VZlog.de » Sicherheit

TÜV Süd bescheinigt VZnet hohe Softwarequalität und Datensicherheit

Lukas — Mon, 18 Jan 2010 16:23:31 +0000

Der TÜV Süd bescheinigt Unternehmen gerne die Sicherheit ihrer Software, was aber absolut nichts zu bedeuten hat, wie im letzten Jahr schon Libri erfolgreich bewies, wo man ohne jedes Hindernis die Rechnungen anderer Kunden sehen konnte.

Da sich so ein TÜV Logo aber immer gut macht und hohes Vertrauen genießt (schließlich ist der TÜV das einzige Unternehmen, welches die Betriebssicherheit von technischen Anlagen bestätigen darf) hat sich jetzt auch VZnet ein TÜV Zertifikat gekauft, dass zukünftig auf die Socialnetworks geklebt werden darf.

Dieses Zentifikat bestätig die “Einhaltung der grundlegenden Anforderungen” an die Softwarequalität für Funktionalität und Datensicherheit.

Von Lukas für VZlog.de, 2010. | Permalink | 8 Kommentare

VZlog Jahresrückblick: Oktober 2009

Lukas — Mon, 28 Dec 2009 17:21:28 +0000

Die erste Hälfte des Oktobers 2009 war für uns alles andere als Spannend, die einzige im Nachhinein noch erwähnenswerte Meldung waren die weiteren Details zu OpenSocial in den VZs. Und der Oktober wäre auch weiter absolut uninteressant geblieben, wären nicht am 16. Oktober bei Netzpolitik.org (und später auch in deutlich geringerer Anzahl) mit einem Bot aus den VZs kopierte Datensätze von über 1 Millionen Profilen aufgetaucht.

Wie am 18. Oktober bekannt wurde, waren die bei Netzpolitik und anderen aufgetauchten Daten aber nur die Spitze des Eisbergs. Wie bekannt wurde, hatte Matthias L. aus der Nähe von Nürnberg bereits im Mai in seinem Blog verkündet, dass er eine Crawler für die VZs geschrieben habe, welcher alle für diesen sichtbare Daten kopiere. Wie er am 16. Oktober in seinem Blog schrieb, haber habe er diesen Datensatz im Internet veröffentlicht und aus diesem würden auch die Daten kommen, welche an verschiedene Medien weitergeleitet worden seien.

Am 17. Oktober hatten VZnet Mitarbeiter Kontakt zu Matthias L., erst über die Kommentare in seinem Blog, später über Instant Messenger und Skype. Diese ließen mit einem Kurier bei Matthias L. eine Kopie der von ihm gesammelten Daten abholen, um seine Behauptung zu Überprüfen. Als diese Daten sich als echt erwiesen, fuhr Matthias L. am 18. Oktober auf kosten von VZnet mit dem Taxi nach Berlin, wo er am späten Abend verhaftet wurde, da er versucht haben soll, VZnet zu erpressen.

Was in den Büros von VZnet geschah, lässt sich nur schwer aus den verschiedenen Aussagen rekonstruieren:

L. soll gegen 18 Uhr in der Backfabrik, wo sich die VZnet-Büros befinden, angekommen sein. Dort habe bereits die Polizei auf ihn gewartet, ohne, dass er etwas davon mitbekommen habe. Nachdem die Beamten festgestellt hatten, dass sich aus den Anschuldigungen der VZnet-Mitarbeiter keine Straftatbestand ergab, zogen diese wieder ab. Während dessen Sprach L. mit VZnet Mitarbeitern über eine Lösung des Konflikts zwischen beiden Parteien, wobei VZnet 20.000€ geboten haben soll. Damit soll Matthias L. nicht einverstanden gewesen sein und habe 80.000€ gefordert. Dies war noch keine Straftat, aber als er damit drohte, die Daten an andere zu verkaufen, wurde aus dieser Verhandlung eine Erpressung, zumindest wenn diese in der Öffentlichkeit bekannten Informationen stimmen. Gegen 2:30 Uhr riefen VZnet Mitarbeiter die Polizei, welche Matthias L. vorläufig festnahm. L. wurde aufgrund seiner Vorstrafen (u.a. Betrug in einem Internetauktionshaus und Drogendelikte) in Untersuchungshaft genommen und ein Richter verhängte am Sonntag einen Haftbefehl gegen ihn.

Als Reaktion auf die gesammelten Daten verbesserte VZnet die Sicherheit für die Plattformen, indem Verbesserungen bei den Captchas und in den leicht automatisierbaren mobilen VZs.

Am 28. Oktober tauchten erneut 100.000 Datensätze von VZ-Nutzern auf, welche diesmal dem Bundesverband der Verbraucherzentralen zugespielt wurden. Am gleichen Tag verteilten die VZs neue URLs für die Nutzerprofile, welche jetzt aus den IDs des betrachtenden und des betrachteten Nutzers besteht. Damit wurden alle alten Profillinks ungültig.

Eine traurige Nachricht erreichte uns am 31. Oktober: Matthias L. hatte sich mit seinem Bettlaken am Fensterkreuz erhängt. In den Kommentaren zu diesem Artikel meldete sich der Vater von Matthias L., welcher schwere vorwürfe gegen VZnet erhob. Auf seinen Wunsch hin, haben wir seine Kommentare wieder entfernt.

Von Lukas für VZlog.de, 2009. | Permalink | 3 Kommentare

VZs verbessern Sicherheit (Update)

Lukas — Wed, 21 Oct 2009 12:04:35 +0000

VZnet hat auf allen drei Plattformen Verbesserungen an der Sicherheit vorgenommen.

