StudiVZ Bashing – ich mache mit

StudiVZ – Das Studentenverzeichnis

2004 wurde in Cambridge, Massachusetts Facebook gegründet. Facebook ist ein klassischer Vertreter des Web 2.0 nach dem AAL (Andere Arbeiten Lassen) Prinzip. Die Idee ist, eine Plattform zu erschaffen, wo sich Studenten, Professoren und Alumni treffen und über Universitätsgrenzen hinweg Kontakt halten, sich über ihre Interessen austauschen und nach gleichgesinnten suchen. Man könnte es als die informelle Variante von XING (OpenBC) bezeichnen. Wie das bei solchen Netzwerken, die auf der Kommunikation zwischen Menschen beruhen, nun mal so ist, muß man zuerst die Plattform mit persönlichen Daten füttern, bevor man sich auf die Suche nach Gleichgesinnten macht. Die Daten, die Abgefragt werden, beginnen mit dem eigenen Namen (nicht Pseudonym oder Nickname, sonder Vor- und Nachname) und dem Geburtsdatum, werden aber schnell um Adressen, Schul- und Universitätslaufbahn, Hobbies, Fotos und ähnlichem angereichert. Facebook wurde ein riesen Erfolg, aber vor allem im Englisch-Sprachigen Raum. Und wie das mit erfolgreichen Geschäftsideen nun mal so ist, werden diese oft und fleißig kopiert.
Die deutsche Variante von Facebook nennt sich StudiVZ. Ob die Ursprüngliche Idee wirklich den Aufbau und Betrieb einer solchen Seite war oder ob man auf ein flottes gekauft werden wie damals bei Alando setzte ist leider nicht klar und inzwischen auch egal. Holtzbrinck hat sich StudiVZ Anfang des Jahres für über 50 Millionen gekauft und somit sind die Gründer zwar finanziell fein raus, aber der Betrieb der Plattform hängt ihnen noch an der Backe. Nun könnte man Fragen, was den die Schwierigkeit am Betrieb einer solchen Plattform sei und schnell würden sich drei zentrale Probleme herauskristallisieren:

  1. Finanzierung
  2. Performanz
  3. Sicherheit

Und in dieser Reihenfolge haben sich die Gründer des StudiVZ an die Probleme gesetzt. Schnell wurde Gründerkapital aufgetrieben und die Seite aufgebaut. Zu Anfangs noch mit dem selben Design von Facebook (blaue Farbe) und gleichlautenden Skriptnamen (ob da jemand den Sourcecode von Facebook verwendet hat?), aber schnell mit eigenständigem Getue („Gruscheln“ als Bezeichnung für das ansprechen anderer Nutzer). Als nächstes wurde massives Marketing betrieben, um der Plattform Nutzer zu zu führen. Im Herbst letzten Jahres gings dann richtig los mit stark steigenden Nutzerzahlen. Jetzt kümmerte man sich auch etwas um den zweiten Punkt aus der Liste, die Performanz. Aber natürlich erst, als es erste Probleme gab. Das Thema Sicherheit spielte aber noch keine Rolle. Stichpunkthaft nun Sicherheitsprobleme aller Arten bei StudiVZ in chronologischer Reihenfolge der Entdeckung:
(Yamb.Beta ist nicht mehr, der Autor Jörg-Olaf Schäfer hat das Blog geschlossen)

  • Profilbilder von außen ohne Login einsehbar (Yamb.Beta)
  • Bilder aus „privaten“ Fotogalerien von außen ohne Login einsehbar (Yamb.Beta)
  • „private“ Freundesliste von jedem Nutzer einsehbar (Yamb.Beta)
  • Stalking im größeren Stil (Yamb.Beta)
  • Suchen in privaten Daten geschützter Profile (Yamb.Beta)
  • Mehrere Cross-Scripting-Lücken (heise newsticker)
  • Berechnung der Nutzer IDs, Adressen von Fotos und Fotoalben geknackt (Yamb.Beta)
  • Abrufen der Nutzerdaten sämtlicher Nutzer per kleinem Skript möglich (Yamb.Beta)
  • Sich selbst in geschlossene Nutzergruppen einladen (Yamb.Beta)
  • etc. etc. etc

