Warnung vor O2. (Und vor Emnid. Bitte weitergeben!)

Ich habe heute einen Telefonanruf von Emnid auf eine Telefonnummer bekommen, die in keinem Telefonbuch steht, nirgends sonst veröffentlicht ist, niemals von mir angegeben wird und die ansonsten nur sechs Menschen bekannt ist.

Meiner Meinung nach gibt es nur eine Erklärung dafür, wie diese spezielle Telefonnummer in den Datenbestand von Emnid kommen konnte: Indem O2 in großen Paketen Telefonnummern (und wer weiß schon: vielleicht auch weitere Kundendaten) an derartige Fäkalmaden verkauft. Das ist vermutlich das, was man bei O2 unter dem Dienst am zahlenden Kunden versteht: Dass diese „PENETRANT WIEDERHOLTE, STÖRENDE UND SINNLOSE ANRUFE“ auf ihrem Händi bekommen. Ich hoffe, dass der Insolvenzverwalter sich bald dieses Ladens annimmt und kann bis dahin nur vor O2 warnen. Es soll ja Alternativen geben.

Ach ja: Mit welchen halbseidenen Methoden und auf welcher Grundlage die Umfrageergebnisse zustande kommen, die dann überall von Glotze und Journaille als „Wille und Stimme des Volkes“ präsentiert werden, ist damit auch mal etwas klarer geworden. Denkt bei der nächsten Dummfrage aus den Medien daran — und nein, bis zu deutlichen Indizien für das Gegenteil habe zumindest ich nicht den geringsten Glauben darin, dass die anderen Demographie-Klitschen anders vorgehen.

Das ist deine Privatsphäre bei Blizzard!

Das ist deine Privatsphäre bei Blizzard! Screenshot, der aus World of Warcraft heraus angefertigt wurde, mit sichtbar gemachter digitaler Signatur.

Zur Ansicht des Bildes in Originalgröße Vorschaubild anklicken.

Wenn aus dem immer noch recht beliebten Online-Spiel »World of Warcraft« heraus ein Screenshot im JPEG-Format angefertigt wird, dann enthält dieser Screenshot eine für den menschlichen Betrachter zunächst unsichtbare digitale Signatur, in der (mindestens) die aktuelle Uhrzeit (auf dem verwendeten Server), der Benutzername und die IP-Adresse des verwendeten Servers abgelegt werden. Diese unsichtbaren Zusatzinformationen werden seit mehreren Jahren in den JPEG-Bildern abgelegt.

Es ist für Blizzard also möglich, nachzuvollziehen, von welchem Spieler ein im Internet veröffentlichtes Bild gemacht wurde.

Weitere Anmerkungen

Es handelt sich nicht um normale JPEG-Artefakte, die von Verschwörungsspinnern überinterpretiert werden. Im Screenshot oben — ich habe die Strukturen mit der Kantenerkennung in GIMP sichtbar gemacht — kann man sehr deutlich die typische Blöckchenstruktur einer JPEG-Komprimierung etwa über den Wolken erkennen. Diese unterscheidet sich schon für das bloße Auge strukturell deutlich von den Rechtecken, in denen bitweise codierte ASCII-Zeichen abgelegt wurden (die Bitreihenfolge muss zum Lesen umgekehrt werden).

Die codierten Informationen werden über einen großen Bereich des Bildes zyklisch wiederholt, mutmaßlich, um durch diese Redundanz immer eine sichere Lesung der versteckten Daten zu erreichen.

Es handelt sich um eine echte und von Blizzard heimlich im Programm verbaute Tracking-Funktion für Screenshots. Dass eine eindeutige Zuordnung eines Screenshots zu einem Spieler möglich ist, wurde niemals von Seiten Blizzards kommuniziert.