Die nach dem automatisierten Sammeln von Millionen Userdaten in die Kritik geratenen Captchas wurde durch ReCaptcha ersetzt. Bei ReCaptcha handelt es sich um eingescannte Bücher aus US-Universitäten, die aufgrund der schlechten Druckqualität und ihres Alters nicht automatisch digitalisiert werden können. Dabei werden immer zwei Wörter angezeigt: Eines, bei dem bereits eine digitale Version vorliegt und eines, dass noch nicht angeschrieben wurde. Ist das bereits bekannte Wort richtig abgeschrieben, geht die Software davon aus, dass auch das andere Wort richtig abgeschrieben wurde. Wenn ein Wort 5 mal gleich abgeschrieben wurde, wird die Abschrift in die Digitale Version des Buchs eingefügt. So werden wertvoll alte Bücher, von denen häufig nur noch sehr wenige Exemplare existieren, wieder für Neuauflagen und Archivierung nutzbar. Da die Bücher nicht von den speziellen Buchscannern gelesen werden konnten, kann auch das Captcha nicht mit OCR Software erkannt werden. Wie gut das Ergebniss ist, kann man hier sehen. Durch die Nutzung von ReCaptcha z.B. bei Flickr, Facebook, Twitter und Live.com, konnten beriets mehrere Millionen Buchseiten digitalisiert werden.
Die neuen Captchas von ReCaptcha werden jetzt öfter angezeigt als die alten Captchas: Bei zu vielen Seitenaufrufen, bei der Gründung von Gruppen, bei Einladungen in Gruppen und bei vielen Suchanfragen.
Die mobile Version wird überarbeitet. Wir haben mit “twitter ist gerade” und anderen Projekten schon einige erfahrung mit der mobilen Seite der VZs gemacht, die sich wirklich gut zum automatisieren eignet. Jetzt ist diese nicht mehr verfügbar und wird verbessert. Sobald alle Sicherheitslücken der mobilen Version behoben sind, soll sie wieder verfügbar sein.
VZnet hat es zwar nicht bestätigt, aber diese Gerücht ist sehr wahrscheinlich: IP sperren kommen jetzt schneller als bisher. Wenn von einer IP-Adresse mehr als 2000 Profile am Tag aufgerufen werden, wird diese und alle damit genutzten Accounts für 24 Stunden gesperrt. Wenn man sich von einer anderen IP mit einem gesperrten Account einloggt, wird diese ebenfalls gesperrt. Damit soll verhindert werden, dass Datensammler ein große Zahl an Profilen automatisch aufrufen können. Daher soll der Berliner Landesdatenchutzbauftrage dieser Maßnahme und dem Speichern und Auswerten von IP-Adressen für 48 Stunden zugestimmt haben. Allerdings ist davon auszugehen, dass aus dem W-Lan einiger Schulen weit mehr als 2000 Profile am Tag aufgerufen werden. Dass könnte zu Problemen führen. (Siehe Update)

Zusätzlich soll Gerüchten zu Folge eine AGB-Änderung geplant sein, die im Fall von Datensammlern oder ähnlichem eine Vertragsstrafe von 250.000€ vorsieht. Ob diese Abschreckung funktionieren würde ist mehr als fraglich. (Siehe Update)

Es bleibt zu hoffen, dass StudiVZ aus dem Datenskandal gelernt hat und zukünftig mehr wert auf Sicherungsmaßnahmen legt, wie sie ja schon bei den Gadgets geplant ist.

Update: VZnet hat uns gegenüber die angeblich geplante AGB-Änderung dementiert und auch die IP Sperre stimmt nicht so wie beschrieben

Von Lukas für VZlog.de, 2009. | Permalink | 5 Kommentare

All die schönen Bilder… – feature, not a bug

Michael — Fri, 03 Jul 2009 10:47:03 +0000

Vor ein paar Tagen war das SchülerVZ nachts nicht erreichbar, Grund dafür sind arbeiten am Bilderschutz ( mehrblog.net berichtete hier). Dieser soll den Dateschutz und die Sicherheit der Privatsphäre verbessern und wurde nun nocheinmal verschärft, sodass es z.b. nicht mehr möglich ist bei deaktiviertem Referer Bilder aus dem VZ anzuzeigen.

Leider kommt es bei einigen Nutzer dabei zu einem Fehler, da diese Referer nicht übertragen. Der Grund dafür lieft in der von vielen PC Herstellern vorinstallierten “Norton Internet Security 2006“. Die Lösung für das Problem ist jedoch einfach: In “Norton Internet Security 2006“ muss der Server ‘imagevz.net’ freigegeben werden, auf dem alle VZs ihre Bilder speichern. Alternativ kann auch einfach ein anderer Brwoser als der Internet Explorer verwendet werden.

Von Michael für VZlog.de, 2009. | Permalink | 9 Kommentare

StudiVZ Toolbar enthält Backdoor

Lukas — Fri, 13 Feb 2009 11:16:25 +0000

Ein Hersteller von Antivirensoftware hat einen Version der StudiVZ Toolbar gesichtet, die ein Backdoor enthält, dass unter anderem Phishing erlaubt. Die installierte Toolbar macht Screenshots und liest die Tastatureingaben mit. Da der Installationsprozess am Ende automatisch die Seite von StudiVZ mit dem Internet Explorer öffnet, dürften vermutlich die StudiVZ-Anmeldedaten als Erstes dem Spionageangriff zum Opfer fallen.

StudiVZ schreibt dazu im eigenen Blog:

Da studiVZ selber [bis dato] kein Anbieter von Toolbars ist, mit keinem Toolbar-Betreiber kooperiert oder solche bewirbt, raten wir unseren Nutzern dringend davon ab, Toolbars zu installieren, die mit dem Namen studiVZ werben.

