher nid dr Jason [...] und Co., sondern d'Behörde oder ds Gricht ..."
  • "ja, u när no so ä pseudo-formelle Stil. so wie aube d'Bischpiu i dä Bewerbigsratgeber unger "so nicht!". di gliichi Information chönnt öppe uf ei Drittu Text kürzt wärde ..."
  • "ig meine, ke struktur, ke ileitig, kes resume am schluss: so wime eigentlech aständigi briefe schriebt ... o süsch: wortweiderholige, 2x leider i eim satz, unlogischi sätz, u eifach konzeptlos, me fragdsech "was wot mir dä giu mit däm fötzu mitteile?""
  • "zum geniessen:
    nicht: 'wir haben angepasst', nicht: 'wir passen', nein: 'wir werden anpassen'. dann fangt doch an! die zukunftsform wird ja wohl nicht umsonst gewählt worden sein. sie haben ja lange darüber nachgedacht, ob sie den brief überhaupt schreiben wollen. dann haben sie auch die worte mit bedacht gewählt."
  • "und überhaupt: 'verbessern'.
    falsche sachen werden verbessert. dann ist wohl noch immer der wurm drin. komischer marketingjunge, keine ahnung von positiver wortwahl. optimieren. immer optimieren. zu verbessern gibt es nichts bei uns. wir können nur noch optimieren."
  • "Wow, dr Hammer! Scho nume d Qualität gschwige denn dr Inhalt vo däm Schribe beschtätige wieder mau, was das für Amateure si..."
  • "Die hei überreagiert, vo mir us gseh. Vor allem... Darfsch das? Es isch ja ersch e Azeig und no überhoupt nüt gseit?"
  • "Der Brief enthält kein Datum aber der Poststempel ist vom 11. Juli 2006. Der Inhalt des Briefes sagt ungefähr, dass es verwerflich für die Uni ist, ein schlimmer Finger wie dich angestellt zu haben. Also eigentlich eine indirekte Aufforderung zur Kündigung. Ich nenne das Rufmord..."
  • "Im Ernst, so einen Schmarren habe ich noch nie gehört, das sind ja nicht nur programmatisch Anfänger...."
  • "Wird eh zum Bumerang für pg. Sobald wir mehr Zeit haben, geht's rund"

Manuelle Trackbacks

(Trackback - Links auf Artikel, die inhaltlich an diesen Artikel anknüpfen)

Labels:

20 Kommentare | neuen Kommentar verfassen

Kommentare

neuen Kommentar verfassen

Anonymous BloggingTom um 07.08.2006 20:39:00 Uhr

Über die Notwendigkeit, Deinem Arbeitgeber einen Brief zu schreiben, kann man geteilter Meinung sein. Aber wenn es denn sein muss, dann, ich gebe es zu, hätte ich auch einen professionelleren Stil erwartet.
Sowieso scheint mir das Ganze stilmässig etwas zu entgleiten und ich wiederhole mein Angebot an Jason (und Marcel) an dieser Stelle nochmal: Es wär wieder mal, wie erwähnt, Zeit für ein Abendessen. Ich glaube, da sollten einige Dinge mal angesprochen werden...

Disclaimer: Dass mir hier keiner mit dummen Sprüchen kommt: Ich kenne sowohl Jason wie auch Marcel persönlich und darum ist obiges Angebot durchaus ernst gemeint.

Anonymous chrigu um 07.08.2006 22:32:00 Uhr

Gibt es eigentlich einen schlimmeren Ausdruck als Kindergarten? etwas noch abwertenderes? Würde noch so zu PG passen

Disclaimer: Ich habe auch mal für die Bruchbude "gearbeitet", heute würde ich eher sagen Zeit verschwendet. Und Jungs, bereits vor 2 Jahren war das keinen Deut besser. Hab selber auch mal so n lustiges Brieflein erhalten.

