Archiv 7. August 2006

Montag, 7. August 2006

Partyguide schreibt meinem Arbeitgeber einen Brief

Partyguide greift zur Feder

In der Ägäis muss wohl lange Zeit Windstille geherrscht haben, was Jason und die Partyguide-Argonauten dazu trieb, zur Feder zu greifen und ein literarisches Epos zu verfassen. Ziel: Ihre Heldentaten in aller Welt bekannt zu machen und sich bis in alle Ewigkeit in den Köpfen der Menschheit zu verewigen … Nun gut, ich helfe, wo ich kann! An mir soll’s nicht scheitern.

Die Beweggründe hinter dem Brief

Der Brief erzählt die Geschichte des (gemäss WEMF-Statistik) meistbesuchten schweizerischen Partyportales, welches es mit dem Datenschutz nicht so ernst nimmt. Durch amateurhafte und schludrige Programmierung waren wiederholt persönliche Daten seiner Nutzer gefährdet:

Beim ersten Hack waren alle damals ca. 200’000 Accounts betroffen (man konnte sich dank eines Cookie-Exploits in jedes beliebiges Konto einloggen, sofern man selber Benutzer der Site war), beim zweiten Hack konnten über ein Suchformular Passwörter von Benutzern ausfindig gemacht werden (Stichwort: SQL-Injection). Gab man ein bestimmtes Passwort in ein Formularfeld ein, lieferte die Suchfunktion der Web-Site alle Benutzer zurück, die dieses Passwort verwendeten. Hierzu war kein eigener Account auf dem Portal nötig – jedermann konnte mit minimen Kenntnissen von HTML die Suchanfrage um das Passwort-Feld erweitern. 13’000 Passwörtern fielen mir so innerhalb einer Woche in die Hände.

Datenschutz bei Partyguide – eine Farce?

Anstelle die Benutzer des Portals über die Sicherheitslöcher zu informieren (bis heute hat Partyguide nicht offiziell und direkt an seine Kunden gerichtet Stellung bezogen) und den gesamten Spaghetti-Code einem Sicherheits-Audit zu unterziehen, tat man dies, was man von Dilettanten nicht anderes erwarten konnte: Man köpfte den Überbringer der schlechten Nachricht und hoffte so, den sich aufdrängenden Fragen zu entkommen … Liebe Betreiber: Sicherheitslöcher löst man nicht, in dem man alle Hacker dieser Welt an die Wand stellt und erschiesst.

Adressaten des Briefes

Der Brief, der letzte Woche verschickt wurde, ging an meinen Arbeitgeber, die Universität Bern. Dort arbeite ich am Departement Klinische Forschung als „IT-Verantwortlicher“ (sorry, so lautet die Bezeichnung nun mal) und am Historischen Institut als Webmaster.

Ich möchte betonen: Die oben genannte Aufdeckung von Sicherheitslöchern wurden ausschliesslich von meinem Server zu Hause an der Stritenstrasse aus über einen Internetzugang von Cablecom Hispeed durchgeführt. Zu keiner Zeit habe ich dazu die Infrastruktur meines Arbeitgebers herangezogen. Für mich ist es deshalb etwas unverständlich, wieso mein Arbeitgeber über das Tun in meiner Freizeit informiert wird. Aber eben – bei Partyguide sollte mich eigentlich nichts mehr verwundern.

Der Inhalt des Briefes

Scan (PDF, 200kB)

Ich überlasse es der Blogosphäre selbst, sich ein Urteil über das Geschreibsel zu machen. Dieses wurde mir freundlicherweise von Kollege Liechti eingescannt und zur Verfügung gestellt.

