Dienstag, April 15, 2008
kann vom büro nicht auf partyguide
Liebe lernende UBS-Kauffrau, lieber lernender UBS-Kaufmann: Es gibt halt einfach Web-Sites, die du auf der Arbeit nicht ansurfen sollst! Vor allem, wenn deine Bank derart in den Miesen steckt ...
Vergesst nicht: Hätte es zu Marcel Ospels Stifti-Zeiten das Internet und Party-Portale gegeben, hätte er es garantiert nur zum Back-Office-Mitarbeiter dritten Ranges geschafft. Euer aller Idol wäre nicht dort, wo es heute ist - steinreich, arbeitslos, wohnhaft in einer angemessenen Villa in einem typisch schweizerischen Steuerparadies.
Erläuterung
Ich habe mir einen Spass daraus gemacht, Zugriffe von Proxy-Servern schweizerischer Unternehmen auf mein Blog speziell hervorzuheben (natürlich nur zum internen Gebrauch).
Unter anderem fand ich heute obigen Eintrag in meinem proprietären Analyse-Tool vor. Der Besucher hinter dem UBS-Proxy wurde mit einer Google-Suche "kann vom büro nicht auf partyguide" (gekennzeichnet mit "[G]" im Referer) auf mein Blog aufmerksam ...
Labels: Finanzen, Funny, Partyguide, Schweiz, UBS, Wirtschaft
Samstag, März 29, 2008
Partyguide wird zur Aktiengesellschaft
Hossa, da tut sich was im Lande:
Mutationen
PartyGuide.ch GmbH, in Hünenberg, CH-400.4.025.924-2, Gesellschaft mit beschränkter Haftung (SHAB Nr. 37 vom 22.02.2007, S. 19, Publ 3789834).
Statuten neu: 27.02.2008.
Rechtsform neu: Aktiengesellschaft.
Umwandlung: Die Gesellschaft mit beschränkter Haftung hat vorgängig ihr Stammkapital von CHF 20'000.00 auf CHF 100'000.00 erhöht und wird gemäss Umwandlungsplan vom 27.02.2008 und Bilanz per 31.12.2007 mit Aktiven von CHF 512'617.82 und Passiven (Fremdkapital) von CHF 288'037.17 in eine Aktiengesellschaft umgewandelt. Der einzige Gesellschafter [Jason Fellmann, Anm. think eMeidi] erhält für seinen bisherigen Stammanteil 850 Vorzugs-Namenaktien zu CHF 100.00 sowie 150 Namenaktien zu CHF 100.00.
Firma neu: PartyGuide.ch AG.
[...] Gemäss Erklärung des Verwaltungsrates vom 27.02.2008 untersteht die Gesellschaft keiner ordentlichen Revision und verzichtet auf die eingeschränkte Revision.
[...] Eingetragene Personen neu oder mutierend: Fellmann, Jason, von Zürich, in Merenschwand, Mitglied des Verwaltungsrates, mit Einzelunterschrift (bisher: Gesellschafter mit Einzelunterschrift und Geschäftsführer mit Einzelunterschrift und mit einem Stammanteil von CHF 20'000.00).
Quelle: SHAB, Nr. 50, 12. März 2008,
Lebensmittelpunkt
Der Leser sei darauf hingewiesen, dass Jason Fellmann in Merenschwand (AG) wohnt, (gemäss den letzten mir verfügbaren Informationen) mitten in der Stadt Zürich arbeitet, der Briefkasten der Aktiengesellschaft in Hünenberg (ZG) steht und deren Server irgendwo in der Stadt Zürich untergebracht sind - wo genau, erfährt man nicht so genau:
The data centers are located few walking minutes away from our office. For security reasons the addresses are not made public. It is most convenient to visit our office and we will then show you the way to the data centers.
Quelle: Directions to nine.ch
Beweggründe unbekannt
Wieso wird die Hobby-Bude in eine AG umgewandelt? Wieso profitiert nur Jason vom Aktiensegen, obwohl noch weitere sechs Personen auf Partyguides Lohnliste stehen? Steht vielleicht gar der IPO kurz bevor? Oder liegen konkrete Übernahmeangebote vor? Oder handelt es sich nur um ein Vehikel zur "Steueroptimierung"? Wir werden sehen ...
Labels: Partyguide
Samstag, Februar 16, 2008
Verbreitet Partyguide Malware?
Am 13. Februar wurde ich von zwei Bekannten darauf hingewiesen, dass kurz nach dem Besuch der Homepage von Partyguide mit dem Internet Explorer ein nerviges Pop-Up erschien (s. Bild).
Indem der Benutzer auf Abbrechen klickt, erscheint das Pop-Up immer und immer wieder. Nach einigen Klickversuchen liess das Tool einem dann gar keine Wahl mehr:
DiskRetter wird jetzt ihre Festplatte scannen
Der eine Kollege vermutete daraufhin, dass dies wohl eine Revanche der Betreiber sei, wenn jemand mit einem Referer à la blog.emeidi.com oder pgwatch.wordpress.com auf Partyguide gelangt ...
Über DiskRetter
Eine Google-Suche liefert knapp 7'000 Treffer zu diskretter:
Folgender Bericht im Winboard-Forum scheint sich mit den Erfahrungen meiner Kollegen zu decken:
Ich habe eben mit Firefox 2.0.0.6 gesurft, habe ein neues Tab geöffnet und wollte mich bei kwick. anmelden, [...] aber plötzlich verschwindet mein Firefox-Fenster. In der Task-Leiste steht nur noch ein Icon vom Firefox und dahinter "Error Detectet - Mozilla Firefox" dafür aber erscheint Rechts untern ein Fenster (wie bei Fehlermeldungen). Siehe Screenshoot!!!
Quelle: diskretter.com
Mundtot machen
Bei mir kann ein solches Pop-Up gar nicht erst auftreten, da ich die Domain
phpads.partyguide.ch
seit Jahr und Tag in meinem DNS geblacklistet habe.
Dank: Mäxu & Bäschtu
Labels: Partyguide, Sicherheit, Viren, Web
Mittwoch, Januar 23, 2008
Nächster Partyguide-Gerichtstermin
Wichtiger Hinweis
Der anberaumte Termin wurde verschoben. Sobald der neue Termin bekannt ist, wird er in einem neuen Artikel auf meinem Blog publiziert.Mario Aeby, 18. Februar 2008
Eigentlich wurde mir im August 2007 ja die nächste Verhandlung noch vor Jahresende versprochen, doch aus unbekannten Gründen findet die nächste Verhandlungsrunde nun erst mehr als sechs Monate nach dem ersten Termin statt:
Dienstag, 4. März 2008, 15:30 Uhr
Jason Felmann lässt sich dieses Mal nicht mehr von seinem Techniker Oliver Walzer vertreten (ein Schritt, der aus juristischer Sicht fragwürdig war), sondern hat einen Anwalt namens "M. Meier" engagiert.
Labels: Jura, Partyguide
Mittwoch, Dezember 05, 2007
Studienthema Partyguide
Wer morgen nichts los hat und per Zufall in Lozääärn weilen sollte, sei folgende Veranstaltung empfohlen:
Virtuelle Identitäten
Luzerner Studierendenkonferenz
...
13.00 bis 14.30 Uhr
Vorträge, Moderation und Diskussion von Studierenden für Studierende zu den Themen:
- Wie verändert sich die Identitätsbildung im Internet
- Soziale Beziehungen in Online-Rollenspielen
- Virtuelle Freiezeit?! Eine Analyse von Partyguide.ch
Quelle: Luzerner Studierendenkonferenz
Dank: Kure
Stellt der Autor die Slides ins Netz? Nimmt den Vortrag jemand mit der Videokamera auf und lädt das Video dann auf YouTube? Wäre cool.
Labels: Partyguide
Montag, November 19, 2007
Party-Sites auf dem Weg zur eierlegenden Wollmilchsau
Ab sofort bieten wir Dir einen neuen Service. In Zusammenarbeit mit jobs.ch haben wir auf unserer Website einen Stellenmarkt integriert. Somit hast Du neu die Möglichkeit, im grössten Schweizer Online – Stellenmarkt, täglich von über 25000 Jobs, den Richtigen zu finden. Oder noch attraktiver, lass Dich finden! Hinterlege jetzt anonym Deine Karrieredaten auf der führenden Job-Plattform. Über 5200 angeschlossene Firmen und Headhunter nutzen den Pool laufend für die Besetzung von Top-Positionen.
Wann kann ich wohl meine Kaffee-Maschine über Partyguide & Co. fernsteuern?
Mir wäre als Arbeitgeber schleierhaft, weshalb ich ausgerechnet Personal rekrutieren soll, deren Freizeit- (und Arbeitsbeschäftigung) das Surfen auf Party-Sites ist ...
Labels: Partyguide, Schweiz, Web, Werbung
Freitag, November 16, 2007
Partyguide beliefert Google Maps Schweiz
Google hat maps.google.ch lanciert. Benutzer können damit nicht nur jedes Geschäft und jedes Dienstleistungsangebot in ihrer Nähe finden sondern auch alle Clubs und deren Veranstaltungen, welche PartyGuide.ch als Contentpartner liefert.
Quelle: Clubs & Veranstaltungen neu auf Google Maps Schweiz
Mir bleibt die Spucke weg!
Technik
Mich würde die im Einsatz befindliche Technik brennend interessieren - Web-Services mit XML? Kann Partyguide sowas überhaupt? Oder schicken die Argonauten zu Beginn einer jeden Woche .xls-Files auf einer Floppy-Disk zum Hürlimann-Areal?
Ich muss mal mit Insidern Kontakt aufnehmen ...
Schläft die Konkurrenz?
Und wo bleiben Tilllate und Lautundspitz? Aber es gibt ja noch local.ch sowie map.search.ch, um ertragsreiche Ehen einzugehen ...
Dank: Lulu
Labels: Google, Partyguide
Dienstag, November 13, 2007
Partyguide Konto-Reaktivierung: Einmal 500 Stutz bitte
die wiederherstellung eines definitiv gelöschten accounts würde rund 500.- kosten. wenn du diese kosten übernimmst, kannst du anschließend eine übertragung der premium oder basic credits selber vornehmen. eine andere möglichkeit gibt es leider nicht.
gemäss AGB können wir dir das geld leider auch nicht rückerstatten.