Anonymous Mike um 08.08.2006 09:07:00 Uhr

@bloggingtom: Man kann geteilter Meinung sein? Immerhin gibst du dich als Partei zu erkennen... ich hoffe, Herr Aeby ergreift rechtliche Schritte gegen die Verantwortlichen von Partyguide; je nach Kanton ist es ja mit einer vergleichsweise simplen Strafanzeige getan, um den für Partyguide unangenehmen Rest kümmert sich dann die Justiz...

Anonymous Anonym um 08.08.2006 09:29:00 Uhr

Partyguide muss langsam aufpassen. Mit dem Brief an den Arbeitgeber von Mario ist der "Schuss nach hinten" losgegangen. So viele Schreib- und Stilfehler vermitteln ein amateurhaftes Bild. Evtl. genau so amateurhaft wie die Sicherheitsprogrammierungen? Ich bin kein Rechtsexperte, aber läuft ein solcher Brief nicht unter Persönlichkeitsverletzung bzw. Rufschädigung?

Anonymous roc um 08.08.2006 09:44:00 Uhr

diese überlegung hab ich mir ehrlich gesagt auch gemacht! darf partyguide solche sachen überhaupt dem arbeitgeber senden wenn er dies privat tut??? ich finde es eine absolute frechheit, was die sich nur erlauben! kann es sein, dass der liebe Marcel Fellmann in diesem schreiben aufmerksam machen, dass sie das meist besuchte freitzeitportal haben? ^^

Anonymous Akte: Surveillance um 08.08.2006 09:57:00 Uhr

Manueller Trackback:
http://blog.michaelsch.ch/?p=156

Wenn Partyguide einen Brief an meinen Arbeitgeber schicken würde, käme in mir ein Gefühl der Wut und "vor den Kopfgestossen sein" auf. Ich würde, denke ich, juristische Schritte einleiten (oder jedenfalls prüfen ob das geht ;-) ).

Anonymous BloggingTom um 08.08.2006 11:20:00 Uhr

@mike: Ja man kann geteilter Meinung sein. Ist es ein klarer Rechtsverstoss, kann man durchaus überlegen den Arbeitgeber von Mario zu informieren, zumal er beruflich "mit der Materie" zu tun hat. Allerdings sollte der Brief dann professionell aufgesetzt sein, was der vorliegende Brief eindeutig nicht ist. Solange Mario aber kein strafbares Verhalten nachgewiesen wurde, finde ich das Versenden eines solchen Briefes auch "kritisch".

Inwiefern ich Partei ergreife, ist für mich nicht ersichtlich. Ich habe lediglich darauf hingewiesen, dass ich die Macher von PG persönlich kenne. Das heisst aber noch lange nicht, dass ich Partei ergreife oder mit deren Handlungen (oder eben Nicht-Handlungen) einverstanden bin. Wäre ich mit der Art und Weise einverstanden, würde ich wohl kaum öffentlich zu einem Abendessen aufrufen, denn dann gäbe es ja gar nichts zu diskutieren...

Blogger christoph um 08.08.2006 11:28:00 Uhr

Die Absichten dieses Briefes sind eindeutig: Mario Aeby soll privat UND beruflich Schaden zugefuegt werden.

Das ist unprofessionell und moralisch hoechst verwerflich.

Fuer mich haette das ganz klar zwei Folgen:
- Einen Kassensturz/Beobachter Bericht (Oder auch in einer Tageszeitung - die fahren auf Stories wie diese ab!)
- Rechtliche Konsequenzen: Anklage Rufmord

Anonymous msf um 08.08.2006 11:56:00 Uhr

Sorry aber die Fellmanns sind ja «unter jeder sau». Genau wegen solchen Leuten müsste man die Internet-Prüfung einführen. Trolls, die keine KLEINE Partywebsite betreiben!

Wer hat denn denen in den Kopf geschissen? Nein aber sowas regt mich einfach auf. Von wegen «JasonIsTheBest»! Ich fand ja Partyguide immer schon eine komische Geschichte, aber jetzt sind die entschieden zu weit gegangen!


Ich werde meinen «Blog» bei Partyguide sofort löschen!