Mehr zum Thema im StudiVZ Developer Blog und bei Heise.

Von Lukas für VZlog.de, 2009. | Permalink | 2 Kommentare

Registrieren auf mehrblog.net nicht mehr möglich

Michel — Sat, 18 Oct 2008 16:04:02 +0000

Liebe Leserinnnen und Leser,

vor ein paar Monaten haben wir die Möglichkeit eingeführt, sich auf mehrblog.net zu registrieren. Das haben auch einige von euch getan, allerdings wurde mitlerweile bekannt, dass diese Option ein Sicherheitsrisiko darstellt, da über bestimmte Profilfelder Code in die Datenbank gebracht werden kann, der dem Nutzer mehr rechte gibt. Daher werden wir alle Accounts löschen, die nicht einem der Autoren gehören. Das hat natürlich keinen Einfluss darauf, wie ihr das Blog nutzen könnt.

Wir bitten euch um Verständnis

Michel

Von Michel für VZlog.de, 2008. | Permalink | 13 Kommentare

Sicherheitslücke bei Fotoalben geschlossen

Michel — Wed, 27 Aug 2008 20:07:47 +0000

Durch eine einfache Veränderung an der URL eines Fotoalbums konnten in den neuen Fotoalben bei SchülerVZ, StudiVZ und MeinVZ private Fotoalben betrachtet werden. Allerdings hat StudiVZ heute Nachmittag eine neue Software Version installiert, die den Fehler behebt. Beim fruf eines Profils musste in der URL “/Profile/” durch “/PhotoAlbums/” ersetzt werden und schon waren alle Alben sichtbar.

Heute Nacht wird allerdings nochmal am Server geschraubt und daher sind die VZs offline.

Von Michel für VZlog.de, 2008. | Permalink | 3 Kommentare

Jetzt wird zurück geschossen!

Michel — Sun, 15 Jun 2008 17:36:11 +0000

Bis vor kurzem sah es noch aus, als würde MySpace endgültig den Bach runtergehen: Sinkende Nutzerzahlen, Facebook wächst immer Stärker, noch immer keine Gewinne trotz noch auffälligerer Werbung, Sicherheitsprobleme ohne Ende.

Doch jetzt wird gegen Facebook zurückgeschossen: Mit neuem Design, neuer Software, offener API, einfacherer Oberfläche, besserer Suche und einer sichereren Software-Architektur versucht MySpace wieder auf Platz 1 der Socialnetworks zu kommen. Schon in wenigen Wochen soll die öffentliche Platform aktualisiert werden.

Ganz neu gestalltet wird die Startseite: Das Layout wird einfacher und es wirkt durch die fehlenden Profilfotos fast schon Aufgeräumt. Alle Elemente sind Leicht abgerundet und in Blau udn Grau Tönen gehalten. Der neue Mittelpunkt der Seite ist das Banner mit den Funtkionen on MySpace oben und die Box mit den 4 Tabs, in der sich alle Bisher auf der Startseite vorhanden Elemente finden.

Von Michel für VZlog.de, 2008. | Permalink | Ein Kommentar

Wieder Sicherheitslücken bei Facebook, Yahoo und MySpace

Michel — Sun, 08 Jun 2008 08:44:12 +0000

Das Facebook, Yahoo und MySpace Sicherheitsprobleme haben ist ja nichts neues, aber diesmal wurden wieder neue gefunden und die Resultate könnten in Form von Klatschmagazinen um die Welt gehen: Die Opfer sind Paris Hilton, Lindsay Lohan und Facebookgründer Mark Zuckerberg. Mehrere Internetseiten, darunter auch Spiegel Online veröffentlicht Meldungen und Private Fotos der Prominenten. Auch studiVZ, schülerVZ und meinVZ haben das Problem, dass alle Bilder als Datei auf seperaten Servern vorliegen, was zur Folge hat, dass auch nicht angemeldete oder nicht berechtigte Benutzer Bilder aufrufen können, wenn Sie nur die URL kennen. Sicherer wäre es auf jedenfall, die bilder Binär in einer Datenbank zu speichern, so dass diese nur von angemeldeten Benutzern aufgerufen werden können.

Eine Anleitung zum knacken von Yahoo und MySpace gibt es hier

Von Michel für VZlog.de, 2008. | Permalink | Ein Kommentar

Ist das SchülerVZ noch unter Kontrolle?

Felix — Fri, 06 Jun 2008 08:54:14 +0000

Wir wollen uns einmal fragen, inwiefern ist das SchülerVZ noch unter Kontrolle der Spezialisten? Diese Frage ist berechtigt, da auch im SchülerVZ die Wege im Datenmüll immer länger werden. Es gibt Gruppen die nur aus Fakeaccounts bestehen, zweifelhafte Inhalte häufen sich mehr und mehr oder werden nach der Löschung einfach wieder neu gegründet, um nur einen Teil der Probleme zu nennen.

Durch eigene Recherche haben wir herausgefunden, dass lange Zeit verstreicht zwischen der Meldung und dem tatsächlichem Löschens. Dies kann schon mal mehrere Tage dauern. Es ist wohl ein ganz klares Zeichen dafür, dass sich die Arbeit bei den Spezialisten häuft. Auch Aktionen wie Vollgetextet (wie berichtet) und mehr möglich sind aufs Eis gelegt worden, sogar im Klartext steht seit langer Zeit nichts neues mehr. Das diese Arbeiten ausbleiben bemerkt man natürlich sofort im SchülerVZ.

