Am 31.03.2010 zwischen etwa 03:00 und 04:00 Uhr deutscher Zeit gab es eine schweremittleregeringfügige vernachlässigbare Datenpanne bei Facebook. Die E-Mail-Adressen der etwa 400 Millionen Mitglieder waren kurze Zeit kostenlos abrufbar. Normalerweise sind diese Adressen nur für viel Geld zu kaufen gut geschützt. Das Feature Der Bug wurde innerhalb weniger Minuten korrigiert und behoben. Die Abrufe der laut AGB Facebook gehörenden E-Mail-Adressen werden nachberechnet. Die Nutzer von Facebook können sich in den nächsten Tagen auf interessante neue Angebote vorbereiten, angefangen von Geschlechtsteilvergrößerungen über günstige Aktien der AsiaPac Capital Services bis hin zu Medikamenten im günstigen China-Versand. Facebook hat bereits erklärt, diesen zusätzlichen Mitgliederservice dauerhaft im kostenfreien Bereich zu erhalten.
Ein frei erfundener Sprecher von Facebook hätte dazu folgende Stellungnahme abgeben können: „Die Weitergabe der E-Mail-Adressen unserer Nutzer ist ein kostenloser zusätzlicher Service für unsere Mitglieder, die dadurch auf die günstigsten Angebote im Internet aufmerksam gemacht werden und so durch Facebook viel Geld sparen können.“Hat er aber nicht.
Ich empfehle ja, statt Facebook diesen Robot Messenger zu verwenden:
Der Robot Messenger wurde erstmals 1935 in London aufgestellt (laut dem Modern Mechanix Blog) und der Datenschutz ist mindestens genausogut wie bei Facebook.
Bei Online-Bestellungen hat man ja ein 30-Tage Rückgaberecht, wenn einem die Waren nicht gefallen. Interessant wird das bei Bestellungen, die zum Download angeboten werden. Beispielsweise hatte ich neulich in einem Online-Shop eine Software bestellt, die per Download ausgeliefert wird. Nur der Schlüssel zur Installation wird per E-Mail zugestellt. In der E-Mail fand sich dabei folgender bezeichnender Satz:
„Sollten Sie sich entschließen, Ihre komplette Bestellung zurückzusenden, bitten wir Sie, einen Ausdruck dieser EMail beizulegen, damit Ihnen keine Unanehmlichkeiten entstehen.“
So ganz klar ist mir das jetzt nicht. Ich gebe den Installationsschlüssel zurück, wenn ich die E-Mail ausdrucke und zurückschicke? Und was sind diese ominösen „Unanehmlichkeiten“[sic]? Kommt dann Russia Inkasso bei mir zu Besuch? Oder kann ich den Shop mit einer 7-beinigen Spinne besänftigen? Immerhin wurde die letzte für viel Geld bei Ebay verkauft.
Nachtrag:
Die Software gab es als Promo übrigens umsonst im Shop 🙂
„The Bill of Rights: 7 out of 10 rights haven’t been sold yet! Contact your congressman for details how *you* can buy one today!“
— Seth Arnold
„Backups are for wimps. Real men upload their data to an FTP site and have everyone else mirror it.“
— Linus Torvalds
„If I have seen further than others, it is because I stood on the shoulders of giants“
— Isaac Newton
„If we can’t see as far as others, it’s because we’re busy standing on
each other’s feet“
— The Security Industry
„Secure and Windows are phrases that do not belong in the same sentence without an appropriately-placed negation.“
— Nick FitzGerald
„Wenn Sie mich suchen, ich halte mich in der Nähe des Wahnsinns auf, genauer gesagt auf der schmalen Linie zwischen Wahnsinn und Panik, gleich um die Ecke von Todesangst, nicht weit weg von Irrwitz und Idiotie!“
— Bernd das Brot
Und eigentlich wollte ich hier ja statt dem WordPress ein Fefe-CSS hochladen, aber dann ging in meinem Wohnzimmer das Internet nicht mehr. Also denkt Euch das selbst dazu 🙂
Die Webseite des Umweltbundesamts war mit dem Trojaner Zeus verseucht. Die Deutsche Emissionshandelsstelle (das sind die, die keine starke Authentisierung hinbekommen) warnte ihre Benutzer deshalb per E-Mail, wenn die zwischen 19. und 22. März auf die Seiten zugegriffen haben und behauptet laut Heise:
„Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft den Trojaner zwar als ungefährlich ein, […]“
Das BSI dementiert jetzt:
„Das BSI stuft Zeus natürlich nicht als ungefährlich ein. Zeus gehört vielmehr zu den aktuell gefährlichsten und durchdachtesten Bankingtrojanern …“
Auf meinem Rechner hat Microsoft heute übrigens aus der Reihe einen dringenden Patch für den Internet Explorer 8 installiert. Hat das BSI jetzt eigentlich vor der aktuellen IE-Lücke gewarnt? Oder sollte man den IE doch noch verwenden, weil das BSI noch vor Firefox warnt, obwohl der längst gepatcht ist? Bei den Warnungen blicke ich längst nicht mehr durch. Aber Hauptsache, das BSI hat was zum warnen. Beispielsweise vor Sozialen Netzwerken. Irgendwas ist schließlich immer.
