- Marnems Sicht der Dinge - http://www.marnem.de/blog -

StudiVZ Bashing – ich mache mit

StudiVZ – Das Studentenverzeichnis

2004 wurde in Cambridge, Massachusetts Facebook [1] gegründet. Facebook ist ein klassischer Vertreter des Web 2.0 nach dem AAL (Andere Arbeiten Lassen) Prinzip. Die Idee ist, eine Plattform zu erschaffen, wo sich Studenten, Professoren und Alumni treffen und über Universitätsgrenzen hinweg Kontakt halten, sich über ihre Interessen austauschen und nach gleichgesinnten suchen. Man könnte es als die informelle Variante von XING (OpenBC) [2] bezeichnen. Wie das bei solchen Netzwerken, die auf der Kommunikation zwischen Menschen beruhen, nun mal so ist, muß man zuerst die Plattform mit persönlichen Daten füttern, bevor man sich auf die Suche nach Gleichgesinnten macht. Die Daten, die Abgefragt werden, beginnen mit dem eigenen Namen (nicht Pseudonym oder Nickname, sonder Vor- und Nachname) und dem Geburtsdatum, werden aber schnell um Adressen, Schul- und Universitätslaufbahn, Hobbies, Fotos und ähnlichem angereichert. Facebook wurde ein riesen Erfolg, aber vor allem im Englisch-Sprachigen Raum. Und wie das mit erfolgreichen Geschäftsideen nun mal so ist, werden diese oft und fleißig kopiert.
Die deutsche Variante von Facebook nennt sich StudiVZ [3]. Ob die Ursprüngliche Idee wirklich den Aufbau und Betrieb einer solchen Seite war oder ob man auf ein flottes gekauft werden wie damals bei Alando [4] setzte ist leider nicht klar und inzwischen auch egal. Holtzbrinck hat sich StudiVZ Anfang des Jahres für über 50 Millionen gekauft und somit sind die Gründer zwar finanziell fein raus, aber der Betrieb der Plattform hängt ihnen noch an der Backe. Nun könnte man Fragen, was den die Schwierigkeit am Betrieb einer solchen Plattform sei und schnell würden sich drei zentrale Probleme herauskristallisieren:

  1. Finanzierung
  2. Performanz
  3. Sicherheit

Und in dieser Reihenfolge haben sich die Gründer des StudiVZ an die Probleme gesetzt. Schnell wurde Gründerkapital aufgetrieben und die Seite aufgebaut. Zu Anfangs noch mit dem selben Design von Facebook (blaue Farbe) und gleichlautenden Skriptnamen (ob da jemand den Sourcecode von Facebook verwendet hat?), aber schnell mit eigenständigem Getue („Gruscheln“ als Bezeichnung für das ansprechen anderer Nutzer). Als nächstes wurde massives Marketing betrieben, um der Plattform Nutzer zu zu führen. Im Herbst letzten Jahres gings dann richtig los mit stark steigenden Nutzerzahlen. Jetzt kümmerte man sich auch etwas um den zweiten Punkt aus der Liste, die Performanz. Aber natürlich erst, als es erste Probleme gab. Das Thema Sicherheit spielte aber noch keine Rolle. Stichpunkthaft nun Sicherheitsprobleme aller Arten bei StudiVZ in chronologischer Reihenfolge der Entdeckung:
(Yamb.Beta ist nicht mehr, der Autor Jörg-Olaf Schäfer hat das Blog geschlossen)

Diese ganze Liste an Sicherheitslücken, die zT auch extrem ausgenutzt wurden (Auslesen der Nutzerdaten in externe Datenbanken) fanden sich in dem kurzem Zeitraum von nur 2 Wochen Ende November. Es wurde anschließend wieder ruhiger, es wurden aber weiterhin Lücken gefunden.
Jetzt aber, genauer gesagt Gestern, wurde aus den Lücken ein Loch. Ein Hacker hat es geschaft, die Login-Daten der Nutzer auszulesen, d.h. die Login-Daten, eMail-Adressen und die Freundschaftslisten (Yamb.Beta [14]). Nun ist das natürlich ein riesen Problem, doch eingrenzbar. Denkt man sich so. Als erfahrener Nutzer, der für verschiedene Webseiten verschiedene Logins verwendet. Sieht man sich aber die stoische Ruhe an, die die Nutzer bisher an den Tag legten und mit welcher Ignoranz sie über die Probleme von StudiVZ hinweg sehen, so nehme ich an, daß viele der Nutzer auf vielen Webseiten die selben Login-Daten wie bei StudiVZ verwendet haben werden. Ich möchte mir die Welle der Amazon oder eBay-Betrügereien gar nicht ausmalen, die in der nächsten Zeit auf uns zurollen wird. Ganz abgesehen davon, daß der Hacker nun 1,4 Millionen eMail-Adressen in der Hand hat, deren Nutzerprofil recht klar umrissen werden kann: 18-30 Jahre alt, Abitur oder Studienabschluß, offen für allerlei Webspielereien. Selbst wenn rund ein Drittel der eMail-Adressen inzwischen ungültig (einmal Adressen für Fake-Accounts, etc) sind, haben alleine die verbliebenen 1 Mio Adressen einen nettern Wert bei den Herren und Damen Spamversendern.