Das SchülerVZ ist so groß geworden, dass es nur noch schwer zu kontrollieren ist. Es ist nicht gerade hilfreich für eine Community wenn nichts mehr passiert und der Müll wächst.

Ein weiteres Problem an dem die Server und Spezialisten schwitzen ist gerade dieser Datenmüll. Doch wer räumt hier mal auf und kehrt gründlich durch? Das geht so schnell nicht, es braucht Zeit und Zeit ist Geld. Man arbeitet daran die Server zu stabilisieren und die Kapazitäten zu vergrößern, doch muss man die Flamme auch im Keim ersticken. Sonnst ist es nur ein unendliches Anrennen gegen den Müll. Der Müll muss gleich verbrannt werden und nicht im SchülerVZ sichtbar liegen bleiben. Hierbei ist eindeutig zu sagen, an der Oberschicht ist das Verzeichnis unter Kontrolle (denn hier läuft der selbständige Reinigungsprozess), doch wer in die unteren Schichten des Sumpfes schaut findet sehr viel wertvollen Müll. Wertvoll, da jeder gelöschte Müll auch wieder Platz und Sicherheit für etwas neues gibt.

Die Größe hat sehr viele Vorteile, denn man kann Leute erreichen, Dinge umsetzen, gemeinsam Austauschen, dies sollte man auch weiterhin durch Aktionen vollkommen ausnutzen, doch anscheinend sind die Mitarbeiter vollkommen überlastet und dies wird die Community früher oder später merken. SchülerVZ ist noch zu retten, im Bereich StudiVZ möchte ich keine Prognose wagen. Die beiden Verzeichnisse müssen wohl weiterhin unterschiedlich gehandhabt werden. Auch mit SchülerVZ könnte man einen eigenen Weg gehen, man muss sich nicht immer an dem großen Bruder orientieren. Es ist halt so wie im echten Leben auch.

Schüler müssen sich für den Müll auch selbst verantworten, doch wirklich verhindern kann man ihn nicht, man kann ihn nur eindämmen, deswegen fordere ich folgenden Punkteplan.

Eine Überprüfung jedes Account ob er noch Aktiv ist.(So wird die erste Müllschicht entfernt)Eine kleine Bestätigungsfrage beim einloggen wäre ausreichend. Sie könnte wie folgt aussehen: „Bist du noch da? Klicke einfach auf weiter, so sind wir auch sicher das es dich noch gibt!“ Diese Frage sollte man nicht umgehen können, ein einfaches weiter würde ausreichen und der Benutzer eines Accounts hat 2 Monate zeit auf weiter zu klicken, wenn dies nicht passiert, wird der Account einfach gelöscht.
Ein Schülerrat im Verzeichnis.(Dies klappt ja auch im wirklichen Leben, wieso hier nicht? Sie können den Spezialisten einfache Arbeiten abnehmen und stehen im direkten Kontakt mit ihnen)Der Schülerrat plant neue Aktionen rund um das SchülerVZ und schlägt sie vor, außerdem sollte ein Schülerratsmitglied zwischen einer Meldung und dem Spezialisten stehen, so können unnötige Meldungen gleich abgelehnt werden. Eine Kontrolle ist jedoch wichtig, entweder durch Stichproben oder mit einem zweiten Mitglied. Der Rat sollte nicht zu groß sein. (Eine Bundeslandsabgeordneten Liste, wäre schmackhaft)
Ein Schulvertreter(Er soll die Schule sauber halten)Er kann Fakeaccounts auf seiner Schule auffindbar machen, möglicherweise wird ihm jegliche Anmeldung auf seiner Schule gemeldet und er kann zwischen Fakeaccount und echte Person entscheiden. Auch hier ist eine Konrolle wichtig, falls er echte Accounts ablehnt, sollte eine Anfrage an ein Ratsmitglied gehen. Verwarnungen müssen ausgesprochen werden.
Schwarze Gruppenliste(verhindert Wiederholungsgruppen mit unkorrektem Inhalt)Wenn eine Gruppe gelöscht wurde, soll der Name oder der unkorrekte Inhalt auf eine Liste gesetzt werden. Wenn dieser Name oder dieses Wort nun bei einer Neugründung fällt, ist eine Überprüfung notwendig. Hier gebe es mehrere Möglichkeiten, entweder eine neue Instanz setzen, die nur für Gruppen zuständig ist, z.B. ein Vertreter je Schule, oder Meldung an Schulvertreter oder Ratsmitglied.
Der Weg Schüler direkt zu integrieren würde etwas neues sein und die Selbstkontrolle beflügeln. Kontrollen des Systems sind sicher notwendig, doch würde das System hilfreich für die Schüler, das gesamte SchülerVZ und womöglich auch die eigene Schule und das VZ besser zusammen bringen. Mitarbeiter alleine können dies nicht kontrollieren, eine Selbstverpflichtung sollte aufgebaut werden. Neue Funktionen und Aktionen würden entwickelt werden und den unterschied machen. Wir werden bald wohl neue Punkte präsentieren.

SchülerVZ sollte nicht immer nur hinterher rennen, sondern auch einmal selbst neue Wege gehen, sonnst verliert man wirklich bald die Nutzer an Facebook und Co. SchülerVZ ist nur so stark vertreten da sie zu erst so richtig auf dem Markt waren. Doch auf Geschichte kann man nicht immer bauen, jetzt müssen taten folgen und ein naives Denken kann hier tödlich sein. Man sollte sich Gedanken machen.

Übrigens, in den letzten Tagen haben mich viele meiner Freunde bei Facebook geadded, hier bewegt sich was.

