Die Monster schrieben am 23. Januar hier http://hilfe.monster.de/besafe/jobseeker/:

Wie viele Unternehmen, die mit umfangreichen Datenbanken und sensiblen Nutzerinformationen arbeiten, ist Monster zur Zielscheibe von Angriffen aus dem Internet geworden. Wie wir vor kurzem erfahren haben, wurde auf unsere Datenbank rechtswidrig zugegriffen und bestimmte Kontakt- und Benutzerkontendaten wurden entnommen; einschliesslich

• Monster Nutzer-IDs und
• Passwörter,
• E-Mail Adressen,
• Namen,
• Telefonnummern und einigen
• demographischen Daten.

Die Informationen, auf die zugegriffen wurden, beinhalten keine Lebensläufe. Monster sammelt generell keine sensiblen Daten wie zum Beispiel Sozialversicherungsnummern oder Angaben über persönliche Finanzdaten.

Passworte sind also “keine sensiblen Daten”?! Nun gut, da kann man anderer Ansicht sein.

Unmittelbar nachdem der Datenangriff erfolgte, hat Monster eine Untersuchung eingeleitet und Abhilfemassnahmen ergriffen. Es ist wichtig zu wissen, dass wir unsere Datenbank fortwährend auf jegliche rechtswidrige Nutzung von Informationen hin überwachen und wir bisher keinen Datenmissbrauch festgestellt haben.

Den Datenmissbrauch werden wohl auch eher nur die User feststellen die böse E-Mails bekommen, weil sie die (angeblich) von ihnen auf eBay angebotenen und bereites bezahlten Artikel nicht liefern wollen.

Um die Sicherheit Ihrer Daten zu gewährleisten, werden Sie demnächst aufgefordert Ihr Passwort zu ändern, sobald Sie sich anmelden möchten.

Diese Meldung kann nur bedeuten das, entweder die Passworte im Klartext gespeichert werden oder zumindest nur eine sehr einfache Verschlüsselung verwendet wird.

Eine einfache Verschlüsselung wäre z.B. MD5 (de.wikipedia.org) ohne Salt (de.wikipedia.org).


Der MD5-Hash von monster = 8bf4e6addd72a9c4c4714708d2941528

Ein per MD5 verschlüsselte Zeichenfolge kann man nicht direkt wieder zurück konvertieren. Man kann nun Rainbow Tables (de.wikipedia.org) benutzen oder auch einfach nur eine Suchmaschine…

Sucht man nun nach diesem Hash, so bekommt man sofort Ergebnisse, die einem sagen daß das der Hash von monster ist.

Also, egal was die Monster da mit den Passworten gemacht bzw. unterlassen haben – auf jeden Fall war es wohl monstermäßig dumm, denn ansonsten würden sie kaum ihre User auffordern das Passwort neu zu vergeben.

Der Schutz Ihrer Daten hat hohe Priorität für Monster. Unsere neu gestaltete Webseite bietet Sicherheitsfunktionen zum Schutz Ihrer Daten. Wir arbeiten fortwährend daran, diese Sicherheit auch in Zukunft zu gewährleisten und möchten, dass Sie sich auf unseren Seiten sicher fühlen.

Also wenn das was ich da am Sonntag gesehen habe schon die neue WebSite sein soll, dann kann ich nur empfehlen es noch einmal zu probieren. Von Sicherheit kein Spur. Usereingaben landen zum Teil ungefiltert in der Datenbank, was dazu führt das man auch komisches Zeuch einbauen kann und mit etwas Geschick sollte es kein Problem sein anderen Usern etwas unterzuschieben womit man deren Zugangsdaten mitlesen kann. Wenn die DB-Queries dumm genug aufgebaut sind, dann könnte man sich evtl. mit dem richtigen komischen Zeuch auch einen Account basteln, der eigentlich nur Sysops vorbehalten ist. ;O)

Wir schätzen das Vertrauen, das Sie in Monster setzen und wir werden weiterhin Ihr kompetenter online Karrierepartner sein.

Weiterhin?!
“kompetenter .. Karrierepartner” – möglich, kann ich nicht beurteilen, da ich diese Seite noch nie benutzt habe. Aber – “kompetenter online Karrierepartner” – ganz sicher nicht. Denn was ich dort sehe genügt meinen Sicherheitsstandards definitiv nicht. Da würde ich keine persönlichen Daten hinterlassen wollen. Die unklare Passwortspeicherung ist für mich ein 100% Ausschlusskriterium. Auch wenn ich kein Passwort-Recycler bin, würde ich es nicht gut finden wenn Fremde in meinem Monster-Profil Änderungen vornehmen würden, mir einen neuen Lebenslauf verpassen oder sich in meinem Namen bei Firmen bewerben.