Ich frage mich seit einigen Stunden, was der Zweck dieser (doch mit gewissem Aufwand realisierten) Überwachungsfunktion ist, und ich kann mir nur eines vorstellen: Vermutlich dienen diese Informationen, um Cheater zu identifizieren. Wenn ein Cheat veröffentlicht wird, dann werden dabei nahezu immer erläuternde Screenshots gemacht, und Blizzard kommt so an die WoW-Identität der Cheater, die sich mit den Anmeldedaten kombinieren lässt, um des Cheaters habhaft zu werden. Es handelt sich, wenn dies zutrifft, sozusagen um eine privatwirtschaftliche Rasterfahndung, bei der eine große Menge von Menschen präventiv und anlasslos überwacht wird.

Weiterführende Links

Wer gut englisch lesen kann, sollte sich die ganze Geschichte bei ownedcore.com nicht entgehen lassen. Deutschsprachige Artikel gibt es zurzeit bei WinFuture, bei Gamestar und bei Golem.

§8 Bundesdatenschutzgesetz

Nur ein kleines Zitat aus einem ganz kleinen Teil des geltenden Rechts in der BRD:

(1) Fügt eine verantwortliche öffentliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist ihr Träger dem Betroffenen unabhängig von einem Verschulden zum Schadensersatz verpflichtet.

(2) Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen.

(3) Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt auf einen Betrag von 130.000 Euro begrenzt. Ist auf Grund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von 130.000 Euro übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag steht.

(4) Sind bei einer automatisierten Verarbeitung mehrere Stellen speicherungsberechtigt und ist der Geschädigte nicht in der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen.

(5) Hat bei der Entstehung des Schadens ein Verschulden des Betroffenen mitgewirkt, gilt § 254 des Bürgerlichen Gesetzbuchs.

(6) Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung.

Angesichts der Tatsache, dass die Bundespolizei Bewegungsprofile von Menschen erstellt hat und es auch noch geschafft hat, diese fraglos persönlichen Daten auf einem „Opferrecher“ (also einem Server mit Verbindung zum Internet) abzulegen, könnte es ja sein, dass der eine oder andere Betroffene jetzt sein Recht auf Schadenersatz geltend machen möchte. Übrigens wurden seitens der Bundespolizei auch keine technischen Maßnahmen getroffen, die Daten, sollten sie einmal an die Öffentlichkeit gelangen, schwerer nutzbar zu machen — die Passwörter für den Zugriff auf die Tracking-Software wurden im Klartext (!) in einer übers Internet zugänglichen Datenbank abgelegt. Genau so buchstabiert man das Wort „fahrlässig“. Oder vielleicht auch das Wort „von unten bis zum Haaransatz vollständig inkompetent“. Wenn die BRD ein Rechtsstaat wäre, dann wäre die Klage auf Schadenersatz in jedem Fall erfolgversprechend, selbst wenn die Überwachung formal rechtmäßig (also richterlich angeordnet) war. Wer durch die himmelschreiende Inkompetenz der Bundespolizei davon betroffen ist, dass persönliche Daten jetzt frei verfügbar sind, sollte in jedem Fall klagen.

Unfassbar, dass solche Kompetenzgranaten des besonders abgemagerten Kalibers hier riesige Datensammlungen nicht nur anlegen, sondern auch p’litisch gewünschtermaßen anlegen sollen.

Vergesst kino.to!

Dieser Blogpost ist leer. -- Nee, tut mir nicht leid... -- Mit Gruß aus Deutschland, dem Land der verschwindenden Inhalte