Wir wollen den Mitarbeitern keine Vorwürfe machen. Wir verstehen ihre Situation, doch passieren muss etwas, hierzu machen wir Vorschläge und schauen nicht nur zu. Nur wann werden unsere Vorschläge endlich umgesetzt? Es wird Zeit!

Von Felix für VZlog.de, 2008. | Permalink | Ein Kommentar

Wir haben da was für euch…

Theo — Fri, 23 May 2008 10:20:16 +0000

…so heißt es heute im Info-Kasten.

Der Link verweist auf eine neu eingeführte Seite (welche unter Privatsphäre gegliedert ist), in welcher man Tipps erhält, wie man möglichst sicher bei schülerVZ surft. Auffällig ist wie viel schüleVZ in letzter Zeit für das sichere Surfen und den richtigen Umgang untereinander tut.

Von häufigen Verweisen in der Infobox auf Privatsphäreeinstellungen und mein Account, über einen Videowettbewerb, welcher auf den Verhaltenskodex aufmerksam machte, sowie zuletzt die Tipps zum sicheren Surfen.

Ich finde das ist wirklich etwas sehr positives.

Wenn nun auch noch die häufigen Fehlermeldungen behoben und die Hilfegruppe besser organisiert werden würde, dann hätte schülerVZ seinen Stand als größtes und beliebtestes soziales Netzwerk erneut, erfolgreich unter Beweis gestellt.

Alles gute dafür ;)

Von Theo für VZlog.de, 2008. | Permalink | Ein Kommentar

Wir lesen die AGB von Facebook

Michel — Thu, 03 Apr 2008 14:00:20 +0000

In letzter Zeit haben sich immer wieder Leute über die angeblich so bösen und gemeinen Allgemeinen Geschäftsbedingungen von StudiVZ aufgeregt. Doch das ist garnichts, gegen die Highlights, die uns Facebook bietet, wenn man die dortigen Nutzungsbedingungen liest. Beste Unterhaltung wünscht euch mehrblog.net.

Gleich zu Beginn macht Facebook darauf aufmerksam, das die Deutsche Version nicht bindend ist und nur zur Information dient, man aber der Englischen Version zustimmt, die auch als einzige bindend ist. Auch wird gesagt, das man durch die Nutzung automatisch neuen Nutzungbedingungen zustimmt, anders als bei StudiVZ, das einen per Mail darüber informiert und wo man explizit zustimmen muss. Zum Vergleich:

StudiVZ (10.1.2) Facebook (Einleitung)

10.1.2: Sonstige geänderte, nicht von Ziffer 10.1.1 erfasste Bestimmungen werden dem Nutzer per E-Mail spätestens zwei Wochen vor ihrem Inkrafttreten zugesendet. Widerspricht der Nutzer der Geltung der neuen AGB nicht innerhalb von zwei Wochen nach Empfang der E-Mail, gelten die geänderten AGB als angenommen. studiVZ verpflichtet sich, den Nutzer in der E-Mail, die die geänderten Bestimmungen enthält, gesondert auf die Bedeutung der Zweiwochenfrist hinzuweisen. Wir behalten uns das Recht vor, nach eigenem Ermessen Teile dieser Nutzungsbedingungen jederzeit und ohne besondere Mitteilung zu ändern, zu ergänzen oder zu löschen. In einem solchen Fall werden wir die an diesen Nutzungsbedingungen vorgenommenen Änderungen auf dieser Seite veröffentlichen und im oberen Teil dieser Seite das Datum der letzten Überarbeitung dieser Bedingungen vermerken. Wenn du nach einer solchen Änderung den Service bzw. die Site weiterhin nutzt, ist dies gleichbedeutend mit der Annahme der neuen Nutzungsbedingungen. Wenn du mit diesen oder zukünftigen Nutzungsbedingungen nicht einverstanden bist, darfst du den Service und die Site weder aufrufen noch nutzen. Du bist selbst dafür verantwortlich, regelmäßig die Site dahin gehend zu überprüfen, ob es Änderungen an diesen Nutzungsbedingungen gegeben hat.

Ein echtes Highlight. Oder? Facebook könnte also jederzeit den Dienst kostenpflichtig machen, ohne die Nutzer darüber zu informieren und könnte ihnen dann irgendwann, wenn sie die Seite besucht ahben eine Rechnung schicken.

Im nächsten Punkt (“Teilnahmeberechtigung”) erklärt Facebook, dass man mindestens 18 Jahr alt sein muss oder über 13 Jahre, wenn man studiert oder eine weiterführende Schule besucht. Außerdem sichert der Nutzer zu, dass er sich an alle Vereinbarungen halten wird. StudiVZ hat eine einfachere Regelung und schreibt einfach nur

Minderjährigen ist die Teilnahme am studiVZ-Netzwerk untersagt.

Der nächste Punkt bei Facebook ist nicht übersetzt und so formuliert, das ich ihn nicht verstehe. Dabei hilft aber Google Translate:

Im Hinblick auf Ihre Nutzung der Site stimmen Sie zu, dass (a) sorgt für genaue, aktuelle und vollständige Informationen über Sie als möglicherweise aufgefordert, durch eine Anmeldeformulare auf der Website ( “Registration Data”), (b) die Aufrechterhaltung der Sicherheit Ihrer Passwort und Identifizierung, (c) aufrechtzuerhalten und zu aktualisieren prompt die Registrierungsdaten und alle anderen Informationen, die Sie an das Unternehmen, um deren Richtigkeit, Aktualität und Vollständigkeit; und (d) die volle Verantwortung für alle Nutzung Ihres Kontos und für irgendwelche Aktionen dass statt mit Ihrem Konto.

