symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Offizielle DJ Bobo Homepage veröffentlicht alle Fanadressen
Veröffentlicht durch maol am Mittwoch 26. September, 19:11
Aus der Kunde-für-den-Big-Brother-Award Abteilung
Datenschutz FirstLady schreibt "Letzte Woche stolperte ich zufällig - ja wirklich zufällig!!! - über folgende Webseite:" Es ist DJ Bobos offizielle Homepage, wo offensichtlich Daten einer ganzen Menge von Kunden oder Fans offen verfügbar sind.

Die Homepage ist z.B. auch unter djbobo.ch erreichbar (djbobo.de ist closed for revision), die Verzeichnis-Struktur ist dieselbe. Jeder der ein wenig neugierig die Struktur der Homepage erkundet, wird früher oder später auf die brisanten drei Dateien stossen, von denen ich nur schnell eine angeschaut habe: Es handelt sich um eine Datei im CSV Format, d.h. comma separated values (oder in unserem Fall wohl colon sep...), mit 755 Einträgen.
Um die Unschuldigen zu schützen habe ich die URL verändert.

Firstlady schreibt weiter:

"yesmusic.ch/Feigling/Filter/datei.xyz

und wunderte mich, dass die einfach so dutzendweise Adressen, inkl. Geburtsdatum, E-Mail usw. frei zugreifbar haben. Ich wollte dem webmaster@yesmusic.ch schreiben, aber die Mail kam mit folgender Fehlermeldung zurueck: 550 5.1.2 ... Host unknown (Name server: yesmusic.ch: no data known)

Also wollte ich die anrufen...war aber schon nach 17.00 und natürlich nahm niemand mehr ab. Ich hab dann ein Fax gesandt:

Hallo!

Leider geht die Mailadresse webmaster@yesmusic.ch nicht. Und sonst finde ich keine "geeignete" E-Mail-Adresse wo ich das hinsenden koennte...


[Snip Errmsg]

Subject: Datenschutz beruecksichtigt?

Hallo!

Durch die Suchmaschine "search.ch" bin ich auf folgende Webseite gestossen:

http://www.yesmusic.ch/Feigling/Filter/datei.xyz

Ich weiss ja nicht, aber vermutlich sollten diese Daten nicht online fuer jedermann abrufbar sein oder? Waere wohl besser, wenn Ihr die Site runternehmt, oder wenigstens nur fuer Berechtigte zugaenglich macht.


[Schnippel]

Wie schon in der E-Mail mitgeteilt denke ich, dass Ihr besser diese Webseite runternehmt *g*

Gruss Priska

PS: Wenn die Seite bis Dienstag nicht runtergenommen ist, werde ich es auf http://www.symlink.ch/ rausposaunen ;-) Bringt dann vermutlich ziemlich Action auf Euren Server ;-))))


Tja, jetzt ist Mittwoch, und die Seite ist nach wie vor unter der URL erreichbar (wie übrigens noch einige andere, wenn Ihr nur einen schritt zurueck auf /Feigling/Filter geht ;-)

Gruss Firstlady

PS: ich habe auf der Suchmaschine search.ch nach: +peter +reber +adresse gesucht, und da ist auf Punkt 83 obige Adresse."

2. Tag Orbit | Druckausgabe | Provider kümmern sich nicht um Sicherheit  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • symlink.ch
  • djbobo.ch
  • yesmusic.ch/Feigling/Filter/da tei.xyz
  • FirstLady
  • Mehr zu Datenschutz
  • Auch von maol
  • Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    yesmusic.ch? (Score:1)
    Von dt (davetoweratwservicesdotch) am Wednesday 26. September, 21:25 MET (#1)
    (User #425 Info) http://www.wservices.ch
    gehoert yesmusic.ch nicht einem mitglied der selbsternannten schweizer computer szene (szene.ch)?

    wenn das so waere, dann ist dies wahrhaft ein lacher und gibt einem bedenken...