Einige Leckerbissen (Hervorhebungen durch mich):

Der Grund dieses Schreibens an Sie ist rein informeller Natur. Es sind die höchst zweifelhaften und meines Erachtens verantwortungslosen Machenschaften eines Ihrer Mitarbeiter (evtl. Teilzeit). […]

Wir haben lange überlegt, Sie in dieser Sache überhaupt zu kontaktieren. Da es aber Herr Aeby trotz unserer Ermahnungen vorzieht weitere Eindring- und Hackversuche auf unserem System zu starten […] sehen wir uns gewzungen, Sie als eventuellen Arbeitgeber zu informieren.

Stellt euch vor – da weist ein Vergnügungsdampfer unzählige Löcher im Bug auf, und der Kapitän überlegt minutenlang, ob er den Matrosen, der die Löcher entdeckt hat, über Bord werfen soll. Ohne Rettungsring, versteht sich. Ich sehe die Leute hinter Partyguide förmlich, wie sehr sie mit sich gerungen haben – und doch, tjach, liess sich nichts machen. Der Brief musste raus!

Am Freitag den 09.06.2006 hat Herr Mario Aeby leider mit seinen privaten Attacken die Grenzen von Anstand und Moral bei weitem überschritten.

Grenzgänger Aeby – diesen Spruch drucke ich mir auf ein T-Shirt mit Partyguide-Logo … Was ist mit Grenzen des Gesetzes?

Durch einen Programmierfehler in unserer Suchabfrage ist Ihm dies auch nach mehrtägigen Versuchen gelungen.

Jungs, das Scriptlein habe ich in zwei Stunden zusammengezimmert. Es funktionierte danach über sieben Tage lang zufriedenstellend (und unbemerkt). Immerhin gibt Partyguide zu, einen (?) Programmierfehler begangen zu haben.

[…] Von einem Webmaster (zumal er dies ja an einem renommierten Institut ausübt) […]

Wow, da ist jemand genau im Bilde über das Historische Institut der Universität Bern …

[…] geschäftsschädigende Tat […] Wir werden alle Rechtsmittel in Erwägung ziehen […]

Partyguide ist keine kleine Partysite

[…]

Aha. Hat da jemand Komplexe? Selbstbewusstseinsstörungen? Eben gerade darum sollten doch solche Sicherheitslücken eher bei einem kleinen, personell unterdotierten Partyportälchen eher auftauchen als bei Partyguide?!

[…] Uns ist die Sicherheit unserer User wichtig und wir werden die Sicherheitsstandards laufend anpassen und verbessern.

Ob der Futur hier absichtlich gewählt wurde?

Anstelle sinnvoller Programmiertätigkeiten und Programmverbesserungen muss sich unser Systemprogrammierer mit den Log-Files und Protokollen auseinandersetzen, um die Machenschaften des Herrn Aeby zu kontrollieren.

Ich leide mit ihm – wer im Vorfeld halt nicht sicher programmiert, muss im Nachgang mit grösserem Aufwand kämpfen.

Zudem wird die Performance des Systems zusätzlich belastet, was „normale“ User mit grösseren Responsezeiten zu spüren kriegen. Der finanzielle Aufwand den wir investieren müssen ist für uns nicht mehr tragbar.

Partyguide – bald Konkurs? Her mit den Gönnerbeiträgen. Sofort.

Alle Hacker-Attacken wurden gemäss Aussage von seinem privaten PC gemacht. Es besteht keinerlei Zusammenhang zwischen der Strafanziege gegen Herrn Mario Aeby und Ihrem Institut. Wir erachten es als unsere Pflicht, Sie über die privaten Tätigkeiten Ihres Mitarbeiters zu informieren […]

Ich stelle mir vor, wie meine Vorgesetzten den Wisch durchlesen und auf der zweiten Seite gegen Schluss endlich erfahren, dass die pöhsen, pöhsen Hackereien nichts mit dem Arbeitgeber zu tun haben. Mir wäre es lieber, würde Partyguide in anderen Bereichen pflichtbewusst auftreten. Dann würden solche Briefe auch nicht nötig werden.