P.S. Letzter Satz = Joke

Anonymous Steven um 08.08.2006 18:17:00 Uhr

Bravo Partyguide! Dass die Seite ziemlich schludrig programmiert wurde, erkennt man ja schon, wenn man sich durch die Seite bewegt. Dass aber schon seit längerem Fehler wie unkontrolliert zusammengebaute SQL-Statements zu bemängeln sind, war mir neu. Und manchem Script Kiddie, der sich nun voller Freude daran versuchen wird, das Portal zu knacken, wahrscheinlich ebenfalls.

Darum meine herzliche Gratulation an Partyguide. Dadurch, dass ihr dermassen Staub aufgewirbelt habt, dürfte sich nun ein Vielfaches an Leuten mit dem Knacken eurer Webseite auseinandersetzen als vorher, was euch schlussendlich gezwungenermassen zu einem ausgiebigen Code-Audit zwingen wird. Gut gemacht! :-)

Blogger Joschua Brunner um 08.08.2006 18:31:00 Uhr

Anstelle sinnvoller Programmiertätigkeiten und Programmverbesserungen muss sich unser Systemprogrammierer mit den Log-Files und Protokollen auseinandersetzen, um die Machenschaften des Herrn Aeby zu kontrollieren.

Logfiles auswerten ist doch ein guter Anhaltspunkt, um Fehler zu entdecken welche man selber nicht findet. Was sollte er den sonnst tun? Eigentlich sollte er ja dankbar sein…

Anonymous Björn um 08.08.2006 19:33:00 Uhr

Partyguide scheint eine grosse Portokasse zu haben, wenn man sich den Verteiler des Briefs ansieht.

Der Hammer ist ja, dass sie von sich aus sagen, dass keinerlei Zusammenhang zwischen dem Institut und dem Strafantrag besteht. So gesehen, könnten Sie den Brief auch an die Migros senden, damit du nicht mehr einkaufen darfst (hast sicher beim Programmieren zur Stärkung was ausm Sortiment gegessen). Und BernMobil wird das sicher auch interessieren, zumal du sicher auch mit dem ÖV zwischen Instutut und deinem privaten Computer pendelst.

Sachen gibt's , die gibt's gar nicht.

Anonymous bOOlean um 08.08.2006 20:23:00 Uhr

Empfehle folgende Bücher:

PHP and MySQL Everyday Apps For Dummies

und

Duden. Briefe schreiben - leicht gemacht. Ein Ratgeber

Anonymous IT-Sklave um 09.08.2006 08:59:00 Uhr

Also was witzigeres hab ich selten gelesen. Danke, dass Du uns daran teilhaben lässt.
Bin gespannt wie es weitergeht!
Ich würde das ganze mal dem Rechtschutz melden um abzuklären, wie gegen PG vorgegangen werden kann. Anschliessend dann auch gleich noch ein Schreiben an den Kassensturz.
Man, das wird ein Spass!!!

Anonymous Claudio um 09.08.2006 13:10:00 Uhr

Haha, so geil. Ich musste schmunzeln, als ich den Brief gelesen habe. Das sind ja die grössten Clowns, die in unserer Gesellschaft herumlaufen. Auch ich habe ja mal etwas über Partyguide geschrieben. Aber was hat dein Arbeitgeber mit deinen "Hacks" zu tun? Meiner Meinung nach, rein gar nichts - nada. Du hast etwas aufgedeckt und die beschweren sich noch darüber, ganz geil. Microsoft ist ja auch froh über jede Sicherheitslücke, die aufgedeckt wird. Naja, sollen die Partyföteler doch noch etwas weiter toben, wenn die Bürostuhlrennfahrer nichts bessers zu tun haben, als zwei Meter lange Briefe zu schreiben.