    cu
      DT
    --
    http://outpost-coder.wservices.ch
    the outpost coder davetower
    Peinlich, aber es geht noch schlimmer (Score:1)
    Von boos am Wednesday 26. September, 21:40 MET (#2)
    (User #446 Info)
    Dies Daten sind ja gerade eine BigBrotherAwards Nomination wert.! Die TopTen könnte er sicher erreichen. Vielleicht ist noch mehr drin. Jedenfalls habe ich durch rumstöbern auch noch Ergebnisse einer Umfrage gefunden. Der Weg dazu ist einfach: Kürze einfach die URL mit den Adressdaten.
    Re:Peinlich, aber es geht noch schlimmer (Score:0)
    Von Anonymer Feigling am Wednesday 26. September, 23:47 MET (#4)
    Ein Fall für die SIUG! Trotzdem sind das nur Peanuts im Vergleich zu den Kryptographie-Diskussionen im Moment!
    Re:Peinlich, aber es geht noch schlimmer (Score:0)
    Von Anonymer Feigling am Thursday 27. September, 07:43 MET (#7)
    Naja, mit Bigbrosa hat das m.M. nicht so viel zu tun. Es werden ja keine Daten ausspioniert sondern sie sind unzureichend geschuetzt. Dafuer sollte der Webmaster (wie auch den fehlenden MX-Record) die goldene Kopfnuss bekommen.
    Lernbeispiel was man alles nicht machen sollte (Score:1)
    Von Viscus (viscus@gmx.ch) am Wednesday 26. September, 22:29 MET (#3)
    (User #618 Info) http://www.senn.ch
    Ich denke über das wird sich auch der Eidgenössische Datenschutzverantwortliche sehr interessieren. Da gibt es sicher eine Busse.

    Es ist wieder einmal ein Lernbeispiel von Nots auf einem Webserver. Er hat das Browsing aktiv.
    Dann sind die Daten nicht mal mit einem htaccess oder so geschützt. Die Directories haben kein index.html sondern nur ein Dokument mit irgend einem Namen.

    Kann nicht mal den WS-FTP konfigurieren. Überall Logfiles davon rumliegen.

    BTW. Ich bin gespannt, wann die Medien das spannen. Die Hitrate könnte wieder mal nach oben schnellen.
    Re:Lernbeispiel was man alles nicht machen sollte (Score:0)
    Von Anonymer Feigling am Thursday 27. September, 07:36 MET (#5)
    Die Idee mit dem Datenschutzbeauftragten hatte ich gestern Abend auch schon und habe diesem ein Mail mit den Links geschickt.
    Bin gespannt, ob etwas geschieht..

    Gruss, Markus

    P.S.: der Trick zum auffinden geht nicht mehr so wie genau beschrieben, aber die Daten sind nach wie vor erreichbar
    Re:Lernbeispiel was man alles nicht machen sollte (Score:1)
    Von eudaemon am Thursday 27. September, 07:37 MET (#6)
    (User #444 Info)
    .... tja, und irgendwann landet man vielleicht auf djbobo.musicaliens.de auch dort gibts diverse folders.... ob die regenbogenpresse oder auch symlink liest? der webmaster wird sich wahnsinnig freuen, wenn er wieder mal die statistik anschauen ginge... :-¦
    Re:Lernbeispiel was man alles nicht machen sollte (Score:0)
    Von Anonymer Feigling am Thursday 27. September, 07:49 MET (#8)
    Ich habe noch einen kleinen Nachtrag: Wenn in der URL der besagten Datei der Dateiname gelöscht wird, liefert einem der Server den Verzeichnisinhalt. Es sind 3 Dateien mit je einer Adress-Sammlung vorhanden -> alles in allem rund 1500 Adressen

    Gruss, Markus
    Re:Lernbeispiel was man alles nicht machen sollte (Score:2)
    Von bones am Thursday 27. September, 14:37 MET (#11)
    (User #481 Info) http://www.p-guhl.ch
    Hmmm... ich gehe jetzt einfach mal davon aus, dass auch meine Adressdaten irgendwo auf irgend so einem lausig geschützten Server herumgammeln (vielleicht nicht bei DJ Bobo, aber der Adresshandel ist ja so florierend, dass sicher 100 Firmen, die ich nicht kenne, meine Profile gespeichert haben).