Quelle: Mail von Steven B. an T. vom 12. September 2007
T. hatte den Fehler gemacht, im August seinen Partyguide-Account zu löschen, obwohl er wenige Tage zuvor für eine stattliche Summe auf einen Premium-Account gewechselt hatte (T.s kurzsichtiges Denken verwundert ein wenig - aber egal).
Selbstverständlich verstehe ich die Leute hinter Partyguide, wenn sie nicht täglich dutzende gelöschte Accounts reaktivieren möchten, weil es sich die Teenies im Wechselbad hormoneller Schübe anders überlegt haben. Da aber T. - nicht wie viele andere Benutzer - vorgängig zur Löschung Geld an Partyguide überwiesen hatte, hätte man wohl etwas kulanter mit der Bitte umgehen sollen.
Zwei mögliche Erklärungsversuche:
- Das Wiederherstellen von einzelnen Datensätzen aus dem Datenbank-Backup gestaltet sich als äusserst schwierig, wenn nicht gar unmöglich. Dies ist dann der Fall, wenn bei der Löschung eines Accounts alle Spuren des Benutzers aus der Datenbank verschwinden, was aus datenschutzrechtlichen Gründen wohl die einzig richtige Vorgehensweise ist.
- Die Argonauten waren schlicht zu faul, ihr "Füdle" zu lüpfen und setzten den Betrag Handgelenk-mal-Pi derart hoch, dass kein rationaler Mensch ("Homo oeconomicus") jemals die Reaktivierung seines Premium-Accounts fordern würde.
Auch T.s Vorschlag, die nachprüfbar gekauften Premium-Features (eine Buchhaltung sollte es auch bei Partyguide geben) auf neu zu erstellendes Konto zu übertragen, wurde abgelehnt.
PS: Peter Vogel, Steven B. - macht ihr die Support-Arbeit für Jason eigentlich gegen Entgelt?
Labels: Partyguide
Dienstag, November 13, 2007
Partyguide Fact-Sheet
Es ist wieder einmal an der Zeit, mich zum leidigen Thema Partyguide zu Wort zu melden. In letzter Zeit war es hier auf meinem Blog verdächtig ruhig zu dem Thema. Keine Angst, niemand hat mir einen Maulkorb verpasst, und auch die Gerichts-Posse hat (bisher) noch keine Fortsetzung gefunden.
Dank Trackbacks bin ich soeben auf einen Artikel des Sicherheitsexperten Damian "Yanux" Kaufmann (Mr. XSS-und-unfiltered-HTML höchstpersönlich) aufmerksam geworden, der von der Blogosphäre1 über Partyguide zusammengetragene Erkenntnisse zu einem trockenen, aber äusserst neutralen Artikel zusammengefasst hat.
Der Leser wird nicht viele Neuigkeiten zum Thema entdecken - schön aber, dass sich beispielsweise endlich jemand die Mühe gemacht hat, alle Partyguide-Server aufzuzählen:
PartyGuide.ch GmbH - Die Geschichte ohne Ende…
Willkommen in der Blogosphäre, Damian!
1) Ausführlich mit (sicherheits-)technischen Aspekten der Web-Site von Partyguide beschäftigt sich diese Wenigkeit von Blog, über die optische Aufmachung hat Ale das eine oder andere deftige (Bern-)deutsche Wort verloren.
Labels: Partyguide
Dienstag, Oktober 16, 2007
Partyguide versendet unkonforme Mails
Gestern Abend kam ich aus einem mir unerklärlichen Grund auf die Idee, den Quellcode eines von Partyguide automatisch versandten Mails unter die Lupe zu nehmen (in Apple Mail: Apfel + Alt + U):
Return-Path: <partyguide@partyguide.ch> Received: from all01.mx.genotec.ch (unknown [IPv6:2001:1b50::82:195:224:51]) by gmc-pop-bsd-014.genotec.ch (Postfix) with ESMTP id 94C481739A51 for <spam@emeidi.com>; Tue, 16 Oct 2007 00:34:09 +0200 (CEST) Received: from partyguide.ch (defiant.partyguide.ch [217.150.245.69]) by all01.mx.genotec.ch (Postfix) with ESMTP id C634B558B8E for <spam@eMeidi.com>; Tue, 16 Oct 2007 00:31:23 +0200 (CEST) Received: (qmail 3397 invoked from network); 15 Oct 2007 22:33:57 -0000 Received: from unknown (HELO nebula.partyguide.ch) (192.168.0.13) by defiant.partyguide.ch with SMTP; 15 Oct 2007 22:33:57 -0000 Received: by nebula.partyguide.ch (Postfix, from userid 507) id 238C850D831; Tue, 16 Oct 2007 00:33:57 +0200 (CEST) To: spam@eMeidi.com Subject: ******* hat heute Geburtstag! From: noreply@partyguide.ch<noreply@partyguide.ch> X-Mailer: PHP/5.2.3 X-Sender-IP: Content-Type: text/html Message-Id: <20071015223357.238C850D831@nebula.partyguide.ch> Date: Tue, 16 Oct 2007 00:33:57 +0200 (CEST) X-GIC-MailScanner-SpamCheck: not spam, SpamAssassin (not cached, score=-0.045, required 10, BAYES_00 -2.60, FORGED_RCVD_HELO 0.14, HTML_30_40 0.37, HTML_MESSAGE 0.00, HTML_MIME_NO_HTML_TAG 1.08, MIME_HEADER_CTYPE_ONLY 0.00, MIME_HTML_ONLY 0.00, NO_REAL_NAME 0.96) <font face="verdana" size="2">Hallo mad4you! <br><br> Dein PartyGuide.ch myFriend ******* hat heute Geburtstag!<br> Vergiss nicht zu gratulieren :-) <br><br> Hier gehts zum Profil von *******:<br> <b><a href="http://my.PartyGuide.ch/*******">http://my.PartyGuide.ch/*******</a></b> <br><br> Dies ist ein automatisch generiertes eMail... <br><br> Liebe Grüsse<br> PartyGuide.ch Team </font>
Einige Bemerkungen:
- Fangen wir mit der einzigen vorbildlichen Eigenschaft des Mails an: Return-Path ist gesetzt. Tritt beim Versand des Mails ein technisches Problem auf, kriegt dies Partyguide über die Adresse partyguide@partyguide.ch mit.
Würde man diese Adresse als Absender einsetzen, würden wohl täglich unzählige unerwünschte Antworten von Endbenutzern auf die erwähnte Adresse eintrudeln, die gedankenlos den Antworten-Knopf drücken. Deshalb noreply@partyguide.ch im From:-Feld. - Irgendwie sieht aber genau dieses From-Feld nicht ganz koscher aus: From: noreply@partyguide.ch<noreply@partyguide.ch> Sollte da nicht noch ein Abstand zwischen dem anzuzeigenden Namen und dem < zu stehen kommen? Da die Information aber sowieso redundant ist, sollte man den Namen einfach weglassen und nur <noreply@partyguide.ch> schreiben ...
- Wo bleibt der html und der body-Tag (inkl. End-Tags)?! Wenn das Mail als Content-Type: text/html versandt wird, sollte es auch den minimalsten Anforderungen des HTML-Standards genügen. Der Entwickler hat - wieder einmal - geschlampt. Nebenbei: Wieso muss für einen solchen Text überhaupt ein HTML-Mail versandt werden? Nur damit die URL fett eingefärbt werden kann?
Man beachte X-GIC-MailScanner-SpamCheck (SpamAssassin), der sich auch über die fehlenden Tags beschwert (HTML_MIME_NO_HTML_TAG) und dafür satte 1.08 Spam-Punkte vergibt - X-Mailer: PHP/5.2.3 - wieso um Gottes willen greift man nicht auf OSS-Klassen wie den ausgereiften (und von Profis programmierten) PHPMailer zurück, die das Versenden von HTML-Mails mit alternativem Plain-Text-Body und Attachment zum Klacks machen?
- Immerhin verwendet man nicht mehr PHP 3.x, sondern 5.2.3. Der erste Schritt in die Absicherung der Plattform ist somit getan. Nun kommt aber noch der deutlich grössere Teil der Arbeit: Der Code-Audit und damit einhergehend neu schreiben von mehrere Jahre altem Spaghetti-Code ...
Ein zufälliger Blick in ein Nebenprodukt von Partyguide - und man wird sich wieder einmal bewusst, wie gering die Ambitionen der Programmierer sind (waren?), standardkonformen und sauberen Code vorzulegen. Aus meiner Sicht ein klassisches Beispiel von "Internet-Frevel" und symptomatisch für das Portal. Nur weil ein Script funktioniert und auf dem Internet Explorer und in Microsoft Outlook anständig gerendert wird, heisst das noch lange nicht, dass der Code auch professionellen Anforderungen standhält.
Jason und Argonauten: Das ist eure Visitenkarte, die euer "Unternehmen" Techies unter die Nase hält - kein Wunder, hat sich Tamedia für die Zusammenarbeit mit dem geringsten aller Übel, Tilllate, entschieden ...
Labels: IT, Partyguide, Sicherheit, Web
Freitag, Oktober 05, 2007
Partyguide: Volkssport gefälschte Benutzerprofile
Hmmm, da fragt man sich doch: Welche ist nun die richtige Melanie?
Bei der Kindergarten-Community Partyguide gibt es immer wieder Spassvögel, die sich mit gefälschten Angaben ein Konto eröffnen. Ganz dreist wird es aber, wenn die hinterlistigen Benutzer nicht nur Profile eröffnen, sondern auch noch gleich Bilder von anderen Partyguide-Benutzern stibitzen.
Ab und zu stolpert man auf Profilseiten auf Kommentare, wo ein User einen anderen anfährt, wieso er sein Bild in seinem Profil verwendet.
Dieses Mal hat es das Foto meiner Freundin getroffen. Mal schauen, wie lang es geht, bis "Celine Ingolds" Account gelöscht wurde.