Ich weiss nicht, ob sich renommierte Institute wie die Ihren einen Webmaster mit solchen Verfehlungen leisten können oder möchten […]

… aber Jungs, jetzt wird’s schon gerade ein wenig deftig, nicht? Normalerweise wird man in der Schweiz entlassen, weil die Arbeitsleistung unbefriedigend ist, und nicht, weil der Mitarbeiter in seinem Privatleben Dinge tut, die Dritten nicht genehm sind.

[…] ohne Ihre Antwort nehme ich an, dass besagter Herr nicht/nicht mehr in Ihrem Institut angestellt ist […]

Hochachtungsvoll
Marcel Fellmann
Marketing PartyGuide.ch GmbH […]

Marcel Fellmann – Jasons Pappi? Hmmm, mal schauen, ob mein Pappi eine Replik auf diesen Brief schreiben möchte? Zwar, nein, ich lasse es wohl bleiben. Wo ist eigentlich mein Leiter Marketing? Der könnte doch zur Feder greifen …

Reaktionen und Kommentare von Bekannten

(Work in Progress; wird laufend ergänzt)

  • Mindestens ein Empfänger hat den Brief durchgelesen und ihn danach – weggeworfen.
  • „nur so näbäbii: isch scho leid, i eim Brief so viu Fallfähler … „
  • „und wenn das öpperem ir Uni mitteilt, isch das sicher nid dr Jason […] und Co., sondern d’Behörde oder ds Gricht …“
  • „ja, u när no so ä pseudo-formelle Stil. so wie aube d’Bischpiu i dä Bewerbigsratgeber unger „so nicht!“. di gliichi Information chönnt öppe uf ei Drittu Text kürzt wärde …“
  • „ig meine, ke struktur, ke ileitig, kes resume am schluss: so wime eigentlech aständigi briefe schriebt …
    o süsch: wortweiderholige, 2x leider i eim satz, unlogischi sätz, u eifach konzeptlos, me fragdsech „was wot mir dä giu mit däm fötzu mitteile?““
  • „zum geniessen:
    nicht: ‚wir haben angepasst‘, nicht: ‚wir passen‘, nein: ‚wir werden anpassen‘.
    dann fangt doch an! die zukunftsform wird ja wohl nicht umsonst gewählt worden sein. sie haben ja lange darüber nachgedacht, ob sie den brief überhaupt schreiben wollen. dann haben sie auch die worte mit bedacht gewählt.“
  • „und überhaupt: ‚verbessern‘.
    falsche sachen werden verbessert. dann ist wohl noch immer der wurm drin. komischer marketingjunge, keine ahnung von positiver wortwahl. optimieren. immer optimieren. zu verbessern gibt es nichts bei uns. wir können nur noch optimieren.“
  • „Wow, dr Hammer! Scho nume d Qualität gschwige denn dr Inhalt vo däm Schribe
    beschtätige wieder mau, was das für Amateure si…“
  • „Die hei überreagiert, vo mir us gseh. Vor allem… Darfsch das? Es isch ja ersch e Azeig und no überhoupt nüt gseit?“
  • „Der Brief enthält kein Datum aber der Poststempel ist vom 11. Juli 2006. Der Inhalt des Briefes sagt ungefähr, dass es verwerflich für die Uni ist, ein schlimmer Finger wie dich angestellt zu haben. Also eigentlich eine indirekte Aufforderung zur Kündigung. Ich nenne das Rufmord…“
  • „Im Ernst, so einen Schmarren habe ich noch nie gehört, das sind ja nicht nur programmatisch Anfänger….“
  • „Wird eh zum Bumerang für pg. Sobald wir mehr Zeit haben, geht’s rund“

Manuelle Trackbacks

(Trackback – Links auf Artikel, die inhaltlich an diesen Artikel anknüpfen)

Tags:
Labels: Allgemein

Keine Kommentare | neuen Kommentar verfassen