Laut The Independent sind von der Inkompetenz 4,5 Mio. User betroffen, das wären ziemlich genau die gesamten Einwohner Irlands – dies nur mal so als Größenordnung.
“Hackers steal details of 4.5 million job-seekers” (independent.co.uk)

“Kriminalbeamte: Sperren von Kinderporno-Seiten reicht nicht” (heise.de)

Die vom Bundesfamilienministerium geforderte Sperrung von Kinderporno-Seiten reicht nach Meinung des Bundes Deutscher Kriminalbeamter (BDK) nicht aus. Sie würde lediglich eine trügerische Sicherheit vorgaukeln, sagte der BDK-Bundesvorsitzende Klaus Jansen heute im Deutschlandradio Kultur. Wer im Internet Kinderpornos finden wolle, werde dies auch weiterhin schaffen. Der Tatort Internet sei ganz anders als herkömmliche Tatorte und erfordere deshalb andere Möglichkeiten der Bekämpfung von Kriminalität.

Herr Jansen liegt damit zu 100% richtig, denn Menschen die sich Kinderpornografie reinziehen sind gestört, das sind kranke Menschen und die finden immer einen Weg ihren krankhaften Trieb zu befriedigen. Diese Menschen sind natürlich auch sehr gut vernetzt, was bedeutet, das sie in kürzester Zeit Wege finden weiterhin junge Menschen, trotz Sperren, zu verkonsumieren.

Bei solchen Forderungen muß ich an Hagen Rether (hagen-rether.de) denken – “Man weiß so wenig!” – bzw. wir wollen so wenig wissen wie möglich, vor allem wenn es etwas ist was wir nicht wissen wollen. Wir wollen einfach nicht hinsehen, wir wollen die reale Welt, die uns nicht gefällt, bitte aus unserem Alltag ausgeblendet haben.

Passend zum Thema Kinder ab ca. 4:45:

Man weiß ja so wenig. Mit 12 Jahren bist du in Asien zu alt zum Teppich knüpfen für IKEA weil deine Finger zu dick werden. Du darfst aber erst mit 14 bei Nike anfangen Turnschuhe zu kleben. Da entsteht ‘ne Versorgungslücke von 2 Jahren, die meistens durch Prostitution gestopft wird.

Es wird Generationen nach uns geben, die uns fragen werden warum wir nichts unternommen haben – genau so wie wir heute noch immer die Hitler-Generation fragen wie das damals geschehen konnte. Auch damals schon wusste man ganz genau warum man nicht wissen wollte…

Dafür brauchen wir Leute von den Universitäten, die direkt bei der Kriminalpolizei einsteigen; die IT so verstehen, wie diejenigen, die diese IT-Welt überhaupt konstruiert haben

Die wirklichen Versteher wird, so glaube ich, Herr Jansen kaum von der Uni bekommen. Jemand der z.B. Informatik studiert hat hat nicht zwingen wirklich Ahnung von dem Internet, ich habe ja schon des Öfteren darüber geschrieben, gestern bekam ich eine weitere Bestätigung für meine Beobachtungen:

die wenigen leute mit echtem sachverstand haben oft eine eher wissenschaftliche perspektive (vermutl. studierte informatiker) und erzählen gern + viel über design patterns, programmarchitekturen oder 3fach vererbten iterationsreferenzen im spezialfall inkonsistenter bit-optmierung und unter berücksichtigung des parserverhaltens bei nicht-unixoiden serveranomalien. herzlichen dank, ich arbeite in meinem “hauptberuf” selbst wissenschaftlich, aber das nimmt mir die freude an der programmierung – ehrlich.

Da hätte ich bestimmt auch keine Lust auf’s Programmieren… zum Glück bin ich kein Informatiker, weswegen mir das Coden und das Analysieren von Code und WebSites Spaß macht. :O)


Ich frage mich was Herr Jansen von den Uni-Menschen erwartet. Auch Praktiker, die das Internet gut kennen, werden kaum die Drahtzieher ausfindig machen können. Im Internet wird man sehr wahrscheinlich nur die technisch unerfahrenen Pädophilen identifizieren.

Bei diesem Thema scheint es mir so ähnlich wie mit illegalen Drogen zu laufen. So wie man den Drogenhandel nicht wirklich bekämpft und nur an den Symptomen rumdoktert, so werden auch die Produzenten von Kinderpornos nicht wirklich, in der realen Welt, bekämpft. Sehr wahrscheinlich weil mächtige Menschen selber ein Interesse an solchen kranken Dingen haben oder weil sie daran kräftig mitverdienen oder auch beides.


Wir leben in einer kranken Welt, die wir uns selber geschaffen haben und das Internet wird immer mehr zum Spiegelbild dessen was man in der realen Welt auch vorfindet.