Lieber Oli (an den Rest der Argonauten-Truppe wende ich mich gar nicht mehr, da man lieber Banknoten zählt als die Plattform voranbringt), wann endlich wird die Verifizierung per SMS Pflicht? So kann es doch einfach nicht weitergehen!
Labels: Blogosphäre, Melanie, Partyguide
Samstag, September 15, 2007
Ajax-Klicks und das WEMF-Rating
Bei einem anderen Einsatzgebiet ist Ajax aber kritischer, und zwar dann, wenn auf einen Mausklick des Benutzers reagiert werden soll, und Ajax hilft, nur den Teil neu zu laden, welcher den gewünschten Inhalt darstellt. In diesem Fall darf laut gültigen WEMF-Regeln kein WEMF-Klick ausgelöst werden, d.h. kurz gesagt, um so mehr Ajax wir in diesem Bereich einsetzen würden, um so geringer würden unsere ausgewiesen WEMF Pageimpressions werden und damit die Pageimpressions gar nicht mehr die tatsächlichen Klicks unserer Besucher widerspiegeln.
Einfach ausgedrückt, umso komplizierter eine Webseite, desto höher liegt sie in der WEMF Seitenstatistik.
Quelle: Lautundspitz goes Ajax
Könnte dies mit ein Grund sein, wieso Partyguide - eigentlich die besucherstärkste schweizer Party-Community - unangefochten an der Spitze der WEMF-Ratings für Party-Sites steht (August: Partyguide • Tilllate • Lautundspitz • Usgang) - aber dennoch nicht von Tamedia aufgekauft wurde?
Labels: Partyguide
Donnerstag, September 13, 2007
Bewegung in der Party-Portal-Szene
Zuerst erfahre ich, dass Partyguide seit kurzem bloggt, und nun das:
Das Medienunternehmen Tamedia baut seine Online-Aktivitäten weiter aus und beteiligt sich an der Schweizer Nightlife-Plattform tilllate.com.
Quelle: Tamedia beteiligt sich an tilllate AG
Gratulation an Silvan & Co. zu der Anerkennung ihrer Leistung. Da bleibt eigentlich nur die Frage, wieso Tamedia nicht in das "meistbesuchte" Party-Portal investiert hat? Weiss ein Insider mehr?
Nummer 4
Wenn ein anderer, anonym bleibender Informant recht hat, tut sich in der Branche in letzter Zeit viel:
Anderes Gerücht [...] scheint die Usgang.ch GmbH an den Axel Springer Verlag verkauft worden zu sein. Natürlich nicht direkt, sondern über den Umweg Axel Springer -> Verlagsgruppe Handelszeitung -> Amiado AG -> Guestlist.ch GmbH -> Usgang.ch GmbH.
Da ich dieses Gerücht nur aus einer Quelle zugetragen bekommen habe, ist es mir unmöglich, die Behauptung zu bestätigen.
Labels: Party, Partyguide
Donnerstag, September 13, 2007
Partyguide bloggt!
- HTML: PartyGuide.ch Infos
- RSS2: Feed
Wie es sich für Partyguide gehört, ist die Kommentarfunktion (noch) deaktiviert. Könnte sich da mal jemand reinhacken und die Funktion aktivieren? *zwinker* Kommentare verfasst man, in dem man auf 0 Kommentare klickt. Die Ergüsse der Leser werden aber gegengelesen und erst dann freigeschaltet:
Achtung: Der Kommentar muß erst noch freigegeben werden.
Grundsätzlich aber begrüsse ich den Entscheid und hoffe, dass damit ein neues, fröhlicheres Kapitel in der Geschichte des meistbesuchten Party-Portals der Schweiz geschrieben wird.
Via: PG goes Wordpress?
Labels: Partyguide
Mittwoch, September 05, 2007
Promo-Team infiltriert Tilllate, Partyguide etc.
Ein Bekannter hat mir folgendes Mail zugespielt:
!..PROMOTER GESUCHT..! Hast du Lust auf einen kleinen Nebenjob? Wir von La Campania sind ein neues Promo-Team am zusammenstellen, weil wir jetzt Schweizweit in vielen verschiedenen Clubs der Schweiz arbeiten. Deine Aufgaben währen: Werbung in denn verschiednen Internetportalen wie Tilllate, Partyguide usw.. Deine Eigene Friendsliste zu erstellen Deine Vorteile: Für jeden Namen der von Deiner Friendsliste an die Party kommt, bekommst du 1.50 Fr. Und du hasst an jeder Party die von La Campania veranstaltet wird 2 Gratis Eintritte. Falls dich das interessiert melde Dich bei: m.********@gmx.ch
Ich glaube kaum, dass die Bürokratie zur Überprüfung der Namen auf der Friendsliste dem Anbieter einen Profit ermöglicht. Abgesehen davon: Mein ganz persönlicher Buch-Tipp.
Labels: Freizeit, Kunde, Party, Partyguide, Wirtschaft
Mittwoch, September 05, 2007
Zugangsdaten für registrierungspflichtige Web-Sites
Wer wie ich gerade einem Bekannten Zugang zu Partyguide-Profilen verschaffen muss, ohne dass er sich in einem langwierigen und pingeligen Prozess registriert (just kidding), sei folgende Web-Site empfohlen:
Labels: Partyguide, Sicherheit, Web
Samstag, September 01, 2007
Parallelen zum dritten Partyguide-Hack
Underscoring a major susceptibility threatening thousands of high-profile computer users across the world, a Swedish security consultant has published login credentials belonging to some 100 embassies.
Quelle: Mystery SNAFU exposes email logins for 100 foreign embassies (and counting)
Beim dritten Partyguide-Hack veröffentlichte ich 13'000 Passwörter von Benutzerkonten der Online-Community Partyguide. Zum Zeitpunkt der Veröffentlichung des Blog-Artikels (Samstag, 9. Juni 2006) waren die Passwörter der komprimittierten Accounts aber bereits von den Verantwortlichen zurückgesetzt worden.
"It will only take 10 minutes and every script kiddie is going to be using the exact same method," he told The Reg. "I'm probably not the first one grabbing these passwords, but I'm absolutely the first one publishing them."
Die Sicherheitslücke entdeckte ich während der Programmierung einer Suchfunktion für Partyguide-Benutzer (was bringt eine Suchfunktion, wenn man nicht auch gleich das Bild der gefundenen Benutzern präsentiert erhält). Nachdem ich beim Zugriff auf das AJAX-Such-Script auf Grund falsch formulierter GET-Parameter SQL-Errors zu Gesicht bekam, versuchte ich mich einer SQL-Injection. Leider führte dies zu keinem Erfolg. Umso erstaunter war ich, als ich der Suchabfrage einfach ein Parameter user_search.php?bla=bla...&password=123456 beifügte - und als Resultat alle Benutzer präsentiert erhielt, die dieses Passwort gesetzt hatten. Diese Lücke war selbst für Script-Kiddies schon fast zu einfach ...
Ob vor mir bereits jemand auf diese Lücke aufmerksam geworden ist und diese ausgenutzt hat, weiss ich nicht. Die Entwickler hinter Partyguide wohl auch nicht. Schliesslich wurden sie auf den Hack nur aufmerksam, weil ich während sieben Tagen zehntausende von Anfragen auf das Suchscript losfeuerte. Die Sicherheitslücke wurde nach der Entdeckung durch die Partyguide-Entwickler innert Stunden gefixt. Ich war der erste, der die Lücke öffentlich machte (Partyguide hat bis heute zu keiner der von mir veröffentlichten Sicherheitslücken und Datenlecks weder öffentlich Stellung genommen noch seine Benutzer informiert).
Egerstad's list offers a rare glimpse into the password robustness, or lack thereof, of various countries. At the top of the list was Uzbekistan, where a typical password looks something like "s1e7u0l7c." Surprisingly, the ultra-secret Iran was near the bottom of the list; passwords for its various embassies tended to be the city or country in which the embassy resides. The Hong Kong Liberal Party used "12345678" while one for an Indian embassy was simply "1234."
Auch ich liess es mir im Nachgang zur Veröffentlichung der Lücke nicht nehmen, die Liste der Zugangsdaten nach häufigen Passwörtern zu durchforsten.
Egerstad's decision to publish the account details online is sure to reignite the frequent debate about whether such full disclosure is irresponsible because it simply allows a broader base of people to misuse the information. He says he's well versed in the merits of responsible disclosure but decided that posting the login details was the only way to get the attention this problem deserves.
"I don't have time calling all over the world to tell them something they won't understand or listen to," Egerstad said. "I'm probably going to get charged for helping to commit a crime. I don't really care."
Eine ähnliche Diskussion hat sich auch bei der Veröffentlichung meiner Erkenntnisse entfacht. Und auch ich forderte Partyguide auf, ein Gericht über die Illegalität meiner Handlungen entscheiden zu lassen. Nun, Letzteres bahnt sich mittlerweile an.
Nachtrag: "Millionenraub" auch bei Monster.com
[...] As is the case with many companies that maintain large databases of information, Monster is from time to time subject to attempts to illegally extract information from its database.
As you may be aware, the Monster resume database was recently the target of malicious activity that involved the illegal downloading of information such as names, addresses, phone numbers, and email addresses for some of our job seekers with resumes posted on Monster sites.
The Company has determined that this incident is not the first time Monster's database has been the target of criminal activity. [...] While no company can completely prevent unauthorized access to data, [...]
Quelle: Security Notice
Labels: Partyguide, Sicherheit, Web
Mittwoch, August 29, 2007
Partyguide Nutzerzahlen 2006
Ist etwas dran an der Forderung von Partyguide? Definitiv beurteilen kann ich beim derzeitigen Stand der Dinge nicht.
Interessant ist sicherlich aber das von mir aus WEMF-Daten generierte Diagramm. Es zeigt einen deutlichen Einbruch in der Zahl der Visits und Page Impressions im Monat Juli 2006, um im August 2006 dann alle vorangegangenen Monate zu überflügeln.
Kurzsichtig argumentiert könnte man diesen "Benutzerschwund" auf die Veröffentlichung meiner Hack-Gschichtli in meinem Blog zurückführen. Doch Sinn macht das kaum - erst im August erschienen die Medienberichte in heute und der BernerZeitung, die die Kunde definitiv an den letzten Hinterwäldler verbreitete.