Anonymous pingu um 11.08.2006 13:50:00 Uhr

Zufällig habe ich von dieser Geschichte gehört.
Als Pardigeid-Betreiber würde ich mir zuerst mal Gedanken über meinen "Programmierer" (eher Hägger) machen. Der taugt sozusagen rein gar nichts. Sonst hätte er nicht Löcher programmiert. Also weg damit. Statt den "bösen Buben" anzuzeigen, würde ich ihn damit strafen, dass er die Sicherheitslücken programmiertechnisch schliessen muss. Dh. den Kerl anstellen und ihn damit beautragen. Ohne Lohn, klar. Aber dafür hat jemand die Löcher gestopft und das erst noch unentgeldlich.
PARDIGEID zeigt sich hier als absolut unprofessionell und laienhaft in der Reaktion und der Wortwahl im besagten Schreiben. Zum Glück bin ich aus dem Party-Guide-Alter raus. Ich würde mir langsam Gedanken darüber machen!

Anonymous Marco Robertini um 16.08.2006 14:12:00 Uhr

Mit dieser Aktion hat sich Partyguide nun definitv selbst disqualifiziert.
Man sollte da dringend mal am Krisenmanagement arbeiten! Die Vorgehensweise der Betreiber ist wirklich im höchsten Masse unprofessionell, kindisch und contraproduktiv.

Werbung für Ihre Sache ist das jedenfalls bestimmt nicht...

Anonymous Anonym um 03.10.2006 01:43:00 Uhr

Partyguide= Partyscheisse

Hoffentlich glaubt Ihr es endlich!
Löscht eure "Blogs" und lasst diese Scheissseite so verrecken!

Anonymous AVO um 21.08.2007 00:40:00 Uhr

;))) Ja, ich würde mal überlegen, was der Datenschützer zu Party Guide sagen würde.
Wie wärs mit einer Anzeige beim Datenschützer, wegen unseriösem Umgang mit Userdaten ?

Anonymous AVO um 21.08.2007 01:34:00 Uhr

Hallo Mario !

Wo wir gerade bei brisanten Informationen sind, und der öffentliche Brennpunkt gerade bei deinem Blog liegt :


Wer weiss noch, dass Swisscom, ehemals einen Blogger versuchte einzuschüchtern, und sogar einen Journalisten von der Sonntagszeitung gebootet hatte ?
Wohl niemand. Weil : Es kam nie in den Nachrichten, und es kam auch nie in den Gratis- oder Normalzeitungen, weil die "Wichtigeres" zu berichten hatten. - Ausserdem ist mir damals bei der Gratiszeitung 20 Minuten aufgefallen, dass fast auf jeder zweiten Seite eine Vollseite Swisscom-Werbung platziert war.

Kein Wunder, wollten die die Meldung von Fredy Künzler ( Künzlers Blog ) nicht vermelden.

Übrigens : Lass Dich nicht einschüchtern ! Du bist auf dem richtigen Weg, und wenn nicht mal die Tageszeitungen mehr die Wahrheit oder Wichtiges erzählen dürfen, sind wir auf dem Weg zur Diktatur / zum Überwachungsstaat.

Die Akte Künzler + Swisscom :
PDF-Link



Party Guide ist sowieso daran, sich vor aller Welt lächerlich zu machen, und die defensive Haltung bringt ihnen nichts. Besser wäre es, die Fehler einzuräumen, die Benutzeraccounts für eine halbe Woche zu sperren, und die User direkt aufzuklären.
So lange kann es ja nicht dauern, bis die Programmierfehler beseitigt sind.


Ach ja, da fällt mir noch ein; Jetzt wo ein grösseres Medien- und Userinteresse an deinem (wirklich) tollen und vielseitigen Blog vorhanden ist, könntest Du nicht bei denen von Vanatu klar machen, dass ein Versprechen (auch wenn es nur ein Gratisdienst ist), dennoch ein Versprechen ist, und ein Vertrag so lange nicht erfüllt ist, wie die falsche Leistung gepriesen wird, respektive bis der Fehler korrigiert, oder dann die falsche Behauptung eliminiert wurde ?
Mehrere Anfragen und Emails an Vanatu haben nichts gefruchtet.

Link

Vielen Dank.
Es grüsst AV.

Zitierungen dieses Artikels