MySpace-Exploit Bewährungsstrafen für Hacker

Das Phänomen MySpace ist nicht aufzuhalten. Mit über 150 Millionen Usern gilt das kalifornische Unternehmen als Inbegriff des Web 2.0 Hypes - und jeden Tag kommen schätzungsweise 300.000 hinzu. Dies führt mit sich, daß, neben der Fülle an öffentlicher Information, die Firma auch über einen riesigen Bestand an persönlichen Daten verfügt, welche die User bei der Registrierung im guten Glauben hinterlassen. Eine Goldgrube für Phisher also? Zwei amerikanische Teenager fanden einen Exploit - und sind mit Bewährungsstrafen davon gekommen. Die Staatsanwaltschaft forderte vier Jahre Gefängnis.

Es fing damit an, daß Anfang 2006 zwei New Yorker Jugendliche, Shaun Harrison und Saverio Mondelli (damals 18 und 19), einen Exploit in MySpace fanden, der ihnen erlaubte, die IPs und Email-Adressen von registrierten MySpace-Nutzern, die ein MySpace-Profil besuchten, zu loggen. Für $29.95 sollen die Beiden den entsprechenden Code zum Verkauf angeboten haben, der den Käufern ermöglicht hätte, das zu tun, was von den Nutzungsbedingungen von MySpace nicht vorgesehen war - die Besucher ihrer Profile ziemlich genau zu lokalisieren. Theoretisch wäre damit zum Beispiel Stalkern Tür und Tor geöffnet.

MySpace bemerkte den Exploit jedoch recht schnell, behob ihn und schickte Harrison und Mondelli eine Unterlassungserklärung. Die enttäuschten Hacker gingen daraufhin auf's Ganze - sie forderten von MySpace eine "Beratergebühr" von 150.000 Dollar ein. Die Firma willigte zum Schein ein, schaltete aber gleichzeitig die Polizei zu. Bei einem gestellten Treffen in Los Angeles im Mai 2006 wurden die übermutigen New Yorker vom FBI verhaftet.

Harrison und Mondelli wurden wegen "illegal computer access" und versuchter Erpressung angeklagt. Die Staatsanwaltschaft forderte mindestens 4 Jahre Haft. Am Montag endete der Prozeß nun - die beiden Hacker kamen mit drei Jahren Bewährung davon, da Teile der Anklage fallengelassen wurden. Daneben müssen die Beiden 160 Stunden Sozialstunden ableisten und eine Entschädigung von $13.500 an MySpace zahlen. Außerdem wurde ihr Online-Handlungsspielraum per Gerichtsbeschluß resolut eingegrenzt: nur noch eine Email-Adresse pro Person ist erlaubt, sie müssen sich jederzeit auf eine Durchsuchung ihrer Computer gefaßt machen, und schließlich bekamen sie eine Art "Hausverbot" auf MySpace.

Hemanshu Nigam, oberste Sicherheitsbeauftragte bei MySpace (und ehemaliger Staatsanwalt), ließ nach Prozeßende in einem Statement verlauten, er wolle das Urteil als eine Warnung an all diejenigen wissen, die MySpace Schaden zufügen wollen. Ob die Community-Plattform nun auch die Suche nach Exploits in ihrem System intensivieren wird, ist jedoch nicht bekannt.

• 7 Kommentare zum Artikel

• Ich weiß nicht was ihr habt, die entdecken eine Sicherheitslücke und bieten den Crack zum verkauf an (ist schon ziemlich daneben) aber dann auch noch ein erpressungsversuch . Die können froh sein das sie so gut davongekommen sind.

  c3p am 28.02.2007 12:07

• Zitat: Zitat von c3p Die können froh sein das sie so gut davongekommen sind. Meine Meinung, erst für nonsense hacken, dann auch noch Geld mit dem eigenen Verbrechen verdienen, und dann auch noch Geld erpressen mit dem eigenen Verbrechen, das ist schon heavy.

  Crev Voran am 28.02.2007 13:22

• Ich weiss nicht, wie ihr auf "Erpressung" kommt. Gewiss, die Forderung ist dreist, aber imho noch keine Erpressung. Aber dass man als Strafe Persönlichkeitsrechte/Privatsphäre aufheben darf - aua. Damit sind ja die Persönlichkeitsrechte der anderen Menschen, die ggf. den selben Computer benutzen, gleich mit ausgehebelt.

  Bewa am 28.02.2007 15:24

• tja im Gegensatz zu MySpace sind zwei jugendliche den USA halt recht egal. Mal abgesehen davon halte ich eine Geldstrafe und erst recht die Einschränkung von Persönlichkeitsrechten für unangemessen. Diese 13.000 $ gehen MySpace sowas von am Ar*** vorbei, für die Jugendlichen bedeutet diese Strafe jedoch einen enormen Verlust. Die 160 Sozialstunden und eine Bewährungsstrafe hätten völlig ausgereicht.

  tpc am 28.02.2007 17:16
• [...] Diskussion lesen oder Artikel kommentieren