Bad News are Good News?
Könnte es also gar sein, dass die Medienpräsenz Partyguide nicht etwa geschadet, sondern zu mehr Zugriffen verholen hat? Das wird man wohl nie genau eruieren können.
Dier Erklärung
Was den Juli anbelangt: Das Zielpublikum von Partyguide wird sich in diesem Monat wohl einfach wie der Rest der Schweiz auf in die Ferien gemacht haben. Jedenfalls zeigen die Zahlen von 2007 einen identischen Verlauf (auf höherem Niveau), ohne dass ich in diesem Sommer irgendein Datenleck hätte explodieren lassen ...
Entscheidend: Werbegelder
Das A und O der Beweisführung des Zivilklägers wird aber sein, den Einbruch bei den Werbebuchungen geltend zu machen. Wie auch immer die Analyse ausfallen wird: Ich freue mich schon jetzt, endlich einmal einen Einblick in die während den betreffenden Monaten erwirtschaftete Summe an Werbegelder zu nehmen. Ob ausser Jason schon jemals jemanden der Blick in die Buchhaltung erlaubt wurde? Nun, vielleicht wirft ja Marcel (Jasons Pappi) dann und wann einen Blick in die Excel-Zahlenkolonnen.
Labels: Partyguide
Montag, August 20, 2007
Partyguide will Geld von Blogger
Heute war es wieder einmal so weit - die wohl nie mehr enden wollende Story Partyguide v. think eMeidi scheint ein berichtenswertes Ereignis zu sein und wurde in der Abendzeitung heute vom 20. August 2007 (S. 27) kurz angerissen.
Wer von der ganzen Angelegenheit noch nichts mitbekommen hat, hier das wichtigste in Kürze:
Die Hacks
- Der Partyguide-Hack
- Der dritte Partyguide-Hack
- Der vierte Partyguide-Hack
- Der fünfte Partyguide-Hack
Die fragwürdigen Reaktionen von Partyguide
- Partyguide zensiert eMeidi
- Partyguide Strikes Back
- Partyguide schreibt meinem Arbeitgeber einen Brief
- Gerichtsvorladung: Partyguide v. think eMeidi
- Partyguide um 20'000 SFr. geschädigt
- Partyguide auf 20 Minutens Spuren (Hier konnte ich mich mit dem CTO auf einen Kompromiss einigen. Danke, Oli!)
Kritik, die auf taube Ohren stiess
- Effiziente Web-Projekte anhand von Partyguide, Teil 1
- Effiziente Web-Projekte anhand von Partyguide, Teil 2
- Partyguide definitely sucks
- Partyguide: Nichts gelernt ...
Wer an wirklich jedem je von mir geschriebenen Partyguide-Artikel interessiert ist, schaue hier vorbei:
Ferner ...
Dank einem aufmerksamen Leser der Partyguide-AGBs muss ich dieses Schmankerl einfach noch erwähnen:
Benutzeraccounts
Du darfst maximal 3 Benutzeraccounts eröffnen. Alle Benutzeraccounts müssen korrekte Angaben enthalten und dürfen die nachfolgenden Verhaltensregeln und AGBs nicht verletzen.
Dann sollte ich wohl schleunigst meine zwei zusätzlichen Accounts beantragen *zwinker*
Labels: Partyguide
Sonntag, August 19, 2007
Partyguide auf 20 Minutens Spuren
(Sorry, wenn ich meine Leser mit übermässig vielen Partyguide-Nachrichten belästige, aber diese eine sei mir für die nächsten Tage/Wochen noch gegönnt).
Seit letzten Freitag, etwas nach 12 Uhr, ist es mir nicht mehr möglich, auf www.partyguide.ch zuzugreifen. Zuerst dachte ich an ein generelles Problem, als die 404er-Seite (s. oben rechts) angezeigt wurde (gibt es dort ja hin und wieder). Als das vermeintliche Problem nach mehreren Stunden immer noch nicht gelöst war, kamen mir erste Zweifel.
Ein Test mit anderen Internet-Nutzern ergab, dass nur ich die 404er zu sehen bekam.
Ist der Partyguide CTO virtuell Amok gelaufen? Es scheint so. Wieso sperrt man nicht einfach meinen Account, sondern verwehrt mir gleich ganz den Zugriff auf die Web-Site?
Die Antwort auf diese Frage ist nach etwas Hirnanstrengung ganz einfach: Gibt es ein effektiveres Mittel, als mögliche Sicherheitsüberprüfungen eines unangenehmen Zeitgenossen zu verhindern, als seine IP zu sperren und jegliche Zugriffe auf die undichte Web-Site abzuwehren?
Ich befürchte, dass man so den dringend nötigen Security-Audit aufschiebt. Wer weiss, wer die von mir benutzten Lücken lange vor mir unbemerkt zu seinen Gunsten ausgenutzt hat? Wer weiss, wie viele ungepatchte Löcher es derzeit im Frickel-Code von Partyguide hat?
Kollateralschaden
Einen Haken hat die Sache allerdings: Ich bin Cablecom Hispeed-Kunde mit einer dynamischen IP. Sobald mir demnächst eine neue IP-Adresse zugewiesen wird, muss auch die Partyguide-Konfiguration angepasst werden. Oder aber ein unschuldiger Internetbenutzer wird nicht mehr auf die meistbesuchteste Party-Web-Site der Schweiz zugreifen können ...
Technisches
Die einfachste Lösung zum Blockieren einer bestimmten IP-Adresse ist unter Apache wohl mod_rewrite:
RewriteEngine On
RewriteCond %{REMOTE_ADDR} ^84.75.197.247$
RewriteRule ^.*$ - [R=404]
Man hätte es auch mit .htaccess machen können, dann würde mir aber (meines Wissens) ein 403er und nicht ein 404er präsentiert:
order allow,deny deny from 84.75.197.247 allow from all
Parallelen?
Ich sehe mich in Zeiten des Pendlerblogs zurückversetzt. Deren Watchblog-Tätigkeit ging den Machern von 20 Minuten anscheinend derart auf den Kecks, dass diese Besucher, die über Links auf dem Pendlerblog herkamen, kurzerhand in die Wüste nach Deutschland schickten:
Ich hoffe es ist ein Unfall in der IT-Abteilung und kein Plan. [...]
20 Minuten hatt ihre Website seit kurzer Zeit so konfiguriert, dass ein Besucher welcher einem 20 Minuten-Link auf dem Pendlerblog folgt, nicht dort im Ziel landet aber über einen sogenannte Redirect (immer) auf einen Artikel der Süddeutschen Zeitung umgeleitet wird.
Quelle: Kommunikatorische Frontalkollision in Sicht (oder eine Zeitung die selbst zensuriert)
Ausweg: VPN & Proxies
Nun gut, dann muss ich halt andere Wege suchen, um auf die von mir so heissgeliebte Party-Community zuzugreifen - via VPN und/oder mit einem Proxy.
Die Macher werden bei der Ansicht der über mich geloggten Daten mittlerweile wohl bemerkt haben, dass ich tatsächlich andere "Wege" gefunden habe, um auf Partyguide zuzugreifen.
Hilfe naht
Bereits hat mir jemand angeboten, einen nicht-öffentlichen Proxy-Server zu verwenden. Danke für das Angebot, doch ich möchte keine unbeteiligten Dritte in die Affäre hineinziehen.
Selbstverständlich freue ich mich dennoch ausserordentlich über Schützenhilfe aus dem Netz - sollte ich gar eine netzweite "Give think eMeidi a proxy"-Aktion starten?
Labels: Partyguide
Freitag, August 17, 2007
Partyguide um 20'000 SFr. geschädigt
Um diese ursprünglich durch schlampige Programmierung verursachte Schadenssumme geht es in der ganzen Partyguide-Posse. Der CTO hat am Mittwoch aber angekündigt, dass der Betrag durchaus noch höher ausfallen könnte, weil man das ganze Ausmass der von mir aufgedeckten und öffentlich gemachten Datenlecks bei Partyguide noch nicht überblickt.
Labels: Partyguide
Freitag, August 17, 2007
Partyguide: Nichts gelernt ...
Letzten Mittwoch, einige Stunden vor der Einvernahme vor Gericht (ohne anschliessende Hauptverhandlung), packte mich die Neugier: Hat Partyguide aus all den aufgedeckten Problemen der letzten 18 Monate etwas gelernt?
Mich nahmen insbesondere folgende zwei Punkte wunder:
- Wurden die Sicherheitsanforderungen an Passwörter verschärft?
- Wurde das Registrieren von gefälschten Benutzerkonten unterbunden?
Die Antwort ist vernichtend: Nein.
Mir war es am Mittwoch, 15. August 2007, möglich ein Benutzerkonto auf den Namen 'art143bis' zu eröffnen und als Passwort den Benutzernamen zu verwenden. Auch überprüft das Script nicht, wie logisch die persönlichen Angaben sind. Weder scheint Partyguide eine Mindestlänge für Formularwerte festgelegt zu haben, noch werden Postleitzahl und Telefonnummer auf Plausibilität geprüft.
Wieso macht man das? Eine Vermutung gibt es: Man will sich nicht nur als "meistbesuchte" Party-Community in der Schweiz feiern, sondern auch als diejenige mit den meisten (gefakten) Benutzern. Dabei sollte doch auch Partyguide realisieren, dass nicht die Quantität der Benutzer eine Rolle für den Marktwert spielt, sondern deren Qualität ...
Tilllate, Lautundspitz, Usgang - prüft ihr neue Benutzer auch so lasch?
Nebenbei ...
Dafür kann ich nun wirklich nichts!
Nachtrag: Partyguide scheint Zugriffe von meiner IP auf die Fehlerseite umzuleiten ...
Labels: Partyguide
Mittwoch, August 15, 2007
Partyguide: Die Posse nimmt kein Ende ...