Diese ganze Liste an Sicherheitslücken, die zT auch extrem ausgenutzt wurden (Auslesen der Nutzerdaten in externe Datenbanken) fanden sich in dem kurzem Zeitraum von nur 2 Wochen Ende November. Es wurde anschließend wieder ruhiger, es wurden aber weiterhin Lücken gefunden.
Jetzt aber, genauer gesagt Gestern, wurde aus den Lücken ein Loch. Ein Hacker hat es geschaft, die Login-Daten der Nutzer auszulesen, d.h. die Login-Daten, eMail-Adressen und die Freundschaftslisten (Yamb.Beta). Nun ist das natürlich ein riesen Problem, doch eingrenzbar. Denkt man sich so. Als erfahrener Nutzer, der für verschiedene Webseiten verschiedene Logins verwendet. Sieht man sich aber die stoische Ruhe an, die die Nutzer bisher an den Tag legten und mit welcher Ignoranz sie über die Probleme von StudiVZ hinweg sehen, so nehme ich an, daß viele der Nutzer auf vielen Webseiten die selben Login-Daten wie bei StudiVZ verwendet haben werden. Ich möchte mir die Welle der Amazon oder eBay-Betrügereien gar nicht ausmalen, die in der nächsten Zeit auf uns zurollen wird. Ganz abgesehen davon, daß der Hacker nun 1,4 Millionen eMail-Adressen in der Hand hat, deren Nutzerprofil recht klar umrissen werden kann: 18-30 Jahre alt, Abitur oder Studienabschluß, offen für allerlei Webspielereien. Selbst wenn rund ein Drittel der eMail-Adressen inzwischen ungültig (einmal Adressen für Fake-Accounts, etc) sind, haben alleine die verbliebenen 1 Mio Adressen einen nettern Wert bei den Herren und Damen Spamversendern.

Stichworte zu diesem Artikel: ,,,,

4 Kommentare ↓

#1 Facebook - Vom Social Network zum Single-Sign-On-System? » Marnems Sicht der Dinge am 28.06.07 um 02:18

[…] hat aber riesigen Erfolg, einen so großen, dass es sogar erfolgreiche Clones gibt, zB das unsägliche StudiVZ. Vor vier Wochen hat Facebook F8 vorgestellt, eine Schnittstelle über die externe […]

#2 Fotos von eleganten und halb-nackte Studentinnen — Marnems Sicht der Dinge am 20.08.07 um 13:03

[…] natürlich nicht, sowas. Außer, man(n) ist beim studiVZ angestellt, denn dann muss man davon nicht nur träumen, sondern kann sich sogar auf handfeste […]

#3 Die Konkurrenz des blasen.VZ verkrümelt sich — Marnems Sicht der Dinge am 08.10.07 um 02:12

[…] Hier zeigt sich, mal wieder, die Problematik des Internets, wenn man es unvorsichtig nutzt. Man sollte für jede Webseite ein anderes Passwort und evtl durchaus auch einen anderen Benutzernamen nutzen. Das Nutzerdaten bei “VZ” Verzeichnissen aber nicht sicher sind, ist ja schon mehrfach aufgefallen. […]

#4 Marco am 12.03.09 um 14:43

Ein paar Jahre später.. studiVZ dümpelt vor sich hin :(

Hinterlassen Sie einen Kommentar


Kommentieren sie zum ersten Mal in diesem Blog? Dann wird Ihr Kommentar erst angezeigt, nachdem Marnem ihn freigeschalten hat. Bitte haben Sie dafür Verständnis.
Welche Daten über Sie gespeichert wurden, können Sie in der Datenschutzerklärung nachlesen.