StudiVZ verlangt zwar nicht die Daten vollständig zu halten, dafür aber in Punkt 5.5, diese immer auszudrucken:

Der Nutzer ist dazu verpflichtet, angemessene Vorkehrungen zu treffen, um Informationen, die über das studiVZ-Netzwerk einsehbar und von studiVZ gespeichert werden (z.B. Mitteilungen innerhalb des Nachrichtendienstes), nach dem Stand der Technik zu sichern. Es obliegt dem Nutzer daher, wichtige Informationen auf geeigneten Medien – am besten zum Ende einer jeden Nutzung des studiVZ-Netzwerkes – abzuspeichern und/oder auszudrucken, so dass ein uneingeschränkter Zugriff auf die Daten auch unabhängig vom studiVZ-Netzwerk möglich ist.

Es folgt in den Facebook Nutzungsbedingungen eine Belehrung über Urheberrecht, die das übliche enthält: Alle Sachen sind Eigentum von Facebook, seiner Nutzer oder seiner Lizenzgeber und dürfen ohne Zustimmung des Urhebers oder Lizenzinhabers nicht verwendet werden. Der Nutzer erhält die eingeschränkte Lizenz alles anzuschauen, aber nicht zu kopieren.

Im nächsten Punkt wird nocheinmal gesagt, dass verschiedene Marken Eigentum von Facebook sind, darunter auch 32665, facebook, the facebook, facebookhigh, fbook, poke, the wall. StudiVZ hat sowas garnicht nötig, da “StudiVZ” nicht als Marke eingetragen ist und alles andere über die Schöpfungshöhe abgesichert ist.

Es folgt bei Facebook eine Erklärung, dass man verstanden hat, was man alles nicht machen darf. Das entspricht etwa dem StudiVZ Verhaltenskodex und ist viel zu lang um es hier zu wiederholen.

Jetzt wird es ers richtig interessant: “Auf der Site geposteter Benutzerinhalt”. Das riecht doch förmlich nach Skandal und sowas in die Richtung kommt dann auch. Alles fängt ganz harmlos an, damit, dass man der Rechteinhaber sein muss, von allem was man veröffentlicht. Außerdem behält sich Facebook das recht vor, alle Inhalte zu löschen:

Du hast verstanden und erklärst dich auch damit einverstanden, dass das Unternehmen [Facebook, Anm.d.Red.] berechtigt, aber nicht verpflichtet ist, die Site zu überprüfen und nach eigenem Ermessen, ohne Ankündigung und ohne Angabe von Gründen Inhalte der Site oder Benutzerinhalte zu löschen bzw. zu entfernen. Dies schließt Benutzerinhalte ein, die nach alleiniger Beurteilung durch das Unternehmen gegen diese Vereinbarung oder den Facebook-Verhaltenskodex verstoßen oder die als anstößig oder illegal betrachtet werden könnten oder die die Rechte Dritter verletzen, Dritten schaden oder die Sicherheit Dritter bedrohen könnten.

Nach einem Absatz kommt das absolute Highlight. Erst wird erklärt, dass man den Inhalt speicher dürfe und dann aber:

Mit dem Posten von Benutzerinhalt auf einem beliebigen Teil der Site erteilst du dem Unternehmen automatisch eine unwiderrufliche, zeitlich unbegrenzte, nicht ausschließliche, übertragbare, vollständig bezahlte, weltweite Lizenz (mit dem Recht zur Vergabe von Unterlizenzen) für das Verwenden, Kopieren, öffentliche Aufführen, öffentliche Darstellen, Umformatieren, Übersetzen, Anfertigen von Auszügen (vollständig oder teilweise) und Weitergeben solcher Benutzerinhalte für kommerzielle, Werbe- oder sonstige Zwecke auf oder in Verbindung mit der Site oder mit dem Marketing für die Site, für das Erstellen abgeleiteter Werke oder die Einarbeitung solcher Benutzerinhalte in andere Werke und für das Vergeben und Autorisieren von Unterlizenzen zu Vorstehendem.

Das ist doch etwas, das wir schon immer wollen. Würde StudiVZ sowas machen, müsste die Bildzeitung garnicht mehr die Bilder klauen, sondern könnte sie direkt bei StudiVZ kaufen. Aber StudiVZ kommt ganz ohne eine solche Richtlinie aus, behält sich aber auch vor, die Inhalte zu entfernen.

Es geht weiter mit den Informationen zum Mobilen Facebook. Dort gibt es nicht besonderes. Facebook erklärt nur, das für die Nutzung gebühren anfallen können. Außerdem darf Facebook die Telefonnummer Speichern und Ändern. Da StudiVZ keine Mobile Version hat, gibt es auch keine Entsprechung bei StudiVZ.

Also nächstes folgt eine Erklärung zum Urheberrecht und das Facebook Accounts sperrt, wenn Urheberrechte verletzt werden, also alles ganz normal wie bei StudiVZ. Jetzt kommt nur noch Sachen zun den Apps und das dadurch Daten freigegeben werden können. Es folgt ußerdem ein Hinweiß auf gesonderte Bedingungen für den Facebook Marktplatz. Außerdem erfolgt die Nutzung von Platzformanwendungen über das Facebook API auf eigene Gefahr, was man Facebook aber nicht übel nehmen kann, da Facebook die Plattformanawedungen nicht kontrolliert unn jeder welche erstellen kann. Die gleichen Sachen gelten auch für Spezielle seiten in Facebook.

Facebook erklärt jetzt das Targeting, also zielgerichtete Werbung, erlaubt ist, was bei StudiVZ auch der Fall ist.

