Entwickler des SchülerVZ-Crawlers legte Pläne im Netz offen
Den Crawler, mit dem Daten aus dem Netzwerk SchülerVZ ausgelesen worden sind, hat "3x1t" (sprich: exit) entwickelt. Dahinter steckt der in Erlangen wohnende 20-jährige Matthias L., der laut eigener Website sein Geld als Freelancer, Webentwickler und Administrator verdient. Mit sehr großer Wahrscheinlichkeit ist es L., den die Berliner Polizei nach einer Anzeige von VZ-Netzwerke am gestrigen Sonntag als dringend Tatverdächtigen verhaftet hat.
| |
Crawler bereits im Mai 2009 auf Youtube demonstriert
Die 3x1t-Webseiten von L. sind zwar nur noch teilweise zu erreichen, aber von Google ist das Blog mit Kommentaren noch zwischengespeichert – und enthält auch einen Link zu einem Youtube-Video(öffnet im neuen Fenster) , das L. als "matt56444" bereits am 22. Mai 2009 veröffentlicht hatte und das dort noch zu finden ist. In der Beschreibung seines Videos erklärte L., dass er seinen "sVZ Crawler" auf Basis von PHP, JS, Ajax und verschiedenen Shell-Scripts entwickelt habe. Zu dem Zeitpunkt sei der Crawler noch etwas verbuggt, habe aber innerhalb von vier Stunden über 48.000 Profile besucht.
Über seine Pläne ist in der Beschreibung zum Youtube-Video aus dem Mai 2009 folgendes nachzulesen: "Ich probiere das gesamte VZ zu crawlen und werde dann eine grafische Auflistung generieren lassen wer wen kennt über welche Ecken..." . Das Auslesen hat L. offenbar realisiert – bei allen drei VZ-Netzwerken. Es ging ihm jedoch nicht nur ums Datenauswerten, sondern um mehr: "Bereits eingebaut ist eine Funktion die die Benutzer 'verkuppelt'. Der Bot sucht jeweils ein weibliches und ein männliches Profil und schreibt beiden eine Pinnwand MSG. Leider können aufgrund des Spamschutzes pro Tag nur maximal 20 Einträge auf Fremde Pinnwände geschrieben werden. Ach und die Captchas werden auch automatisch ausgelesen und gecracked ;)"
Die mit dem eigenen Crawler aus den für angemeldete Nutzer frei zugänglichen Daten hat L. Mitte Oktober 2009 anderen zur Verfügung gestellt, ohne VZ-Netzwerke zu informieren. Im eigenen Blog schrieb er am 17. Oktober 2009, also einen Tag, nach dem Marcus Beckedahl von Netzpolitik.org von den ausgelesenen Daten berichtet hatte, dazu: "Vor einiger Zeit hatte ich ja schonmal was über meinen StudiVZ / SchülerVZ Crawler geschrieben. Tjo, vor 2 Tagen hab ich mich entschlossen in einer Community die komplette Datenbank vom Bot (SchülerVZ) zum Download bereitzustellen. Und was muss ich heute auf Zeit Online/golem.de lesen? *klick*(öffnet im neuen Fenster) *klick* [...] Ich bin mal gespannt, wie die Sache ausgeht. Wer die DB auch immer an den Netzpolitik Blog weitergegeben hat, "danke" dafür.. gerade da ich diese im 'Level-2' Bereich der besagten Community gepostet habe – und das nicht umsonst."
17 Kopien heruntergeladen
Laut 3x1t-Blog habe sich in den am Wochenende erfolgten ICQ-Gesprächen mit VZ und einigen Telefonaten herausgestellt, dass es sich bei den von ihm veröffentlichten Daten nicht um die Daten handelte, die Netzpolitik vorgelegen haben und vor dem Wochenende für Aufregung sorgten: "Es sind also zz. zwei Datenbanken im Umlauf – die von mir ist jedoch um einiges 'ausführlicher'. Hier stehen zusätzlich die Hobbys, die Lieblingsmusik, Lieblingsfilme etc. drin. Darüber hinaus handelt es sich um Datenbanken aus allen drei Portalen – wobei nur die aus dem SchülerVZ public war – und genau von dieser Datenbank dürften im Internet noch einige Kopien rumfliegen da diese von meinem Server 17x heruntergeladen wurde."