Vergesst kino.to! Zensiert werden Jörg Kachelmann; AEP-D; Attac; Sportwetten; Radio Fritz; stets und überall in Deutschland alle Blogger; Internetbertreiber außerhalb der „Sendezeiten“; das Pottblog; Flickr; das ELO-Forum; alle Aufklärer über Euroweb; die Aktion Nazifreies Dresden; einige Aufklärer über Kindesmissbrauch in der röm.-kath. Kirche; Meine Zwangsanmeldung; Aufklärer über Bauernfänger mit Schneeballsystemen; Menschen, die gegen die Zustände im Wikimedia Deutschland e.V. protestieren; alle Kinos; das Womblog mit Informationen über politische Bewegungen in Lateinamerika; Satire mit Zielrichtung Abmahnanwälte; Menschen, die harmlos, kreativ und satirisch auf technische Fehler in einer Website hinweisen; Menschen, die Vogeldarstellungen auf einer Satireseite benutzen; YouTube; alle Programmierer und Anwender von Freier Software; Anwender von Yahoo; Menschen, die die von der GEZ eingezogene Gebühr eine GEZ-Gebühr nennen; alle Google-Anwender; alle Programmierer und Nutzer von Computerspielen; Journalisten; alle Anwender der ehemaligen Plattform Google Video; das INSM-Watchblog; kritsche Verbraucher; Künstler, die sich kreativ mit der Boulevardpresse und ihrer Agitationsform auseinandersetzen; Computerspielespieler; Satiriker, die der Media-Markt-Reklame eine gebührende Antwort geben; politische Blogger; immer wieder Blogger; Dokumente, die die tödliche Verzweiflung eines jugendlichen Mörders und Selbstmörders beleuchten und der offiziellen und in den Massenmedien transportierten Darstellung offen widersprechen; Menschen, die die Zustände in der Innenstadt einer deutschen Großstadt nicht hinehmen wollen; und… und… und… und tausende, ja zehntausende weiterer derartiger Stimmen, die verschwinden gemacht oder doch zumindest eingeschüchtert und existenziell bedroht wurden, nur damit sie verschwinden mögen, aber die dabei so still und fern waren und sind, dass ich sie nicht bemerkt habe und nicht bemerken kann… dieses völlig unwichtige Scheiß-kino.to, das die aus Gewinnerzielungsabsicht generierten künstlichen Welten der Contentindustrie zur Untenhaltung und Ablenkung kostenlos konsumierbar machte, ist in alledem die entbehrlichste Site des Internet, und es wird morgen schon unter anderer Adresse wiederkommen, einfach, weil man viele wegen der objektiven Ödnis ihres Daseins nach etwas Trost, Bewusstlosigkeit und Bespaßung strebende Menschen so leicht mit Abofallen und Malware überrumpeln kann… und ihr werdet es auch in drei Monaten schon vergessen haben, ganz genau so, wie ein Aasfresser morgen den Kadaver nicht mehr kennt, der gestern noch seine Atzung war… ich würde dieses kino.to sofort gegen fünfzig mittlerweile verschwundene, persönliche Blogs eintauschen, die mir das Internet einmal zum wärmeren und erträglicheren Ort gemacht haben, als noch nicht jedes menschliche Miteinander im Netz ein sozial optimierter Geschäftsvorgang sein sollte… und in alledem unvergessen bleibt mir, und hoffentlich nicht nur mir, welche Menschen (angebliche Vertreter irgendeines Volkes, zu dem ich allerdings nicht gehöre und von dem ich keinen Menschen kenne, der zu diesem Volk gehört) ein willkürlich und (da immer noch in Kraft, immer noch jederzeit) unkontrollierbar missbrauchbares Internetzensurgesetz in Rechtskraft gesetzt haben, weil diese reich geborene Fotze sehr zum Nutzen ihrer geldmächtigen Freunde dreist und politisch kindesmissbrauchend in die Welt gelogen hat — aber das mit Lügen, das tut sie ja immer noch. Wo die „Meinungsfreiheit“ in der BRD bleibt? Ach, ich erklärs mal für Kinder.

Jörg Kachelmann: TwitPic zensiert Blümchen

Vor wenigen Stunden hat Jörg Kachelmann auf TwitPic [Wegen widerwärtiger Zensur bewusst nicht verlinkt] ein sehr interessantes Bild gepostet, das einen Eindruck davon zu geben vermag, mit welchen Methoden die Contentindustrie in der BRD ihre „Stories“ bekommt und was im Hintergrund der medialen Vorverurteilung Kachelmanns ablief. TwitPic hat dieses Bild, das einmal unter twitpic.com/586fia zu finden war, still gelöscht — es kann ja auch nicht angehen, dass die Gier, Geschäftstüchtigkeit und Schamlosigkeit der Journaille, hier im Falle von Burdas Arsch- und Tittenblatt „Bunte“, einem größeren Kreis von Menschen bewusst wird. So etwas wie Twitter und die damit verbundenden Dienste findet die Journaille eben nur toll, wenn sie in reißerischem Ton vermelden kann, dass damit im Ausland Revolutionen vorangetrieben werden. Wenns aber in der BRD benutzt wird, um mal zu beleuchten, wie denn der ganze Content in die Dreckspresse kommt, denn wird wohl ganz schnell der hauseigene Rechtslinksausleger angerufen, damit er mit der Macht der Geldherrschaft und des BRD-typischen Rechtsschutzes für beleidigte Leberwürste etwas dagegen unternehmen kann.

Nun, ich habe das Bild eben in meinem Browsercache wiedergefunden und möchte es niemanden vorenthalten. Es handelt sich um ein Begleitschreiben zu einer Fleurop-Blumensendung, und was darin steht, ist keineswegs durch die Blume gesagt, sondern sehr deutlich (zum Vergrößern klicken) — dieses kleine Dokument zur Zeitgeschichte sollte sich niemand entgehen lassen, der dem Gelaber vom „Qualitätsjournalismus“ angesichts der Ausflüsse dieses Tuns schon immer etwas skeptisch gegenüber stand:

Liebe Frau xxxxx, gerne würde ich mich einmal persönlich mit Ihnen über Herrn JK unterhalten. D a Sie ohnehin im Prozess als Zeugin aussagen werde n, fände ich es schön, Sie schon vorher kennen zu lernen. Sie können mich jederzeit unter meiner Mob ilnr. 0172 6124502 bzw per Email: tanja. may@bunte. burda. com erreichen. Sonnengrüße schickt Ihnen die Tanja May, Chefreporterin und Mitglied der Chefred aktion BUNTE

Hier nochmal der Text mit allen seinen vom eiligen Tippen herrührenden Eigentümlichkeiten abgetippt (allerdings habe ich dabei die Telefonnummer unkenntlich gemacht und bitte auch jeden Leser darum, dass die im Bild sichtbare Nummer nicht missbraucht wird):

Liebe Frau xxxxx, gerne würde ich mich einmal persönlich mit Ihnen über Herrn JK unterhalten. D a Sie ohnehin im Prozess als Zeugin aussagen werde n, fände ich es schön, Sie schon vorher kennen zu lernen. Sie können mich jederzeit unter meiner Mob ilnr. 0172 612xxxx bzw per Email: tanja. may@bunte. burda. com erreichen. Sonnengrüße schickt Ihnen die Tanja May, Chefreporterin und Mitglied der Chefred aktion BUNTE

Besonders wichtig: Schon vor dem Prozess möglichst exklusiv die Infos aus einer mit Blümchen begrüßten und von einer professionellen Schreibersfrau bequasselten Zeugin herausschütteln, so richtig eiskalt von Frau zu Frau. Ist ja auch besser für die mediale Vorverurteilung und den reißerischen Content mit besonderem emotionalen Empörungspotenzial, der dann verkauft werden soll.

Woher dieses Pack bei Burda im Vorfeld eines Gerichtsverfahrens die Anschrift einer Zeugin bekommen hat, gehört übrigens zu den interessanteren Fragen bei diesem Vorgang, auf die ich auch zu gern eine Antwort bekäme. Leider wird so etwas wohl niemals in der Scheiß-Milliardärspresse der BRD stehen. Wer sich in der BRD auf die Verschwiegenheit der Justiz, der Staatsanwaltschaft und der Gehilfen der Staatsanwaltschaft (Polizeien) verlässt, ist ganz offensichtlich verlassen, da werden auch persönliche Daten munter an die widerwärtigen Gefühlsausbeuter der ganz besonders fragwürdigen Journaille rausgerückt, die damit dann so richtig Meinung macht. Wir wissens ja alle:

Was ein BH ist für die Weiber / das sind fürs Volk die Presseschreiber. / Denn beide drücken ganz enorm / die Massen zu gewünschter Form.

Genau.

Ach so, Burda! Natürlich könnt ihr auch versuchen, diesen Text und diesen Mirror des Bildes mit Drohgesten und Briefen mit einschüchterndem Text und Briefkopf wegzensieren zu lassen, und vielleicht schafft ihr das sogar. Das nützt euch nur nicht mehr viel. Im Gegensatz zu euch herzzerfressenen Astlöchern habe ich nicht vor, davon zu leben, dass ich den Menschen künstlich geschürte Emotionen für Geld verkaufe, und deshalb publiziere ich alles unter den wenig einschränkenden Bedingungen der Piratenlizenz. Das hat zur Folge, dass es von allen möglichen und unmöglichen Leuten an vielen Stellen des Internet gespiegelt wird, und obwohl ich nicht mit jedem Betreiber eines Mirrors inhaltlich übereinstimme, bin ich weiterhin über jeden einzelnen Mirror froh, weil ich mir der geldherrschaftlichen Zensurbestrebungen in der BRD sehr bewusst bin. Das ist nicht mehr so einfach für euch geldherrschaftliche Zensoren zu handhaben wie die unendlich bequeme, künstliche Zentralisierung der Kommunikation übers Web-Zwo-Null. Spätestens jetzt kriegt ihrs nicht mehr aus dem Netz, also lebt damit! Lebt auch damit, dass das Internet nichts vergisst! Und wenn ihr meint, ihr könntet mich vielleicht juristisch einschüchtern: Ich bin obdachlos und lebe vom Betteln, habe nichts mehr zu verlieren und empfände einen Gefängnisaufenthalt (immerhin ein Dach übern Kopf und regelmäßige Mahlzeiten) beinahe als einen Urlaub. Immer nur zu! Für eine gewisse Öffentlichkeit, die interessiert zuschaute, wie ihr mit Kanonen auf Spatzen schießt, würde ich schon selbst sorgen.

Nachtrag: Einen weiteren Mirror des blumigen Fleurop-Telegrammes gibt es bei Stefan Niggemeier: Sonnengrüße von der Tanja May — so langsam werde ich mir sicher, dass der Vorgang die gebührende Aufmerksamkeit bekommt. [Danke, Dauni!]

Nachtrag Zwei: Wer Zweifel an der Echtheit des unglaublich herzkalten und dreisten Blümchenschriebs hat, muss sich wohl vorerst auf die Zusicherung von Jörg Kachelmann verlassen: „Das Dokument ist echt und liegt im Original vor“ — ich habe nicht den Schimmer eines Zweifels daran gehabt.

Datenschutz? So Nie!

Wer wissen möchte, warum man auch großen Firmen mit einer unbestrittenen Reputation nach Möglichkeit keine persönlichen Daten anvertrauen sollte: Bitte an den PSN-Hack bei Sony denken.

Viele Nutzer von PSN und Qriocity haben in den letzten Tagen eine Mail erhalten, aus der unter anderem Folgendes hervorgeht (Hervorhebungen im Zitat sind von mir):

Auch wenn wir derzeit noch bei der Untersuchung aller relevanten Details zu dem Vorfall sind, meinen wir, dass sich eine unbefugte Person Zugriff zu folgenden persönlichen Daten verschaffen konnte: Name, Adresse (Stadt, Bundesland, Postleitzahl), Land, E-Mail Adresse, Geburtsdatum, PlayStation Network / Qriocity Passwort und Login sowie PSN Online ID. Es kann darüber hinaus möglich sein, dass auch Ihre Profilangaben widerrechtlich abgerufen wurden inklusive Ihrer Kaufhistorie und Ihrer Rechnungsanschrift (Stadt, Bundesland, Postleitzahl). Falls Sie einem zweiten Konto für einen Unterhaltsberechtigten zugestimmt haben, kann es sein, dass oben genannte Angaben Ihres Unterhaltsberechtigten ebenfalls angeeignet wurden. Obwohl es derzeit keine Anzeichen dafür gibt, dass auf Kreditkarteninformationen widerrechtlich zugegriffen wurden, können wir diese Möglichkeit nicht gänzlich außer Betracht lassen […]

[Danke S., für die Weiterleitung der Mail, die übrigens wie eine Spam ohne persönliche Anrede daherkommt, obwohl auf Seiten Sonys ein Name bekannt ist.]

Betroffen von diesem kriminellen Angriff sind rund einhundert Millionen Sony-Kunden.

SoNieErmöglicht wurde das massenhafte Abgreifen von Daten durch äußerste Nachlässigkeit mit der Internet-Sicherheit. Es wurde veraltete Serversoftware mit allgemein bekannten, von Angreifern ausbeutbaren Lücken verwendet und es gab keine üblichen Absicherungen gegen solche Angriffe. Diese Probleme waren auch auf Seiten Sonys bekannt. Die gleiche Firma, die ihre Kunden so gern mit DRM (am besten als digital restrictrion management) in ihren völlig entbehrlichen Produkten knechtet und dabei vor noch gar nicht so langer Zeit nicht einmal davor zurückschreckte, Audio-CDs auf den Markt zu werfen, die mit heimlich installierter, perfide programmierter und gefährlicher Schadsoftware das Auslesen der Musikstücke verhinderten, diese Firma hat selbst keinerlei Mühe darauf verwendet, die angesammelten Kundendaten in irgendeiner Weise abzusichern.

Oder kurz gesagt: Sony sind seine Kunden scheißegal.

Sicher, die sollen kaufen und bezahlen, die sollen sich darüber freuen, dass sie ihr Geld für enteignende und entrechtende DRM-Scheiße ausgeben; die sollen sich auch ja nicht an eine Zeit erinnern, in der Computerspiele auch ohne Internetzugang möglich waren — aber dass sich das mit einer so „großen“ Wertschätzung der Kunden verbände, so dass auch nur die üblichen Investitionen in die Sicherheit der Internetanwendungen gemacht würden, um die akkumulierten Kundendaten zu sichern, das wäre doch zu viel verlangt. Und dass man ein paar kompetente Administratoren damit beschäftigte, die mit dem Internet verbundenen Datenverarbeitungsanlagen — jeder Recher mit einer Internet-Verbindung ist ein Opferrechner, und wo sich die Beute so sehr lohnt, da kommen Täter irgendwann ganz sicher — überwachten und auf einen leidlich sicheren technischen Stand hielten… ach nein, die Leute müsste man ja bezahlen, das kostete ja Geld, und das kann man doch auch einsparen. Das ist ja auch besser für den Profit. Es ist ja auch nicht in erster Linie Sonys Problem, wenn Kreditkartendaten von Kriminellen benutzt werden und durch den Missbrauch der Identitäten der Kunden teilweise große Schäden entstehen, sondern es ist das Problem der Kunden und ihrer Banken. Genau so, wie das Mailpostfach voller Spam und krimineller Attacken nicht ein Problem Sonys, sondern ein Problem der Kunden ist.

Welche „Kaufempfehlung“ für Sony-Produkte aus diesem Vorgang hervorgeht, erklärt sich hoffentlich von selbst.

Welche viel allgemeinere Empfehlung für den Umgang mit persönlichen Daten aus diesem Vorgang hervorgeht, sollte aber genau so klar sein. Auch große wirtschaftliche Unternehmen sind nicht vertrauenswürdig. Ihr Agieren ist darauf gerichtet, Gewinn zu erwirtschaften, und dabei können berechtigte und vernünftige Ansprüche ihrer Kunden — in diesem Fall: der berechtigte und vernünftige Anspruch auf die Sicherheit persönlicher Daten — schon einmal auf der Strecke bleiben.

Hier nur ein kleines Zahlenspiel, um das Volumen der von Kriminellen bei Sony abgegriffenen Daten etwas fassbarer zu machen.

Es soll sich um ungefähr 100 Millionen Datensätze mit folgenden Merkmalen pro Datensatz handeln:

  • Name
  • Anschrift
  • Wohnort
  • PLZ
  • Staat
  • Geburtstag
  • Passwort
  • Login
  • eine ominöse ID
  • vielleicht noch Kreditkartendaten
  • vielleicht eine Rechnungsanschrift

Wenn man für diese Felder „mal eben schnell“ eine durchschnittliche Feldlänge schätzt, kommt man pro Datensatz auf folgende Datenmengen:

  • 16 Zeichen für Vor- und Nachnamen
  • 16 Zeichen für die Anschrift
  • 10 Zeichen für den Wohnort
  • 5 Zeichen für die Postleitzahl
  • 3 Zeichen ISO-Code für den Staat
  • 8 Zeichen für den Geburtstag
  • 64 Zeichen für das (hoffentlich gehashte) Passwort
  • 10 Zeichen für die Login-Kennung
  • 8 Zeichen für die ID

Das macht beim sicher eingeräumten Volumen der mitgenommenen Daten, wenn man einmal ein Byte pro Zeichen annimmt und eher technische Zusatzinformationen (Feldtrennung, Trennung zwischen den Datensätzen) ignoriert, 140 Bytes pro Datensatz. Bei 100 Millionen Datensätzen ergibt sich so, dass rund 13 Gigabyte Daten von Sonys Servern abgegriffen wurden. Wird die Rechnungsanschrift mitberücksichtigt, wurden rund 17 Gigabyte Daten abgegriffen, und nimmt man für die Kreditkartendaten einmal 20 Byte an, so handelt es sich, falls diese auch in die Hände der Verbrecher gelangt sind, was übrigens wahrscheinlich ist, um satte 20 Gigabyte Daten. Da in dieser Betrachtung technische Elemente in den abgegriffenen Datensätzen ignoriert wurden, ist das wirkliche Volumen um einen unbekannten Betrag höher.

Selbst über schnelle Internetanbindungen lässt sich eine derartige Datenmenge nicht „mal eben in ein paar Minuten“ übertragen, das Abgreifen der Daten muss also bei üblichen Downloadraten mehrere Stunden gedauert haben.

Und in dieser ganzen Zeit ist es bei Sony keinem technischen Administrator aufgefallen, dass plötzlich in der Größenordnung von mindestens 13 Gigabyte Daten aus den Kundendatenbanken möglicherweise in einer Transaktion an eine einzige IP-Adresse gesendet werden. Aber selbst, wenn das Abgreifen der Daten über ein Botnetz erfolgte, wäre ein solcher Vorgang auffällig.

Es gibt dafür nur eine Erklärung: So etwas wie ein Monitoring der betroffenen Server durch dafür bezahlte Administratoren hat nicht stattgefunden — denn bei einer derartigen Transaktion sollten schnell alle Alarmglocken klingeln. Das Geld, das für eine technische Überwachung und Betreuung der Sony-Rechenzentren ausgegeben werden müsste, wurde von Sony einfach eingespart, weil Sicherheit „zu viel Geld kostet“ — eventuelle Schäden haben ja andere. Eben die Kunden. Und die sind Sony ja scheißegal, solange sie sich am Geldbeutel melken lassen.

Dass ein derartiges Monitoring nicht stattgefunden hat, passt übrigens prächtig dazu, dass nicht einmal die verwendete Serversoftware auf einen aktuellen und gegen Angriffe sicheren Stand gebracht wurde — für die Durchführung solcher elementarer Tätigkeiten für die IT-Sicherheit hätte man ja bei Sony jemanden beschäftigen und bezahlen müssen. Wie schon gesagt, bei der gleichen Firma Sony, die ihre Kunden mit DRM an allen Ecken und Enden gängelt.

Alle Ächtung!

Zwei Tweets aus dem hannöverschen Nahverkehr

hier kamen gerade zivilpolizisten oder aehnliches durch, die ausweis/pass sehen wollten, und name gebdatum & ausweisnr. per handy zum... prüfen durchgegeben haben. von jedem einzelnen fahrgast. ja, spinnen die eigentlich?

Zum Nachlesen dieser kleinen Alltagsszene aus der BRD: Tweet 1, Tweet 2.