Facebook erklärt weiterhin, das man keine Streitigkeiten zwischen den Nutzern schlichtet, den in den USA geltenden Gesetzen zum Datenschutz folgt (Gibt es in den USA Datenschutz?) und nie Haftet, um gleich einen Abschnitt später zu sagen, dass wenn man Facebook bezahlt hat eine Haftung bis zu der gezahlten Summe aber Maximal 1000$ möglich ist.

Es folgt eine das Facebook den Vertrag jederzeit beenden kann, was geschieht wenn man gegen irgendetwas verstößt oder Facebook der Meinung ist, das man nicht berechtigt sei die Plattform zu nutzen, egal ob das stimmt oder nicht. Dann folgt noch etwas ganz besonderes:

Wenn wir eine Information über den Tod eines Benutzers erhalten, werden wir, obwohl wir nicht dazu verpflichtet sind, das Konto des betreffenden Benutzers für einen von uns definierten Zeitraum in einem speziellen Gedenkstatus aktiv lassen, um anderen Benutzern die Möglichkeit zur Abgabe und Einsichtnahme von Kommentaren zu geben.

Das hat mich echt gewundert und bei StudiVZ habe ich sowas nicht gefunden.

Jetzt folgen bei Facebook nur noch die üblichen Vertragssachen wie Gerichtsstand und Grundlagen, also nichts interessantes.

Also man kann sagen StudiVZ ist im Vergleich zu Facebook garnicht so schlimm

Von Michel für VZlog.de, 2008. | Permalink | 14 Kommentare

StudiVZ stellt Klar:

Michel — Thu, 28 Feb 2008 09:38:20 +0000

Heute äußert sich Samir Barden im Klartext von StudiVZ im Bezug auf den Artikel von Spiegel Online (Wir berichteten):

Liebe Community,

einige von Euch haben es sicher mitbekommen und waren – wie auch wir – geschockt. In der Online-Ausgabe eines Nachrichtenmagazins mit professionellem Image wurde unser Geschäftsführer Marcus Riecke falsch zitiert.
Auf der beständigen Jagd nach einem neuen Skandal im Hause studiVZ wurden mal wieder Zusammenhänge aus unserer Sicht mutwillig falsch dargestellt.

In diesem Artikel hieß es zum Beispiel, dass wir Euch – salopp formuliert – an die Polizei verpetzen wenn wir Bilder von Euch beim Konsum von Cannabis sehen.
Diese Schlagzeile wurde eine halbe Stunde nach Veröffentlichung und einer Aufforderung zur Richtigstellung durch uns zwar abgemildert, was die Weiterverbreitung über andere Medien aber nicht verhindert hat.

Ihr könnt Euch gar nicht vorstellen, wie sauer wir über diese Art der Berichterstattung sind.

An dieser Stelle möchten wir Klarheit schaffen:

Fakt ist: Ihr möchtet Sicherheit.
Niemand möchte nationalsozialistische Parolen im studiVZ sehen oder der rechten Szene einen Nährboden bieten. Niemand will belästigt, bloßgestellt, bedroht oder verleumdet werden.
Um Euch eine sichere Plattform zu garantieren, haben sich alle Beteiligten an einige wichtige Regeln zu halten. Diese stammen nicht von uns, sondern sind für alle gültige und bindende Paragraphen der deutschen Gesetzgebung, wie zum Beispiel der Jugendschutz und das Strafrecht.

Dass wir Daten an Strafverfolgungsbehörden – also Polizei und Staatsanwaltschaft – herausgeben müssen, wenn diese uns ein schriftliches Auskunftsersuchen zukommen lassen, ist weder neu noch unseriös, sondern dient letztlich Eurem Schutz.
Es geht hier um Morddrohungen, radikales Gedankengut, Verleumdungen, schwere Beleidigungen und weitere heftige Dinge, welche in unserem Land genauso wie im studiVZ eine klare und zu ahndende Straftat darstellen.
Ein Auskunftsersuchen ist immer mit einer Anzeige verbunden, die von den Geschädigten erstattet wurde, zum Beispiel einem Nutzer aus Euren Reihen.
Das wird überall genauso gehandhabt und hat nichts mit Spionage zu tun!

Dass wir Bilder und Daten an die Polizei geben, weil Ihr Euch darauf ein gemütliches Tütchen ansteckt, ist komplett erfunden und gelogen.
So etwas tun wir nicht!
Das betrifft nicht nur das von der Presse bewusst gewählte und wunderbar plakative Beispiel Cannabis. Nebenbei gesagt gab es noch nie eine Anfrage zu Cannabiskonsum.

Wir bitten Euch, solchem Journalismus keinen Nährboden zu geben – er schadet nicht nur uns, sondern ist eine gezielte Beeinflussung der öffentlichen Meinung durch Veröffentlichung falscher Informationen.

Euer
Samir

Samir veröffentlicht diesen Klartext stellvertretend für die gesamte studiVZ-Belegschaft.
Wir lassen uns so etwas nicht mehr gefallen!

Von Michel für VZlog.de, 2008. | Permalink | Noch keine Kommentare

SchülerVZ beseitigt Sicherheitslücke

Michel — Thu, 24 Jan 2008 14:47:00 +0000

Wie der IT-Nachrichtendienst Heise berichtet, hat StudiVZ eine Sicherheitslücke bei der Anmeldung beseitigt:

“Über Schwachstellen in StudiVZ und SchülerVz hätten Angreifer Anmeldedaten abgreifen oder Mails einsehen können. Die XSS-Lücke bei StudiVZ befand sich im Login-Formular. Durch die fehlende Filterung von Quotes (“) war es möglich, in die Felder “E-Mail” und “Passwort” JavaScript hineinzuschreiben. Bei einer Demo des Entdeckers der Lücke, dem heise-online-Leser Sergej S., wurde das Script ausgeführt, sobald man die Maus über eines der Felder bewegte. Prinzipiell hätte etwa ein Phisher mit einem Skript die eingegebenen Login-Daten von Nutzern abgreifen können. Für einen erfolgreichen Angriff hätte ein Opfer aber auf einen präparierten Link klicken müssen, etwa in einer Mail oder einer Webseite.”