Die angeblich weniger ausführlichen Daten wurden Netzpolitik offenbar von einer zweiten Person zugespielt, die sich auf diesem Weg um Offenlegung bemüht zu haben scheint. VZ-Netzwerke bezeichnete diesen mutmaßlichen zweiten Datenkopierer als " Trittbrettfahrer" von L..
L. selbst war am zurückliegenden Wochenende um Schadensbegrenzung bemüht, nachdem ihm bewusst geworden war, dass VZ-Netzwerke die Angelegenheit nicht auf die leichte Schulter nimmt. Er bat in seinem Blog um Hinweise auf Downloadlinks zu den unerlaubt ausgelesenen Daten und wollte sich dann um deren Entfernung kümmern. Seine Beweggründe für die Entwicklung des Crawlers hat L. nicht bekannt gegeben. Dem eigenen Blog zufolge wollte 3x1t den Crawler weiterentwickeln und kommerziell verwerten – am 1. Juni zitierte er unter der Überschrift "Unmoralische Angebote" die Mail von einem potenziellen zahlungswilligen Kunden, dessen Angebot er annehmen wolle.
Verdacht auf versuchte Erpressung
Dazu passt eine Meldung von Spiegel Online(öffnet im neuen Fenster) , der zufolge am Montagabend Haftbefehl gegen den aus Erlangen stammenden Mann erlassen wurde. Das Landeskriminalamt habe mitgeteilt, dass der Verdacht der versuchten Erpressung bestehe. Der Tatverdächtige soll VZ-Netzwerke damit gedroht haben, die Daten ins Ausland, etwa nach Osteuropa, zu verkaufen, falls er kein Geld erhalte.
StudiVZ-Techniker im 3x1t-Blog
Dass es L. nicht um Sport ging, vermutete VZ-Netzwerke-Cheftechniker Jodok Batlogg am Sonntag, den 18. Oktober in Kommentaren direkt im 3x1t-Blog. Batlogg schrieb dort, es sei eine Sache, Sicherheitslücken zu finden und den Exploit gegenüber dem Betreiber zu beweisen, das sei Ehrensache. Man möge die Sicherheitslücke auch publizieren, auch wenn das "dem Exploiteten nicht schmecken" sollte. Daten zu sammeln und dann auch noch zu veröffentlichen seien jedoch "absolute No-Gos" und "weder ehrenhaft, noch sportlich" .
VZ-Netzwerke – wie Golem.de Teil der Verlagsgruppe Georg von Holtzbrinck – hatte als Betreiberin der VZ-Portale Anzeige gegen den Datenkopierer erstattet. Im offiziellen VZ Blog steht dazu: "Das Crawlen eines Netzwerks unter Umgehung von Zugangssperren (Captchas) ist illegal. Zudem verletzt das Crawlen und das Veröffentlichen der gecrawlten Informationen Datenschutzrecht. Wir wollen genauso aber auch darauf hinweisen, dass der Täter die Rechte eines jeden einzelnen Nutzers verletzt hat."
Privater Streamingdienst
Weitere rechtliche Probleme könnte L. noch in einer ganz anderen Sache bekommen, aufgrund möglicher Urheberrechtsverletzungen nämlich: L. entwickelt und betreibt einen privaten Fernseh-Streaming-Dienst namens Tevie, der mit TevieTV einen eigenen Fernsehkanal im Pilottest hat. Darüber sind laut offen zugänglicher Playlist nicht nur eigenproduzierte Abendsendungen zu sehen, sondern auch Filme wie das noch im Kino laufende "Oben" und TV-Serien wie "Two and a Half Men", "Malcom Mittendrin", "Life" und "Die Simpsons". Der Dienst ist derzeit nicht erreichbar.
Nachtrag vom 20. Oktober 2009, um 9:26 Uhr:
Im VZ-Netzwerke-Blog steht noch etwas mehr über die Hintergründe, warum L. in Berlin verhaftet wurde: "Wie bereits in vorherigen Updates geschrieben, hatten wir Kontakt zum Tatverdächtigen. Diese Kontakte dienten dem Ziel die Daten schnellstmoeglich zu sichern bzw. zu löschen. Die Übergabe der Daten sollte am Sonntag Abend in unserem Büro erfolgen. Dabei kam es zu einem Erpressungsversuch in dessen Folge wir die Polizei riefen. Der Tatverdächtige ist kein VZ Mitarbeiter."
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.