Das „Security“ steht offensichtlich nicht nur zufällig in Anführungszeichen, wenn man sich die nette Meldung bei Fefe anschaut. 88 Sicherheitslücken! Code Execution in Rechtschreibprüfung! Wenn man bei AFP den Gastzugang abschaltet, ist er noch an, und man kann auf Dateien außerhalb der Share zugreifen! Nice.
Soghoian und Stamm beschreiben als möglichen Schutz ein Firefox-Add-on, das Zertifikatsinformationen aller besuchten SSL-Websites speichert.
Das wäre doch mal eine gute Sache. Und Firefox warnt mich immer dann, wenn sich das Zertifikat ändert. Genau genommen der SHA-1 Fingerprint. Am liebsten auch, wenn das Zertifikat nur verlängert wird. Dann kann ich selbst entscheiden ob und wem ich vertrauen will.
Und erwähnte ich eigentlich schon, dass ich das zertifikatsbasierte Sicherheitsmodell von SSL als gescheitert ansehe? Und Karthago muss zerstört werden! 🙂
Die Firma AsiaPac Capital Services in der renommierten Luxusmeile Eglinton Avenue in Toronto/Kanada schaut etwas blöd aus der Wäsche. Die Anleger haben nämlich dank Google Street View herausgefunden, dass der erwartete tolle Glastower von AsiaPac in Wirklichkeit ein heruntergekommenes Häuschen mit Imbiss im Erdgeschoss ist. Woraufhin der Aktienkurs prompt von knapp 3 Euro auf souveräne 12 Cent gefallen ist. Und die seriöse Firma mit dem vergilbten Firmenschild und der speckigen Fahne guckt doof aus der Wäsche.
Weil wir gerade bei Google sind … die taz hat einen Artikel, wie das Remarketing von Google funktioniert. Dabei bekommt ein Nutzer (sofern über den Google-Cookie identifiziert) immer wieder Werbung vom gleichen Anbieter angezeigt, wenn er mal auf eine Webseite eines Anbieters gegangen ist.
„Die Idee: Der Werbetreibende baut in seiner Website einen Google-Code ein, der den Nutzer erkennt. Surft dieser dann irgendwo anders im Web, werden ihm ab sofort regelmäßig Botschaften von der einmal besuchten Seite gezeigt. „Über eine Million Partnerseiten“ lässt sich der User so gegebenenfalls verfolgen, nur weil er einmal die Website des Werbetreibenden angeklickt hat.“
Spannend. Das funktioniert natürlich nur, weil das riesige Werbenetzwerk von Google so viele Webseiten umfasst, auf denen Google-Werbung eingeblendet wird. Ein Mitbewerber der nur auf wenigen Seiten angezeigt wird, hat dazu gar keine Möglichkeit.
Genau das ist auch der Grund, warum ich so gut es geht versuche, Google Analytics (urchin.js, ga.js, etc.) zu blockieren. Nicht etwa, weil der einzelne Seitenanbieter dann nachvollziehen könnte, woher ich komme und welche Seiten ich in welcher Reihenfolge angeschaut habe. Das darf der gerne wissen und kann das anhand seiner Logfiles eh nachvollziehen. Das Problem ist, dass Google über viele Millionen Webseiten hinweg nachvollziehen kann, was ich angeschaut habe. Und ich finde, das geht Google wirklich nichts an.
In Oldenburg ist das Auto einer laut Polizeibericht „für das Internet tätigen Gesellschaft zur bildlichen Dokumentierung von Straßenzügen“ beschädigt worden. Die Täter haben das Kabel zur auf dem Dach montierten Kamera durchgeschnitten, ein Loch in einen Reifen gestochen und einen Warnhinweis zum Platten hinter die Scheibenwischer der Windschutzscheibe gesteckt.
Vielleicht waren das die Bürger bei denen „Google Home View“ vorbeigeschaut hat:
(Danke Sören)
Nachtrag:
Ja ich weiß, die Google Home View Satire gibt’s schon bissi länger. Aber die passt gerade so schön.