Mittlerweile wurde der Fehler allerdings behoben. Problematisch ist, das in letzter Zeit immer wieder falsche SchülerVZ-Seiten auftauchen, die behaupten durch das versenden von Links neue Funktionen in SchülerVZ zu aktivieren. Daher ist es Prinzipiel möglich, dass die Sicherheitslücke bereits genutzt wurde.

Wer mehr Funktionen für SchülerVZ ohne große Sicherheitbedenken will, kann unter Firefox den Change It Yourself-Script (aka Jautis) installieren, der viele neue Optionen bietet.

Von Michel für VZlog.de, 2008. | Permalink | Ein Kommentar

Ist das das falsche SchülerVZ?

Michel — Thu, 08 Nov 2007 09:49:00 +0000

Gestern warnte das SchülerVZ Team vor falschen SchülerVZ-Seiten (wir berichteten), heute haben wir die erste gefunden: PennerVZ.de

Das PennerVZ (pennervz.de) sieht aus wie Facebook, StudiVZ oder SchülerVZ in grün ist noch ein colsed Beta. Es soll laut mit Sprüchen wie “Ökologisches Wohnen! Mein Haus is aus Altpapier!” auf die Probleme der Armen aufmerksam machen. Sonst ist PennerVZ.de eine absolute Parodie auf das SchülerVZ: Bei jedem dritten Seitenaufruf erscheint eine Fehlermeldung (“Ihr werdet es nicht glauben, aber wir haben uns dank der mittlerweile vielen Tausend Zugriffe entschlossen, in die hochkomplexe Software des PennerVZ einen Fehler einzubauen, der für eine hoffnungslose Serverüberlastung sorgen wird. Und das ist jetzt gerade eingetreten. Demnächst kannst Du deine Fehlermeldung selbst generieren.”) und alle Profile haben eine beabsichtigte Sicherheitslücke.

Wenn ihr noch mehr SchülerVZ klone findet, könnt ihr euch gerne über das SchülerVZ an die Moderatoren der Gruppe “SchülerVZ Blog leser” wenden.

Von Michel für VZlog.de, 2007. | Permalink | 3 Kommentare

Leck entdeckt! Die Edelgruppen

Timon — Wed, 26 Sep 2007 22:30:00 +0000

Seit einigen Tagen gibt es bei schülerVZ die Kategorie “Edelgruppe*”. Diese Gruppen sollen Gruppen sein, die durch Klicken eines Werbe-Telegramm erscheinen. Wenn man in der Kategorie der Edelgruppen allerdings hineinschaut, sieht das ganze nicht so aus, als ob diese gelisteten Gruppen durch Marketing entstanden sind. So ist auch die Gruppe “schülerVZ-Blog-Leser*” eine Edelgruppe. Es ist also möglich auch selbst eine Edelgruppe zu erstellen, auch wenn man die Kategorie beim Editieren der Gruppe nicht finden kann. Hier nun eine kleine Anleitung, wie man selbst zu einer Edelgruppe kommen kann:

Nachtrag (1. Oktober 2007): Auf Wunsch von schülerVZ musste ich die Anleitung letzendlich doch entfernen. Details dazu hier.

Mal schauen, wie lange dieses Sicherheitsleck noch möglich ist bei schülerVZ…

* Link/Verweis nur aufrufbar, wenn man bei schülerVZ gerade eingeloggt ist.

Von Timon für VZlog.de, 2007. | Permalink | Ein Kommentar

StudiVZ (10.1.2)		Facebook (Einleitung)
10.1.2: Sonstige geänderte, nicht von Ziffer 10.1.1 erfasste Bestimmungen werden dem Nutzer per E-Mail spätestens zwei Wochen vor ihrem Inkrafttreten zugesendet. Widerspricht der Nutzer der Geltung der neuen AGB nicht innerhalb von zwei Wochen nach Empfang der E-Mail, gelten die geänderten AGB als angenommen. studiVZ verpflichtet sich, den Nutzer in der E-Mail, die die geänderten Bestimmungen enthält, gesondert auf die Bedeutung der Zweiwochenfrist hinzuweisen.		Wir behalten uns das Recht vor, nach eigenem Ermessen Teile dieser Nutzungsbedingungen jederzeit und ohne besondere Mitteilung zu ändern, zu ergänzen oder zu löschen. In einem solchen Fall werden wir die an diesen Nutzungsbedingungen vorgenommenen Änderungen auf dieser Seite veröffentlichen und im oberen Teil dieser Seite das Datum der letzten Überarbeitung dieser Bedingungen vermerken. Wenn du nach einer solchen Änderung den Service bzw. die Site weiterhin nutzt, ist dies gleichbedeutend mit der Annahme der neuen Nutzungsbedingungen. Wenn du mit diesen oder zukünftigen Nutzungsbedingungen nicht einverstanden bist, darfst du den Service und die Site weder aufrufen noch nutzen. Du bist selbst dafür verantwortlich, regelmäßig die Site dahin gehend zu überprüfen, ob es Änderungen an diesen Nutzungsbedingungen gegeben hat.