Heute Mittwoch-Nachmittag stand ich also vor Gericht und musste mich für meine Untaten verantworten - dachte ich zumindest. Im Schlepptau hatte ich viele Kollegen, die die Gelegenheit nutzten, endlich einmal (als Zuschauer) an einer Strafverhandlung teilzunehmen. Es waren derart viele an der Zahl, dass die für Zuschauer reservierte Bankreihe fast aus ihren Nähten platzte. Danke an alle, die mir den "Rücken gestärkt" haben - und auch allen, die mir vorgängig viel Erfolg gewünscht haben.
Lonesome Cowboy
Nachdem wir am Amthaus in der Hodlerstrasse 7 eintraffen, durch die Schleuse gelassen wurden und danach vor Raum 002 warteten, sass da wie erwartet schon jemand auf der Wartebank. Es war definitiv kein Bekannter von uns. Wie sich später herausstellen sollte, war es aber nicht etwa der Anwalt von Partyguide, sondern Oliver Walzer, damals Freelancer, mittlerweile CTO von Partyguide. Während sich sein Chef im sonnigen Kalifornien die Nacht um die Ohren schlägt, vertrat Oliver die Firma vor Gericht.
Oli hat sich bereits mehrere Male in Kommentaren zu meinen Blog-Artikeln als Partyguide-Entwickler zu erkennen gegeben, war mir also (aus virtueller Sicht) kein Unbekannter.
Kein Vergleich möglich
Dieser Umstand führte kurz nach Verhandlungsbeginn bereits zum ersten Problem: Der Richter, auf ein möglichst schlankes und rasches Verfahren bedacht (das kostet alles!), hatte so keine Möglichkeit, die beiden Streithähne Parteien gleich zu einem Vergleich zu bewegen.
Wie ich mir nach der Verhandlung erklären liess, schliessen Kläger und Beklagter bei einem Vergleich einen Vertrag. Darin ist festgehalten, dass der Kläger die Klage zurückzieht, während der Beklagte im Gegenzug einen vereinbarten Betrag zahlt, der Teile des verursachten Aufwandes und Schadens decken.
Erste Abklärungen in dieser Richtung waren aber nicht möglich, da hierzu der Geschäftsführer selbst (oder sein bevollmächtigter Anwalt) hätten vor Ort sein müssen.
Jason Fellmann macht übrigens in einer Privatklage eine Schadenssumme von 20'000 SFr. geltend (Behebung der Sicherheitslücke, Ändern der Passwörter, Information der Benutzer, Verlust von Werbekunden, Imageschaden). Dieser Betrag wird in einem Prozess klar zu belegen sein - in einem Vergleich hinterfragt die Herleitung der Summe aber niemand (ausser höchstens der Beklagte, der aber nichts gegen Fantasiezahlen auswirken kann).
Kollege Smythe stellte einen treffenden Vergleich an: Durch meinen Hack müsste ein Arbeiter mit einem äusserst anständigen Nettolohn von 5'000 SFr. vier Monate lang arbeiten.
Die Vertretung des Klägers kommt zu Wort ...
Der Richter ging deshalb zu der Befragung über. Zuerst kam Oliver an die Reihe, der aus Sicht der "Geschädigten" schilderte, wie sie vom dritten Partyguide-Hack erfuhren und welche Massnahmen sie damals ergriffen. Im Anschluss stellte Richter Riesen einige gezielte Fragen, die ihm relevant erschienen (z.B., ob Partyguide zu dem Zeitpunkt Kreditkartendaten auf dem Server gespeichert hatte). Gemäss Aussagen von Oli entschloss man sich bei Partyguide anscheinend erst deshalb zu einer Anzeige, als ich Jason Fellmann in meinem Blog als "unfähig" bezeichnet hatte.
Erstaunlich war, dass dem Vertreter der Klägerin der Nachname des Mitinhabers von Partyguide, Manuel Kern, entfallen war. Aber es sei sowieso Jason, der in der Angelegenheit die Federführung inne habe.
... und dann der Beklagte
Dann durfte ich auf dem Sessel in der Mitte des Raumes, vor dem Richter und der Protokollführerin, Platz nehmen. Nachdem ich über meine Rechte aufgeklärt worden war und meine Zustimmung gegeben hatte, Aussagen machen zu wollen, durfte ich aus meiner Sicht erklären, wie ich auf das Datenleck stiess. Mit der Partyguide-Suche konnte nach beliebigen Passwörtern gesucht werden, worauf ich innert 7 Tagen 13'000 Passwörter ergatterte. Auch mir stellte der Gerichtspräsident gewisse Fragen, um meinen Antrieb hinter meinem Vorgehen zu ergründen.
To Be Continued ...
Am Schluss teilte der Gerichtspräsident uns Anwesenden mit, dass ein nächstes Treffen unumgänglich sein. Dann aber müsse ein Vertreter von Partyguide erscheinen, der dann auch (wenn nötig) einen Vergleich schliessen könne (sprich der Geschäftsführer). Auf die Frage von Oliver, in welchem Zeitraum die nächste Sitzung etwa stattfinden würde, wurde uns ein Zeitpunkt innerhalb der nächsten Monaten, aber garantiert noch vor Ende Jahr, versprochen.
Die Mühlen mahlen
Juhui. Langsam verstehe ich, wieso die Gesetzeshüter und Strafbehörden nicht mit ihrer Arbeit nachkommen. Übrigens: Wenn ein Vergleich nicht zustande kommt (Oliver machte Andeutungen in diese Richtung - und auch ich habe eigentlich nicht vor, Jason mit meinem sauer verdienten Geld einen neuen Porsche kaufen zu lassen), wird man nicht darum herum kommen, die mächtige Prozessmaschinerie anzuwerfen. Das bedeutet: Gutachten, Gerichts- und Anwaltskosten, die der Verlierer dann bezahlen muss. Dabei bleibt der Weg durch die Instanzen selbstverständlich vorbehalten - wogegen der Swissair-Prozess wie ein Klacks aussehen wird.
Dr Aut hat jedenfalls schon angetönt, dass er nötigenfalls die Lokalität für eine Atriiichete in Lausanne (Bundesgericht) bereitstellen werde.
Labels: Bern, Partyguide, Recht
Montag, August 13, 2007
Als Besucher zum Partyguide-Gerichtstermin
Kommenden Mittwoch, 15. August 2007, werde ich im Amtshaus in Bern im Strafverfahren Partyguide v. think eMeidi (resp. Fellmann v. Aeby) einvernommen. Um 15.30 Uhr geht es los.
Die Einvernahme (mit "evtl. anschliessender Hauptverhandlung") ist öffentlich. Wer als Schaulustiger daran teilnehmen möchte, kündet sein Erscheinen am Besten telefonisch beim Gericht an:
Gerichtskreis VIII Bern-Laupen
Hodlerstrasse 7
3011 Bern
Tel. 031 634 33 34
Achtung: Sollte es zu einem Vergleich kommen, müssen die nicht in das Verfahren involvierten Personen den Raum verlassen. Gemäss einem ortskundigen Kollegen gibt es eine "vorzügliche" Caféteria im Gebäude.
Obligatorische Atriiichete
Vor dem Termin werden ich und Personen aus dem engeren Kollegenkreis an einem ungenannt bleibenden Ort auf einem nicht näher lokalisierten Balkon noch eine Atriiichete durchführen, um danach gemeinsam gegen das Amthaus zu verschieben. Auf jeden Fall werde ich stilgerecht im Blazer erscheinen - aber ohne Krawatte.
Rückblickend wäre es wohl intelligenter gewesen, die Atriiichete nach der Verhandlung durchzuführen - je nachdem müssten einfach die Vorzeichen gedreht werden.
Bedingungslose Gefolgschaft meiner Entourage?
Einige meiner engeren Kollegen werden zugegen sein, wobei ich über deren Motiv nicht ganz sicher bin: Geht es wirklich um Unterstützung, oder wollen sie den arroganten Spätpubertierenden mit der spitzen Feder endlich einmal auf die Schnauze fliegen sehen? Vertrauen kann ich dagegen auf meinen "Rechtsbeistand" (Und ja, werte Agentin, mittlerweile bin ich ein wenig nervös!).
Man munkelt, dass Supporter auch bereits Plakate gemalt wurden mit dem Slogan "Free Özel!" und "Du Siech wirsch so öppis vo iglochet!".
Kläger in Übersee
Bereits jetzt ist aber sicher, dass der Kläger nicht an der Verhandlung teilnehmen wird. Ich erwarte, dass er durch seinen Anwalt vertreten sein wird. Schade, ich hätte dem Mann hinter Partyguide gerne vor der Verhandlung kollegial die Hand geschüttelt.
Labels: Partyguide
Mittwoch, Juli 25, 2007
Partyguide und der pädophile Partyfotograf
Momentan recherchiert Gaudenz Looser von 20 Minuten erneut in der Sache um den pädophilen Partyguide-Fotografen Matthias Gemperle. Die Aufdeckungen machen den Anschein, dass der Fotograf auch nach der viermonatigen Untersuchungshaft bei Partyguide ein- und aus ging - als ehemaliger "Regionalmanager" kannte und kennt Gemperle den Geschäftsführer, Jason Fellmann, persönlich.
Gestern hatte ich die Gelegenheit, mit einem Insider aus den Reihen von Partyguide zu sprechen. Er behauptet, dass viele (leitende) Leute bei Partyguide lange vor der Strafuntersuchung über die "Vorlieben" und Tätigkeiten Gemperles wussten. Niemand schien dies aber anstössig zu finden, noch befürchtete man Auswirkungen auf das Partyportal. Jason selbst scheint Bedenken zerstreut zu haben, indem er immer wieder darauf verwies, wie viel Gemperle für das Portal getan hätte. Wurde der Fotograf primär aus Dankbarkeit geschont?
Und noch auf etwas anderes macht dem Insider Sorgen: Viele der männlichen Partyfotografen seien erstaunlich alt - 30ig bis 40ig-jährig. Ob diese wirklich nur der Fotografie willen dabei sind, fragt der anonym bleibende Kenner von Partyguide? Da ich leider keinen Überblick über das Alter der Fotografen habe, bin ich auf Partyguide angewiesen, diese Behauptung zu widerlegen.
