Nach der letzten grossen Abschaltung, als eine Reihe von Sicherheitslecks beim skandalerschütterten Startup StudiVZ bekannt wurden, verlautete aus dem Bonker Hauptquartier des üppig finanzierten Startups folgendes:

Wir haben an verschiedenen Stellen Mechanismen eingebaut, um automatisierte Profilabfragen und automatisierten Nachrichtenversand zu erschweren.
Wir haben einen automatischen Mechanismus zum Erkennen von Crawlingversuchen installiert.

Schliesslich hatte es hier eine Anleitung gegeben, wie man ganz bequem die Datenbank von StudiVZ weitgehend leer saugen kann, um damit allerlei Schabernack (etwa Profiling) zu betreiben. Das hat StudiVZ mehr oder weniger eingestanden, aber ohne die Nutzer über die wirkliche Brisanz der Lücke aufzuklären. Ausserdem behauptet StudiVZ

Datenschutz ist uns wichtig!
[…]
Wir werden deine personenbezogenen Daten niemals zu Werbe- oder Marketingzwecken an Dritte weitergeben oder anderweitig Dritten zugänglich machen.

Kann, je nach Interpretation dieser Worte, schon so sein. Jetzt ist es aber so, dass StudiVZ momentan, gerade jetzt, für das Abgrasen sämtlicher nicht geschützter, personenbezogener Daten wie Freundeslisten, Bilder und Gruppenzugehörigkeit offen wie ein Scheunentor ist. Alles, was man braucht, ist wie schon im ersten Fall ein Script, das, mit der richtigen, lückenversehenen URL ausgestattet, sich munter durch StudiVZ wühlt. Trotz obiger Versprechungen funktioniert das reibungslos, wie man mir in den ülicherweise wohlinformierten Kreisen versichert hat. Ich habe es natürlich – nichtautomatisiert – auch probiert, und tatsächlich, es geht.

Jeder verantwortungsbewusste Seitenbetreiber würde jetzt sein System runterfahren, die Lücke suchen und schliessen. StudiVZ macht das bekanntlich anders, die lassen ihr System lieber anderthalb Stunden offen, selbst bei wirklich schweren Sicherheitsproblemen, und reparieren am offenen Herzen. Mit Datenschutz hat sowas nichts zu tun. Deshalb verändern wir jetzt mal die Regeln für den Wettlauf StudiVZ-Hase vs. Blogbar-Igel zu Ungunsten des Hasen. Ich veröffentliche hier die für das Abgrasen verwendbare Lücke, und zwar als später nachvollziehbar kryptographierte URL:

http://www.studivz.net/rzofmbki4gg6uuo0bdnd5aykp9

StudiVZ kann jetzt

– versuchen, den Code zu knacken (Die auf deutschen U-Booten verwendete Enigma war ein Dreck dagegen ;-))
– endlich anfangen, ihr komplett unsicheres System zu schützen
– eine Woche warten, bis ich den Schlüssel zum Code veröffentliche und zuschauen, wie vermutlich eine ganze Reihe von interessierten Leuten ihre Saugrüssel in die Datenbank stecken. Denn wenn sogar ich verstehe, wie das geht, kann das jder Hilfstekkie bei Springer auch – und die sparen sich, wenn das Gerücht stimmt, eine Menge Geld beim Kauf von Daten, die bald jeder haben kann.
-versuchsweise 256.000 Euro an mich überweisen ;-).

So richtig sinnvoll dürfte ander nur die zweite Alternative sein. Mal schaun, wie ernst sie jetzt den Schutz der Daten ihrer User nehmen. Wenn da jemand sitzen sollte, der Ahnung vom Thema hat, sollte es nicht schwer sein. Wenn nicht – tja. Selbst schuld, wie das typische Studi-VZ-nahe Spamschwein hier oft zu sagen pflegt. Im Ernst, wenn die es nicht finden, dann macht es keinen Sinn, denen was zu sagen. Dann ist es reine Flickerei an einem Sieb.