    Gibt es auch Suchmaschinen, die einfach alle Dokumente indexieren, ohne auf den Typ zu achten? Die müsste solche Dinge eigentlich finden... (und ich vermute, die Adress-Grabber von Spammern tun genau das! Die wissen auch, dass gelegentlich solches Zeug herumliegt.)

    Grüsse vom Knochen
    Re:Lernbeispiel was man alles nicht machen sollte (Score:1)
    Von Maus (thomas@mutter.ch) am Thursday 27. September, 21:16 MET (#13)
    (User #695 Info) http://www.mutter.ch/
    Da der Server ziemlich mies konfiguriert ist, sieht man auch die Zeitstempel der Dateien. Das Verzeichnis ist offensichtlich nicht mehr in Gebrauch, enthält also nur noch Trash.

    Das ist allerdings noch lange kein Grund dieses Zeugs öffentlich herumliegen zu lassen.

    Noch was zum Thema legalität: Wenn ein Webserver DirectoryIndexes anbietet, dann geht das bei mir bereits ziemlicht unter "Veröffentlicht".
    Re:Lernbeispiel was man alles nicht machen sollte (Score:1, Informativ)
    Von Anonymer Feigling am Friday 28. September, 07:37 MET (#14)
    Gestern habe ich Antwort vom eidgenösischen Datenschutzbeauftragten erhalten. Diese haben das DJ Bobo Management / Yes Musig ersucht das System anzupassen. Betroffene die ihre Daten auf der Liste finden und sich in ihrer Persönlichkeit verletzt sehen, können Zivilklage gemäss Art. 15 Datenschutzgesetz einreichen.
    Alle Dateien sind weiterhin erreichbar. Das Management scheint die Sicherheit der Fan-Daten nicht allzu hoch einzustufen.

    Gruss, Markus
    Kurze rechtliche Einschätzung (Score:1)
    Von P2501 am Thursday 27. September, 08:36 MET (#9)
    (User #31 Info) http://tristan.discordia.ch

    Disclaimer: Ich bin kein Rechtsanwalt. Folgende Einschätzung muss also nicht unbedingt korrekt sein.

    Das Herunterladen der Daten ist legal. Der Gesetzesartikel gegen "unbefugte Datenbeschaffung" zieht nicht, weil ausdrücklich nur Daten davon abgedeckt sind, die gegen eventuelle Datendiebe "besonders gesichert" sind.

    Zumal die Adresssammlung (rechtlich gesehen) als brisant einzustufen ist, wurde hier der Grundsatz der Datensicherheit verletzt. Die Seitenbetreiber haben also wahrscheinlich gegen das Gesetz verstossen. Wie genau aber vorzugehen ist, müsste erst abgeklärt werden (das Datenschutzgesetz ist ein Haufen Gummiparagraphen).


    +Bobo (Score:1)
    Von sheimers (stefan.heimers@kosta.ch) am Thursday 27. September, 11:32 MET (#10)
    (User #255 Info) http://www.heimers.ch/
    Wenn man bei search.ch noch ein +Bobo hinzufuegt wirds eindeutiger ;-)
    Re:+Bobo (Score:1)
    Von eudaemon am Thursday 27. September, 20:43 MET (#12)
    (User #444 Info)
    ... :-) es gab auch einmal eine umfrage :-)) zum beispiel: +hostname (schonmal erwähnt worden) +csv.... ... da kommt man ja auf richtig lustige ideen! und das ganze nichtmal hacken; reichen ja logische searchenginerequest vollauf....

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.
    trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen