Graswurzeln

In meinem letzten grösseren Beitrag habe ich prophezeit, dass ein Skandal, von Schweizer Bloggern veröffentlicht, nicht mehr als ein Sturm im Wasserglas wäre. Jetzt wurde ich von Sebastian auf einen eben solchen Skandal hingewiesen.

Stattgefunden hat dieser im August 2006, und sein Ablauf gibt mir, zumindest teilweise, recht.

Der Blogger und Informatiker eMeidi hatte sich in seiner Freizeit mit den Unzulänglichkeiten des Bilderportals “Partyguide” beschäftigt. Irgendwann bekam er einen Tipp bezüglich einer Sicherheitslücke bei “Partyguide”. Bei seinem ersten Hack-Versuch  hatte er freien Zugriff auf die persönlichen Daten von 190′000 Accounts.

Mit dem Know-How eines Script-Kiddies konnte sich jedermann Zugang zu Namen, Postanschriften, Mobiltelefonnummern und sogar Passwörtern aller Partyguide-Benutzer machen. Hinzu kamen die persönlichen Nachrichten, die zwischen Mitgliedern der Community ausgetauscht wurden.

Das Vorgehen erklärte eMeidi auf seinem Blog.

Nachdem eMeidi noch eine weitere Lücke publiziert hatte, wurde er von Partyguide auf die Liste der unerlaubten Wörter gesetzt (in Nachrichten wurde der Name “eMeidi” ersetzt). Im Juni 06 schliesslich veröffentlichte eMeidi seinen dritten Hack. Daraufhin wenden sich die Partyguidebetreiber mit einem Schreiben an den Arbeitgeber von eMeidi. Gleichzeitig wenden sie sich, erstmals in dieser Angelegenheit, an die Partyguidenutzer und informierten diese über ein neues Passwort. Bisher hätte es “grobfahrlässige” Passwörter gegeben, was nun nicht mehr möglich sei.

eMeidi selbst erfuhr erst im August 06 von diesem Schreiben, nachdem er bereits einen vierten Hack publiziert hatte, eine polizeiliche Befragung mit folgender Hausdurchsuchung und Konfiszierung von Server und PC über sich ergehen lassen konnte.

Im Schreiben an die Universität Bern (wo eMeidi als IT-Verantwortlicher im Departement Klinische Forschung sowie als Webmaster am Historischen Institut arbeitet) heisst es

Alle Hacker-Attacken wurden gemäss Aussage von seinem privaten PC gemacht. Es besteht keinerlei Zusammenhang zwischen der Strafanziege gegen Herrn Mario Aeby und Ihrem Institut. Wir erachten es als unsere Pflicht, Sie über die privaten Tätigkeiten Ihres Mitarbeiters zu informieren [...]

Ich weiss nicht, ob sich renommierte Institute wie die Ihren einen Webmaster mit solchen Verfehlungen leisten können oder möchten [...]

Es gab also keinerlei Veranlassung den Arbeitgeber von eMeidi anzuschreiben, mit Ausnahme der kindischen Hoffnung, ihm so persönlichen Schaden zuzufügen, in dem man seine Kündigung bewirkt. Anbetracht dessen, dass eMeidi die von ihm “erhackten” Daten niemals missbraucht hatte, sondern lediglich festhielt, DASS ein Missbrauch möglich wäre, eine unfaire Vorgehensweise.

Die Blogosphäre hat zwar reagiert (mit 4 Posts), jedoch weniger als ich es erwarten würde, wenn ein Blogger angegriffen wird. Zudem haben auch zwei Zeitungen (die BernerZeitung und “Heute”) über den Vorfall berichtet. Doch das grosse Medienecho blieb aus, trotz amüsant geschriebenem Blogbeitrag.

Auch als eMeidi ein Jahr später über eine erste Einvernahme berichtet, bleibt es still. Trotz beschämenden Verhaltens von Partyguide-Chef Jason Fellmann, der sich von einem Mitarbeiter vertreten liess. Der zweite Termin, bei dem Fellmann anwesend sein muss, ist verschoben worden. Datum unbekannt.

Die ganze Geschichte nachlesen

Natürlich ist es gut möglich (und ich hoffe das auch!), dass heute ein solcher Fall anders medialisiert würde. Die Medien und die Politiker haben mittlerweile auch in der Schweiz die Blogs entdeckt, und auch wenn ichs ungern zugebe, “Heute” hat wohl einiges dazu beigetragen.