SchülerVZ-Crawler in Aktion: 48.000 Profile in nur vier Stunden

Der Datendiebstahl bei der VZ-Gruppe hat am Freitagabend hohe Wellen geschlagen. Immer mehr Details werden seit dem bekannt. Darunter ist auch dieses YouTube-Video aus der Kategorie Wissenschaft und Technik. Das Filmchen ist zwar schon ein paar Monate alt und dauert nur 22 Sekunden. Es zeigt aber dennoch die Funktionsweise des selbst programmierten Bots, der angeblich nicht nur SchülerVZ um hunderttausende Nutzerdaten erleichtert haben soll, sondern auch bei den beiden anderen Social Networking-Plattformen MeinVZ und StudiVZ zum Einsatz gekommen sein soll.

Doch lest selbst, was der Autor, ein Typ namens matt56444, über sein Daten-Crawler schreibt:

Ein von mir entwickelter Bot für das sVZ bzw. mVZ.. Basiert auf PHP, JS, AJAX und diversen shell scripten die von PHP via shell_exec() aufgerufen werden. Leider noch etwas verbuggt da teilweise Profile doppelt und dreifach gecrawlt werden.. Gesammelt werden die Bilder sowie ALLE zugängliche Profildaten. Die Profildaten werden dann in eine ORACLE Datenbank geschrieben und können später ausgewertet werden. In nur 4 Stunden Crawlen hat der Bot bereits ÜBER 48000 Profile besucht..

Ich probiere das gesammte VZ zu crawlen und werde dann eine grafische Auflistung generieren lassen wer wen kennt über welche Ecken..

Bereits eingebaut ist eine Funktion die die Benutzer „verkuppelt“. Der Bot sucht jeweils ein weibliches und ein männliches Profil und schreibt beiden eine Pinnwand MSG. Leider können aufgrund des Spamschutzes pro Tag nur maximal 20 Einträge auf Fremde Pinnwände geschrieben werden. Ach und die Captchas werden auch automatisch ausgelesen und gecracked 😉

Die Homepage des Datensammlers ist seit heute Morgen übrigens nicht mehr erreichbar. Dort konntet ihr gestern noch weitere Details über den Crawler lesen. Ob das damit zusammenhängt, dass die VZ-Gruppe den vermeintlichen Täter gestern identifiziert und mit ihm Kontakt aufgenommen hat, kann ich nicht sagen. Es wäre allerdings nahe liegend, insofern es sich bei beiden „Tätern“ um dieselbe Person handelt.

Hier ein paar Infos darüber aus dem VZ-Blog:

  • der Täter hat einen Crawler geschrieben, der sich mit normalen Nutzer Logindaten in die Community einloggt und die angezeigten Daten abgreift. Die bestehenden Sicherheitsmechanismen in Formularen und insbesondere in Form von Captchas wurden dabei geknackt.
  • der Täter behauptet weiterhin, auch meinVZ und studiVZ Daten gesammelt zu haben. Diese wurden nicht veröffentlicht. Wir versuchen mit allen Mitteln die Veröffentlichung dieser Daten zu verhindern.
  • der Täter hat die Daten weiter konkretisiert: es handelt sich wie bisher angegeben, um für alle Nutzer der Netzwerke einsehbare Daten. Jeder Nutzer in den VZs kann einstellen, welche Daten „von allen“ einsehbar sein sollen und nur solche Daten konnte der Täter sehen und sammeln. Alle Schutzmaßnahmen zur Privatsphäre haben gegriffen und wurden explizit NICHT geknackt.
  • 19. Oktober 2009 von Michael Friedrichs
    Kategorien: Internet, Soziale Netzwerke | Schlagwörter: , , , , | 1 Kommentar