Fazit
Von mir aufgedeckte Sicherheitslücken, der hemdsärmlige Brief an meinen Arbeitgeber, immer wieder anstössigen Bilder (Rechtsradikale, Autobrand von Frauenfeld) und Kommentare, ein pädophiler Partyfotograf, hunderte Gratis-Arbeit verrichtende Helfer, während Werbeeinnahmen fast vollständig dem Inhaber zufliessen (von Transparenz keine Spur!) - irgendetwas ist einfach enorm Faul im Staate Partyguide. Würde man noch viel stärker im Mist herumstochern, kämen wohl noch viele, viele andere schmutzige Dinge hervor. Wer macht den ersten Schritt?
Abschliessen möchte ich die Berichterstattung mit einem Kommentar auf einen meiner letzten Partyguide-Artikel - treffend, nicht?
Erst wenn das letzte Kleindgeld verbraucht, das letzte Bankkonto geplündert, der letzte Kreditrahmen gesprengt, werdet Ihr feststellen das man bei PartyGuide.ch nur Jasons Autos finanziert.
Quelle: Jason Fellmanns Schatten
Labels: Partyguide
Dienstag, Juli 24, 2007
Jason nimmt nicht an der Gerichtsverhandlung teil
Danke an Chris für den Link auf nachstehende Meldung:
Die Staatsanwaltschaft geht davon aus, dass der ehemalige Inhaber einer St. Galler Modelagentur mindestens drei minderjährige Mädchen vergewaltigt und fünf sexuell genötigt hat. Die Mädchen waren alle zwischen 12 und 16 Jahre alt.
[...] Der Pädophile, auf dessen Computer grosse Mengen härtester Kinderpornografie gefunden wurden, hatte bis gestern nicht nur zahlreiche Partyguide-Staff-Leute auf der Friends-List, er posierte auch wacker mit ihnen an der Partyguide-Jubiläumsparty vom Wochenende. Für eine Stellungnahme waren gestern weder er noch die Verantwortlichen von Partyguide erreichbar.
Quelle: Pädophiler Fotograf verhöhnt seine Opfer
Partyguide scheint ein Unternehmen zu sein, dass nicht aus eigenen Fehlern zu lernen fähig ist. Das ist bei Sicherheitslücken so - und wohl auch im zwischenmenschlichen Bereich.
Nachtrag: Mittlerweile haben die Verantwortlichen von Partyguide reagiert und lassen verlauten:
«Dieser Fotograf ist und wird nicht mehr für uns tätig sein.» Sein Profil sei gesperrt worden, als die Geschäftsleitung davon erfahren habe, schreibt das telefonisch nicht erreichbare Management. Und: Es bestehe kein Bezug mehr zwischen ihm und Partyguide.ch.
Quelle: Pädophiler Fotograf: Partyguide.ch windet sich
Dann ist ja gut ... Dank: Dominic
Abwesend wegen Ferienaufenthalt
Noch etwas anderes machte mich stutzig: "Nicht erreichbar"? Da war doch was ... Ah, genau. Als ich gestern Abend Jasons Profil auf Partyguide angeschaut habe, fiel mir auf, dass als "Ort" "Kalifornien / Florida (jason.ch) (ZG)" angegeben war. Er scheint sich - wie in seinem Partyguide-Profil bereits vollmundig angekündigt - demnächst in Kalifornien und Florida herumzutreiben (wahrscheinlich wandelt er in Kalifornien auf think eMeidis Spuren: Kalifornien 2007).
Vom 4. bis 29. August macht Jason (ohne Argonauten?) die Vereinigten Staaten unsicher. Dass dilettantische PHP-Programmierer von den Einwanderungsbehörden besonders strikte unter die Lupe genommen werden, ist hingegen nur ein Gerücht.
Das bedeutet für meine Gerichtsverhandlung: Wir werden Jasons Porsche-Cabrio am 15. August nicht in der Nähe der Hodlerstrasse 7 parkieren sehen, noch aus seinem Mund erfahren, von wem und wie das mitteilungsfreudige PHP-Script seinerzeit programmiert wurde. Hingegen wird wohl Jasons Anwalt zugegen sein - inwiefern dieser aber genügend Ahnung von IT hat, wird sich zeigen. Gemäss einem anonymen Tippgeber, der von Jason wegen dem Aufdecken einer Sicherheitslücke auch mit Post eingedeckt wurde, hiess der Anwalt damals Lorenz Höchli.
Noch was: Was wird Jason auf dem grünen Einwanderungsfötzel ankreuzen, wo nach Straftaten gefragt wird?
Labels: Partyguide
Dienstag, Juli 10, 2007
Jason Fellmanns Schatten
Zwei Kommentare zum Artikel Gerichtsvorladung: Partyguide v. think eMeidi liessen mich heute hellhörig werden und einige Nachforschungen anstellen:
Amüsant finde ich, dass ausgerechnet Jason Fellmann Dich angezeigt hat. Vielleicht lässt es sich damit erklären, dass er vor Jahren selbst vor Gericht stand und sein Haus durchsucht wurde, ich glaube, es ging um WareZ oder so (ohne Gewähr).
www.totse.com/en/zines/cud_a/cud876.html und nach M-E-M-O BBS suchen. Das war damals die Mailbox von Jason Fellmann.
Quelle: Gerichtsvorladung: Partyguide v. think eMeidi
Nun, was steht denn in diesem Webzine so kompromittierendes geschrieben?
Following months of undercover investigation by Novell's Anti-Piracy Group, on 15th October 1996, Swiss Police executed an early morning raid in Zurich on the home of a 27 year old computer technician calling himself "The Pirate".
"The Pirate" was offering $60,000 of unlicensed Novell products, along with commercial software from other Business Software Alliance (BSA) members, to anyone with a connection to the Internet. During the enquiry, Novell Anti-Piracy investigators also found files containing bomb making recipes and instructions for defrauding credit cards.
During the raid officers from the Swiss Police Commercial Crime Unit seized an extensive collection of computer hardware and software. "The Pirate" who was taken into custody, could face a maximum prison sentence of 3 years and/or a fine of up to SFR 100,000 (USD80,000) if convicted.
In a related action on the same day, the Swiss police raided the M-E-M-O Bulletin Board System (BBS) run by a systems operator calling himself "The Shadow". The M-E-M-O BBS was believed to have close connections with "The Pirate" and in addition to making available unlicensed Novell software via the telephone network, also offered a CD and DAT tape writing service.
Quelle: Hacker posts nudes on court's Web pages, Internet
Ist Jason Fellmann der oben genannte "Schatten"? Betrieb er Mitte der 90er eine BBS, von der Novell behauptete, dass dort Warez getauscht wurden?
Wer könnte die Antwort über die reale Identität von "THe SHaDoW" schneller finden als das allwissende digitale Gedächtnis schlechthin - Google? Eine Suche nach dem Begriff zusammen mit dem realen Namen ergibt einen Treffer in Google Groups aus dem Jahr 1998. Der endgültige Beweis? Nein. Ein Indiz? Ja. Zufall? Vielleicht.
Hi...
Does anybody has Netmeeting and use a Movie Maschine?
That doesn't work here.Thanks for your help and sorry for my english.
Please reply direct to w...@gmx.netThanks!
Greetings Jason Fellmann www.webcity.ch
Quelle: Netmeeting with Movie Maschine
Und was ist mit dieser M-E-M-O BBS? Gibt es eine Verbindung zu Jason? Oh ja, wie eine weitere Google-Abfrage beweist:
Zu verkaufen: ZyXEL U-1496 mit LCD Anzeige 799.- 540MB Quantum IDE Harddisk 299.- Interessenten melden sich bitte per NM bei Jason Fellmann ÚAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAe¿ ÚAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAe¿ ³ ÷÷ Jason Fellmann ÷÷ ³ ³ M-E-M-O BBS í Switzerland ³ ³ ³ ³ ³ ³ FidoNet : 2:301/829.1 ³ ³ Mo-Fr: 18.00-02.00 Uhr ³ ³ EzyNet : 150:4101/101 ³ ³ Sa-So: 24 Stunden ³ ÀAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeÙ ÀAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeÙ ÚAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAe AeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAe¿ ³ BBS/FAX/VOICE : +41-1-4610581 (Erkennung durch ZuTSR) ³ ÀAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAe AeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeAeÙ
Quelle: V: ZyXEL
Es ist auf alle Fälle beruhigend zu wissen, dass bei Jason just 10 Jahre vor der Hausdurchsuchunge im Hause Aeby ebenfalls die Polizei an der Tür geklingelt haben könnte ...
Mal schauen, ob er (oder sein Pappi) sich zu einem offiziellen Statement durchringen können. Gab es eine Hausdurchsuchung? Wurde der Fall vor Gericht behandelt? Gab es ein rechtskräftiges Urteil? Wie lautete es? Fragen über Fragen. Schade, dass Polizeiarchive nicht per Internet zugänglich sind ...
Labels: Partyguide
Sonntag, Juli 08, 2007
think eMeidi mit Rechtsbeistand auf Partyguide
Zufälle gibt es: Just als ich gestern Abend während Pearls of the 80ies mit meiner Juristin über den bevorstehenden Gerichtstermin plauderte, wollte uns doch tatsächlich ein Handlanger Jasons auf Zelluloid bannen. Natürlich konnten wir uns das Gaudi nicht entgehen lassen.
Bis zum 15. August 2007!
Andere Schnappschüsse
Stelzbockfraktion II
Gestern versuchte unsere Crew etwas neues: Die Fraktion spaltete sich in zwei Gruppen auf. Während die eine, grössere Truppe das Bierhübeli unsicher machte, fuhr die andere im Party-Car nach Luzern. Auch deren Eskapaden sind auf Partyguide bildlich nachzuvollziehen:
- DJ Marques G I
- DJ Marques G II
- Agent C-Wig und seine Bond-Girls
- TGFKACD (The Guy Formerly Known As Cab Driver) und seine Komparsen (was genau macht die Hand der Dame auf Randals Hinterkopf?)
- C-Wig & Fingerin' Rud
- Fingerin' Üelu
Labels: Blogosphäre, Partyguide
Mittwoch, Juli 04, 2007
Gerichtsvorladung: Partyguide v. think eMeidi
Showdown: Am 15. August 2007 treffe ich um 15:30 Uhr in meiner Geburtsstadt auf Jason (und die Argonauten?) zwecks Einvernahme. Der dritte Partyguide Hack, bei dem mir nachfolgendes zu Lasten gelegt wird, jährt sich just in diesen Tagen:
Art. 143bis
Wer ohne Bereicherungsabsicht auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Gefängnis oder Busse bestraft.
Ich freue mich, dem fähigen Chefprogrammierer von Partyguide Antlitz in Antlitz gegenüber zu stehen.
Was bisher geschah ...
- 4. Juli 2007 • Vorladung für die Einvernahme vom 15. August 2007 des Gerichtskreises VIII Bern-Laupen
- Mitte Mai • Einvernahme auf dem Polizeiposten Neuenegg zwecks Abklärung der "wirtschaftlichen Verhältnisse" (auf Grund der am 1. Januar 2007 in Kraft getretenen "neuen Strafprozessordnung")
- 27. Februar 2007 • Befragung durch Computerexperten auf der Kantonspolizei Bern-Nordring nach Analyse der "Beweismittel"
- 12. August 2006 • In der BernerZeitung erscheint ein Artikel über den Partyguide-Hack mit dem Titel "Blogger knackt Passwörter"
- 10. August 2006 • In der Abendzeitung heute erscheint ein Artikel über den Partyguide-Hack mit dem Titel "Strafanzeige gegen Blogger"
- 7. August 2006 • Ein Arbeitskollege übermittelt mir eine digitale Kopie des Briefes von Marc Fellmann. Ich stelle den Wisch auf's Netz. Reaktionen aus der Blogosphäre folgen unverzüglich
- 2. August 2006 • Ich kann meinen Server auf dem Polizeiposten Bern-Nordring abholen
- 28. Juli 2006 • Ich kann meine Workstation auf dem Polizeiposten Bern-Nordring abholen
- 25. Juli 2006 • Befragung auf dem Polizeiposten Neuenegg. Anschliessend Hausdurchsuchung mit "Sicherstellung von Beweismitteln". Mein Server und meine Workstation werden (in einem Smart, notabene!) auf Bern chauffiert.
- 11. Juli 2006 • Der Marketing-Verantwortliche bei Partyguide (und Pappi von Jason), Marcel Fellmann, schreibt einen Brief an meinen Arbeitgeber, die Universität Bern (ich erhalte den Brief erst am 7. August 2006 zugespielt)
- 7. Juli 2006 • Einladung zur Befragung auf den Polizeiposten Neuenegg anlässlich eines "Rechtshilfegesuchs des Dezernates Betrug & Wirtschaftskriminalität"; wie es sich während der Befragung herausstellt, hat Partyguide Strafanzeige gegen mich erlassen
- 10. Juni 2006 • Ich publiziere den Artikel "Der dritte Partyguide-Hack"
Eines kann man unseren Justizbehörden jedenfalls nicht vorwerfen lassen: Sie blieben definitiv nicht untätig. Ich bin jedenfalls froh, wenn die Sache am 15. August 2007 ein für alle mal abgeschlossen werden kann.
Labels: Partyguide
Dienstag, Juni 19, 2007
Partyguide lernt ...
Bravo! Langsam scheint die Larifari-Kultur beim Partyfoto-Dienstleister auszusterben.
Im Grund finde es keine schlechte Idee, nur eine bestimmte Art von GET-Variablen zuzulassen und "Verstösse" dagegen umgehend an den Entwickler weiterzuleiten. So kann man nicht nur Hackversuche enttarnen, sondern auch Fehlprogrammierungen aufdecken.
Inwiefern der Endanwender hingegen über das "technische Problem" (= "Hackversuch") informiert werden sollte - darüber kann man sich wohl stundenlang streiten. Ein Schelm, wer die URL www.partyguide.ch/ indexp.php? ld=no& mid=12345& special=einsaetze nun mit einem Script 10'000 Mal aufruft ... und so wohl die Mailbox des Entwicklers sprichwörtlich fluten würde.
Dank: ****
Labels: Partyguide, Sicherheit, Web
Montag, Mai 14, 2007
Partyguide wird zum Spammer
Seit Wochen werde ich von Einladungen genervt, die zwei Partyguide-Benutzer massenhaft auf elektronischem Wege verschicken.
Dem einen, ein kürzlich geschasster Partyguidler, habe ich deswegen die virtuelle Freundschaft bereits gekündet. Mal ehrlich Lulu - du bist ja wirklich ein netter Kerl, doch was zum Teufel interessieren mich Parties ab 16 Jahren in der Zürcher Agglomeration?!
DJDAVE202 (oder wer sich auch immer als diese Person ausgibt) hingegen macht es mir deutlich schwieriger - um nicht zu sagen - unmöglich, seinem nervigen Spam zu entkommen. Dies aus zwei Gründen, die vollumfänglich Partyguide selbst anzulasten sind:
- myFriend wider Willen Mein Username figuriert unter DJDAVE202s myFriends. Ich zähle ihn aber nicht zu meinen myFriends. Anscheinend reicht es aber, wenn der Spammer die zu umwerbenden Personen in seiner Liste hat, um diese zuzuspammen. Eine Möglichkeit besteht (meines Wissens) nicht, mich aus Daves Liste zu löschen. Und falls doch, dann ist diese Funktion (wohlweislich?) sehr gut versteckt.
- Unsubscribe? Hä? Mitgegangen, mitgefangen. Man erhält nun also widerwillig regelmässig Spam-Mails, doch auch in den Mails selber findet sich - entgegen der guten Manier - keine Möglichkeit, sich vom Versand auszuschliessen. Gemeinhin wird diese Möglichkeit als "Unsubscribe" bezeichnet. Na, liebe Argonauten, klingelts? Einerseits verstehe ich ja, dass durch das Fixen der unzähligen Sicherheitslücken keine Zeit blieb, eine derart komplizierte Funktion zu programmieren. Andererseits macht man sich als Versender von Mails so auch strafbar.
Wink mit dem Zaunpfahl
Denn, lieber Jason und Argonauten, seit dem 1. April 2007 gilt das neue Fernmeldegesetz! Es handelt sich übrigens um dasjenige Gesetz, das mir Partyguide bei meinem dritten "Hack" um die Ohren schlagen wollte und folglich auswendig zu kennen scheint:
[...] Durch die Veröffentlichung der Daten hast Du zudem gegen Artikel 50 des FMG verstossen, was ebenfalls mit Haftstrafe bis zu einem Jahr (oder Busse) bestraft wird.
Quelle: Der dritte Partyguide-Hack
Nun, wenn das so ist, hier mal die entsprechenden Strafandrohungen auf Spam:
Vorsätzlicher Spam ist strafbar gemäss Artikel 23 des UWG. [...] Die Strafverfolgung ist Sache der Kantone. Die mögliche Strafe ist Gefängnis oder Busse bis 100'000 Franken.
Quelle: Spamverbot
Rechtslage
Im eben zitierten Kommentar des federführenden BAKOMs liest man zum Thema folgendes:
Nicht jede fernmeldetechnisch gesendete Massenwerbung wird verboten. Es ist aber für jede derartige Werbung zuvor die Einwilligung aller Empfänger nötig (Opt-in).
Ich kann mich nicht erinnern, DJDAVE202 diese Erlaubnis gegeben zu haben.
Jede Massenwerbung muss immer einen korrekten Absender angeben und eine Möglichkeit bieten, weitere Werbung abzulehnen.
Wie oben kritisiert findet sich definitiv eine Unsubscribe-Funktion in den empfangene Mail-Nachrichten. Als Absender ist From: DJDAVE202 <noreply@partyguide.ch> angegeben. Aus meiner Sicht ebenfalls eine Gratwanderung - ist nun DJDAVE202 der Absender, oder doch Partyguide? Dass Antworten auf die Mail-Adresse im virtuellen Nirvana landen, könnte der Gesetzesvollstrecker als unvollständige Anschrift taxieren.
Wie weiter?
Ich bin mir sicher, dass bei Partyguide bald ein hektisches Treiben einsetzen wird, um die angeprangerten Missstände zu beheben.
Und, lieber Jason, lass dir gesagt sein: Sollte es zu keiner Besserung kommen, kann ich ja immer noch Strafanzeige stellen. Dann wäre wieder ein gewisser Gleichstand bei der unnötigen Beschäftigung der Behörden herbeigeführt - die Strafanzeige gegen mich ist immer noch hängig, ohne Hoffnung, dass der Fall in den nächsten Monaten abgeschlossen werden kann (wäre ja zu schön, wenn Untersuchungsrichter sich nur um Partyguide-Hacks kümmern müssten).
Konkurrenz
Ähnliches widerfuhr mir übrigens auch über den anderen Platzhirschen, Tilllate.com. Eine Anfrage bei Silvan Mühlemann (CTO) ergab folgende Auskunft:
Hoi Silvan
Besteht die Möglichkeit, dass ich die Zustellung solcher Einladungen verhindern kann, ohne dem lieben Ex-Partyguidler gleich die Freundschaft zu künden? Am Besten mit einem Link direkt unterhalb der Nachricht. Du weisst ja: 1. April ... Spam ... Verbot.
Danke für das Feedback!
Tschüss
MarioMomentan kannst Du dies nicht. Aber das Feature ist bereits umgesetzt und wartet nur noch auf die Aufschaltung.
Quelle: Mail von Silvan Mühlemann an Mario Aeby, 1. Mai 2007, 17:02 Uhr
Labels: Kunde, Partyguide, Spam
Dienstag, April 03, 2007
Der fünfte Partyguide-Hack
Korrigendum: Huch, wir sind ja schon bei Nummer FÜNF angekommen. Danke, Shift, für den Hinweis.
Hinweis: Es ist - wie immer wenn es um die Sicherheit von Partyguide geht - übertrieben, von einem Hack zu sprechen. Viel eher handelt es sich um ein Datenleck, durch das mit minimalsten Kenntnissen von Web-Programmierung vertrauliche Daten von Benutzern des Portals eingesehen werden konnten.
Das Problem wurde mittlerweile beseitigt, weshalb ich keine Bedenken mehr habe, das Leck öffentlich zu machen.
Wie immer: Geschwätzig!
Das Leck offenbarte sich im angesprochenen Fall über das PHP-Script, das Staff-Mitglieder mit Foto anzeigt:
Irgend ein spielerisch veranlagter Zeitgenossen war vor einiger Zeit auf die Idee gekommen, eine beliebige Benutzer-ID in die URL einzufügen. Und siehe da - das Script frass die neue ID ohne Überprüfung, ob es sich beim angefragten User tatsächlich um ein Staff-Mitglied handelte. Nicht weiter schlimm, mag man denken - doch blöderweise stand auf der ausgelieferten HTML-Seite auch der reale Namen des Users.
Obwohl die Macher hinter Partyguide erst kürzlich in einem grossen Schweizer Wochenmagazin behaupteten, seit dem "Hackerangriff vom letzten Sommer" Sicherheit einen höheren Stellenwert zu geben, scheint von diesem Vorhaben nicht viel in Praxis umgesetzt worden zu sein. Auch weiterhin galt bei diesem Script (wie wohl auch bei Dutzend anderem auf dem Server) das Motto: "Wir trauen jeglichen Anfragen, die von Besuchern unserer Seite eintreffen." Tragisch, aber wahr.
Data Mining
Natürlich reizt dieser Datenfundus, um mit statistischen Methoden Untersuchungen anzustellen. Nachfolgend zwei interessante Entdeckungen:
Hauptkritikpunkt: Registration nur mit plausiblen Angaben? Nicht bei uns!
Bei Partyguide kann Mitglied werden, wessen Namen ". ." lautet. Dies öffnet Tor und Riegel, um sich in Kürze unzählige Fake-Accounts zuzulegen. Als positiver Nebeneffekt kann sich Partyguide dann damit brüsten, so und soviele hunderttausend Benutzer registriert zu haben.
Der Beweis für die Laxheit der Überprüfung von Formular-Angaben mit einer Auflistung von komischen Benutzerangaben (die Zeichenlänge von Vor- und Nachnamen beträgt maximal 8 Zeichen):
| 1. | 89 | A B |
| 2. | 20 | M S |
| 3. | 18 | Ich Du |
| 4. | 15 | Ale Ela |
| 5. | 14 | John Doe |
| 6. | 13 | X Y |
| 7. | 13 | Marco |
| 8. | 12 | Patrick |
| 9. | 12 | A S |
| 10. | 11 | M G |
| 11. | 11 | S M |
| 12. | 10 | A M |
| 13. | 9 | Stefan |
| 14. | 9 | D B |
| 15. | 9 | Sandra |
| 16. | 9 | Jenny |
| 17. | 9 | Daniel |
| 18. | 8 | M B |
| 19. | 8 | Nadine |
| 20. | 8 | Laura |
| 21. | 8 | M W |
| 22. | 8 | S F |
| 23. | 8 | M K |
| 24. | 7 | Vanessa |
| 25. | 7 | Nadja |
| 26. | 7 | Michael |
| 27. | 7 | A D |
| 28. | 7 | Mike |
| 29. | 7 | S B |
| 30. | 6 | P G |
| 31. | 6 | Sarah |
| 32. | 6 | R F |
| 33. | 6 | Pascal |
| 34. | 6 | Nicole |
| 35. | 6 | F S |
| 36. | 6 | Abc Def |
| 37. | 6 | Lisa |
| 38. | 6 | N Z |
| 39. | 6 | P M |
| 40. | 6 | M A |
| 41. | 6 | Sabrina |
| 42. | 6 | M R |
| 43. | 6 | Dsf Sdf |
| 44. | 5 | A H |
| 45. | 5 | Nina |
| 46. | 5 | Asd Asdf |
| 47. | 5 | Adrian |
| 48. | 5 | Melanie |
| 49. | 5 | J W |
| 50. | 5 | Don Juan |
Das andere Problem ist, dass eine Registrierung auch dann zugelassen wird, wenn man in das Feld für Vor- und Nachnamen dieselben Angaben eingibt:
| 1. | 243 | - - |
| 2. | 94 | A A |
| 3. | 78 | Asdf Asdf |
| 4. | 51 | ... ... |
| 5. | 45 | . . |
| 6. | 42 | D D |
| 7. | 38 | X X |
| 8. | 32 | S S |
| 9. | 32 | Bla Bla |
| 10. | 31 | Xxx Xxx |
| 11. | 23 | H H |
| 12. | 21 | Asd Asd |
| 13. | 20 | F F |
| 14. | 20 | M M |
| 15. | 18 | Dd Dd |
| 16. | 18 | .. .. |
| 17. | 16 | Test Test |
| 18. | 15 | R R |
| 19. | 14 | L L |
| 20. | 13 | Hans Hans |
| 21. | 13 | Xx Xx |
| 22. | 12 | Anonym Anonym |
| 23. | 12 | * * |
| 24. | 12 | Sdf Sdf |
| 25. | 12 | Lala Lala |
| 26. | 11 | Xy Xy |
| 27. | 10 | T T |
| 28. | 10 | B B |
| 29. | 10 | J J |
| 30. | 10 | Marco Marco |
| 31. | 9 | Ss Ss |
| 32. | 9 | Tom Tom |
| 33. | 9 | Mike Mike |
| 34. | 9 | Lol Lol |
| 35. | 9 | Asdasd Asdasd |
| 36. | 9 | .... .... |
| 37. | 9 | Gg Gg |
| 38. | 9 | K K |
| 39. | 8 | W W |
| 40. | 8 | Ff Ff |
| 41. | 8 | Hallo Hallo |
| 42. | 8 | Crazy Crazy |
| 43. | 8 | Toni Toni |
| 44. | 8 | G G |
| 45. | 7 | Muster Muster |
| 46. | 7 | Alex Alex |
| 47. | 7 | ??? ??? |
| 48. | 7 | E E |
| 49. | 7 | Unbekannt Unbekannt |
| 50. | 7 | Sam Sam |
Ratschläge
Die Daten liegen zu euren Füssen - säubert die Benutzer-Tabelle doch endlich mal! Mit ein paar Zeilen PHP-Code lässt sich die ganze Chose automatisieren.
Im gleichen Anlauf fände ich eine noch porentiefere Säuberung sinnvoll: Benutzer, die sich seit x Monaten nicht mehr eingeloggt haben, wird ein Mail gesendet, das sie auffordert, sich in den nächsten x Tagen einzuloggen. Ist die Mail-Adresse ungültig oder geschieht bis zum angedrohten Termin kein Login, wird der Account gelöscht.
In Zukunft bitte ich euch, eine anständige Plausibilitätsprüfung bei Neuanmeldungen durchzuführen.
Und last, but not least: Der Sicherheitsaudit wäre immer noch fällig. Solche Datenlecks dürfen einfach nicht auftreten!
Für die Konkurrenz
Bei ca. 30% der untersuchten Accounts wurde kein Namen zurückgeliefert (unter der angefragten User-ID scheinen keine Daten mehr vorhanden zu sein). Vermutlich handelt es sich hierbei um gelöschte Benutzer.
Wissenswertes
Die häufigsten Familiennamen der Schweizer Jugend resp. der Partyguide-Benutzer? Seht selbst:
| 1. | Müller |
| 2. | Meier |
| 3. | Schmid |
| 4. | Gerber |
| 5. | Keller |
| 6. | Schneider |
| 7. | Weber |
| 8. | Moser |
| 9. | Meyer |
| 10. | Berger |
Und hier dasselbe mit den Vornamen:
| 1. | Michael |
| 2. | Daniel |
| 3. | Thomas |
| 4. | Marco |
| 5. | Stefan |
| 6. | Patrick |
| 7. | Sandra |
| 8. | Marc |
| 9. | Simon |
| 10. | Pascal |
Es scheint symptomatisch für Partyguide zu sein, dass unter den zehn häufigsten Vornamen nur gerade ein weiblicher Name auftaucht ...
Labels: Partyguide
Samstag, März 31, 2007
Partyguide erhält "sein" Watchblog
Sicherheitslücken sind das eine - unkonformer, redundanter und uralter HTML-Code sowie scheussliches Design sind die anderen Schwachstellen der längst renovationsbedürftigen "meist besuchtesten" Party-Site im deutschschweizerischen Raum. Danke an Ale, der/die ein Blog geschaffen hat, dass sich ausschliesslich den ästhetischen Vorzügen von Partyguide angenommen hat:
Irgendwie befürchte ich, dass dem Blog der Stoff nicht so schnell ausgehen wird ...
Labels: Blogosphäre, Partyguide
Sonntag, März 18, 2007
Job bei Partyguide?
[...]
Turns out he’s now head of security at Facebook.
How did he get the job? He hacked into Facebook’s site. They hired him to fix the problems. Very unconventional. But smart. Lucky that Chris didn’t get arrested (he knows of other people who did the same thing to other companies who weren’t as lucky, so he doesn’t recommend it as a career path).
Quelle: Story behind Facebook’s new security guy
Einige Leute haben mich gefragt, wieso ich nicht Partyguide anheuern möchte, zumal momentan gerade ein entsprechender Job ausgeschrieben ist. Nun - einerseits wäre es natürlich eine sehr reizvolle Aufgabe. Doch ich befürchte, dass meine Mentalität mit dem restlichen Team (insbesondere mit dem Käptn der Argo) nicht wirklich vereinbar ist. Ausserdem würde ich - wenn überhaupt - nur unter der Bedingung anheuern, wenn die Site komplett einem Redesign - und noch wichtiger - einem kompletten Recode unterworfen würde. Ein solches Vorhaben würde wohl gut und gern tausende Mannsstunden beanspruchen.
Ne ne du, ich bleibe bei meinen jetzigen Jobs, bin aber gespannt, wer sich den "messy source code" schlussendlich antun wird ... Vielleicht eröffnet der Entwickler dann auch gleich das heiss ersehnte Tech-Blog? Wer weiss!
Labels: Job, Partyguide
Donnerstag, März 01, 2007
Fleischmärkte Partyguide & Co.
Im heute erschienen FACTS befasst sich die Journalistin Ruth Brüderl