“Datenaffäre bei schülerVZ – “Kooperation oder Krieg?”” (spiegel.de)

Gab es im Fall schülerVZ wirklich eine Erpressung? Oder wollte Matthias L. mit dem Hackerangriff nur das eigene Ego pflegen?
(…)
“Wenn die mir Geld anbieten”, so L. zur Kripo, “nehme ich es gerne an.”

Am 4. November wurde in den Kommentaren auf netzpolitik.org bereits ein Ausschnitt aus einem Chat hinterlassen, SchülerVZ-Suizid im Abgeordnetenhaus, der vermuten lässt, dass evtl. Zahlungsbereitschaft von Seiten VZnet signalisiert wurde. Hier http://static.blar.de/log.txt gibt es ein Chat-Protokoll (aus dem Kommentar?) welches wohl nicht das ist, aus dem der Spiegel zitiert. Matthias L. erzählt hier jemand anderem von seinem Kontakt zu “batlogg”:

< exit∧> ich hab grad mitn CTO von StudiVZ telefoniert :/
(…)
< exit∧> (11:19:32) batlogg: und das wir hier über daten im wert von mehreren millionen eur reden?

Am gleichen Tag fragt Jörg-Olaf Schäfers, der auch für netzpolitik.org schreibt, den CTO von VZnet, Jodok Batlogg, zu dem Chat-Log:

Die Antwort:

Kein sofortiges Dementi, also kann man wohl davon ausgehen, dass das Protokoll authentisch ist.

Auch vom CEO Markus Berger-de León gab es gestern, in “Statement zu den aktuellen Berichterstattungen” (blog.studivz.net), eine ähnliche Absage: “Einzelne, aus dem Zusammenhang gerissene Details (…) kommentieren wir nicht.”

Nur die Mitarbeiter von VZnet können die Details liefern, damit nichts mehr aus dem Zusammenhang gerissen wird. Die Salami-Taktik sieht allerdings so aus, als ob man kein Interesse daran hat, die Wahrheit öffentlich zu machen.


Etwas zur Chronologie

• 22.05.2009: Matthias L. veröffentlich unter dem Titel “StudiVZ / SchülerVZ / MeinVZ Crawler” (youtube.com) ein Video, welches inkl. Beschreibungstext noch immer online abrufbar ist.
• 23.05.2009: In seinem Blog teilt er in”Crawlin’ teh VZ” (Google-Cache) noch weitere Infos mit, die nicht in der Beschreibung zum Video enthalten sind:
  

  (…)
  Eine Datenbank wo pro Sekunde über 300 ProfilIDs reinflattern nach bereits vorhandenen IDs zu durchsuchen vor dem reinschreiben ist extrem Speicher- und CPUlastig. Mal schauen ob mir hierfür noch eine Lösung einfällt.

  Das Prinzip vom Bot ist releativ einfach erklärt:
  Gestartet wird mit einem Hauptprofil. In diesem Hauptprofil durchsucht der Bot die Freundesliste und speichert alle ProfilIDs der Freunde ab. Dann besucht er wiederrum die Profile der Freunde und macht hier wieder das selbe. Mal schauen wieviele Profile ich zusammen bekomme bis das Bot Profil im sVZ gesperrt wird.

• 23.05.2009: Am gleichen Tag hinterlässt er im Gulli-Forum einen Eintrag “Crawlin’ the VZ” (board.gulli.com), der etwas zu seiner Motivation verrät:
  

  ich will euch mal mein Abschlussprojekt als Fachinformatiker vorstellen das ich gerade so halbwegs fertig gestellt habe..

• 08.07.2009: Mehr als einen Monat kann der Bot ungestört seine Arbeit erledigen. In seinem Blog schreibt er in “sVZ Crawlserver IP banned” (Google-Cache) über seine Maßnahme, den Bot wieder arbeiten zu lassen:
  

  Tja, irgendwann musste es ja mal passieren. Mein StudiVZ Datensammelbot – besser gesagt der Server wo dieser drauf lief hat nen IP Ban bekommen. Da ich mich bissl gewundert habe warum aufeinmal keine Bilder / Daten mehr reinkommen hab ich auf dem Server just4fun nen Proxy installiert und Meinvz mal mit aktiviertem Proxy angesurft.

• 17.10.2009: In “sVZ Crawler” (Leider nicht mehr im Google-Cache.) schreibt er u.a. über seinen Kontakt zu VZnet:
  

  (…)
  Ich bin mal gespannt, wie die Sache ausgeht. Wer die DB auch immer an den Netzpolitik Blog weitergegeben hat, “danke” dafür.. gerade da ich diese im “Level-2″ Bereich der besagten Community gepostet habe – und das nicht umsonst.

  Noch eine Frage am Ende die ich mir wohl stellen sollte: Bin ich ein “Hacker” weil ich über ein Script Daten sammle?

  Update: Ich hab natürlich immer noch mehrere SchülerVZ Accounts. Was ich da jedoch gerade lesen musste dreht mir den Magen um (Originalzitat):

  Die Daten, die ein schülerVZ-Nutzer illegal und entgegen der VZ-AGB kopiert hat, sind wieder in Sicherheit.

  Update2: Nach einem längerem ICQ Gespräch mit dem VZ sowie einigen telefonaten hat sich herausgestellt das es sich bei den Daten die ich gepostet habe _nicht_ um die Daten die dem netzpolitik.org Blog vorgelegen haben gehandelt hat.

  (…)

  Das VZ hat gestern Abend noch einen Kurier bei mir vorbeigeschickt der die Daten auf einem USB Stick mitgenommen hat. Wenn einer von euch eine Downloadurl zu den Daten findet bitte mal als Kommentar posten (den Schalte ich dann nicht frei) oder mir per E-Mail bescheid sagen.

Wenn ich mir diese Chronologie anschaue, dann wundert es mich doch sehr, dass bereits vor mehreren Monaten ein Bot bemerkt wurde, aber nichts konkretes dagegen unternommen wurde. Die sichereren Captchas von ReCaptcha wurden erst nach der Veröffentlichung des Datenlecks eingefügt.


Meine Vermutung / reine Spekulation

• Matthias L. hat seinen Bot einfach nur “just4fun” entwickelt ohne finanzielle Absichten, aber leider auch ohne sich Gedanken über die evtl. Folgen seiner Arbeit zu machen.
• Zwischenzeitlich bekam er Anfragen ob der Bot verkäuflich wäre, was ihm aber wohl nicht so wirklich behagte, denn dann hätte er alle öffentlichen Infos zu dem Bot gelöscht.
• Mit seiner Beschwerde in seinem Blog, darüber, dass jemand seine Daten an netzpolitik.org weitergab, outete er sich als Bot-Entwickler. Das die Daten allerdings nicht von seinem Bot stammten fiel ihm erst später auf.
• VZ-Mitarbeiter setzten sich mit ihm in Verbindung und signalisierten mit dem Hinweis auf den Millionenwert der Daten, wie wertvoll ihnen die Nichtverbreitung der Daten ist. Sie ließen sich Beweise per “USB Stick” geben und konnten ihn zu einem Besuch in Berlin überreden.
• Auch wenn er ursprünglich ohne finanzielle Absichten an dem Bot gearbeitet hatte, so war nun die Aussicht auf eine Bezahlung sehr verlockend.
• Matthias L. dachte, er würde für seine Infos bezahlt werden, evtl. hoffte er sogar auf ein Jobangebot.
• VZnet wittert Erpressung.

Ein junger Mann, der nicht unbegabt ist, möchte einfach nur Anerkennung für sein Tun, hat keine Angst vor der Öffentlichkeit, sucht diese geradezu, denn ohne sie, gibt es keine für jeden sichtbare Anerkennung.

: versus :

Ein Unternehmen, welches ständig mit Angriffen auf die eigene Infrastruktur zu kämpfen hat, welches hinter jedem Angriff, neben dem finanziellen Schaden, auch die öffentliche Bloßstellung und ein PR-Desaster sieht, schätzt die Motivation eines Hackers falsch ein.

Ich vermute, das tragische Ende, ist die Folge von Missverständnissen. Die eine Seite ist tot und kann nichts mehr klarstellen, und die andere Seite versucht weiteren Schaden in der öffentlichen Wahrnehmung zu vermeiden, indem möglichst wenige Informationen mitgeteilt werden.

Sollten VZnet nicht in Kürze alle klärenden Informationen auf den Tisch legen, so werden sie sehr wahrscheinlich noch über einen längeren Zeitraum mit negativer PR rechnen müssen. Ich glaube nicht, dass man diese Affäre einfach aussitzen kann und einfach warten kann, bis Grass darüber gewachsen ist. Die Medien werden spätestens bei der nächsten Nachrichtenflaute wieder irgendwelche Infos ausgraben und die Spekulationen weiter schüren.


Noch jemand, der das Krisenmanagement von VZnet kritisiert:
“Nach Hacker-Selbstmord: Spiegel-Bericht belastet SchülerVZ” (textberater.com)

Textberater.com meint: Bei aller Tragik des Falls; VZ hat diese PR-Krise selbst verschuldet.
(…)
Die Informations-Politik von VZ macht einen einst harmlosen Datenklau zum Dauerbrenner für schlechte Schlagzeilen.