StudiVZ – Die Pleiten-, Pech- und Pannenshow

Die Datenfalle Studierendencommunity StudiVZ kommt aus den negativen Schlagzeilen nicht raus. Gestern war die Site laut heise den ganzen Tag nicht erreichbar, weil es einen Angriff gab, bei dem Userdaten wie die Emailadresse ausgelesen und innerhalb der Community veröffentlich wurden. StudiVZ schloss deshalb die Seite, stopfte die Lücke und löschte die Daten. Über eine weitere Lücke, die später bekannt wurde, konnten per XSS Sessions von Usern übernommen werden. Der Angreifer bekommt somit vollen Zugriff auf den Account des Opfers. Auch diese Lücke wurde geschlossen und auch hier mussten wieder die Server vom Netz genommen werden.

Über die sogenannte „Super-Suche“ konnte ein User außerdem Informationen herausfinden, obwohl diese privat sein sollten (entsprechende Option war aktiviert, aber anscheinend nutzlos). Laut des StudiVZ-Sprechers wurde „Programmierung von StudiVZ umgehend angepasst.“

In letzter Zeit gibt es im und um’s StudiVZ immer wieder zu Probleme. Erst kürzlich schrieb Kai über eine Stalker-Gruppe mit 700 Mitgliedern, die Bilder von hübschen Studentinnen zusammentrugen. Dass die Damen vorher nicht informiert oder gar gefragt wurden, versteht sich von selbst. Passend zu den Fotos wurden auch gleich noch Adressen (bzw. Wohnheime) angegeben. Man muss zwar zugeben, dass sowas nicht wirklich die Schuld des Unternehmens ist und in den AGB wohl auch verboten ist. Ein bitterer Beigeschmack und ein unschöner Eindruck vom Charakter des StudiVZ bleiben allerdings.

Weitere Peinlichkeiten hat sich StudiVZ-Mitgründer Ehssan Dariani geleistet. Dieser stellte selbstgedrehten Amateur-Videos von fremden Frauen in der U-Bahn oder auf Toiletten online. Auch die mißlungenen Nazi-Satire-Domains, bei denen der Reichsadler auf dem Logo des StudiVZ sitzt, kamen nicht wirklich gut an.

Auf der bereits verlinkten Spiegel-Online-Seite wird auch noch weitere Kritik am Verzeichnis geäußert. Immerhin darf man das auf der eingenen Site. Im StudiVZ selber sind entsprechende kritische Gruppen verboten:

Folgende Gruppen akzeptieren wir nicht:
Gruppen, die Kritik am StudiVZ ausüben
Gruppen, die wir nicht mögen
Gruppen für Meinungs- und Rezeptionsfreiheit

Diese Liste der StudiVZ-Pannen ist nicht ansatzweise vollständig. Einen netten Überblick über Fakten zum StudiVZ gibt es übrigens bei Karsten.

Ich wünsche weiterhin fröhliches gruscheln…

Update: Laut heise hat das Unternehmen, nach dem die Server auf Grund eines Wurms mal wieder vom Netz genommen werden mussten, eine Belohnung von 128 EUR pro Sicherheitslücke versprochen. Die Infos müssen allerdings zuerst dem StudiVZ gemeldet werden und dürfen erst nach dem Fixen des Lochs veröffentlicht werden.

Technorati Tags: , , , , ,

7 Kommentare to “StudiVZ – Die Pleiten-, Pech- und Pannenshow”

  1.  atari schrieb am 28. Nov 2006 um 16:11

    „Passend zu den Fotos wurden auch gleich noch Adressen (bzw. Wohnheime) angegeben. Man muss zwar zugeben, dass sowas nicht wirklich die Schuld des Unternehmens ist und in den AGB wohl auch verboten ist. Ein bitterer Beigeschmack und ein unschöner Eindruck vom Charakter des StudiVZ bleiben allerdings.“

    Dann wäre es noch interessanter zu wissen, warum führende Köpfe von StudiVZ um Mitgliedschaft in dieser Gruppe gebeten haben!

  2.  Greg schrieb am 28. Nov 2006 um 18:36

    Ok, da ist was dran. Ich meinte aber eigentlich die Plattform. Also eine Sicherheitslücke oder vergleichbares ist das ja nicht gewesen. Eben ein Verhaltensproblem…

  3.  tiberian schrieb am 28. Nov 2006 um 22:19

    Viel Gravierender finde ich die Tatsache, dass die ach so hochgepriesene Sicherheit im StudiVZ nicht mehr gegeben ist. Grade lese ich, dass der ID verschlüsselungsalgorithmus keine wirkliche Herausforderung ist oder jemals war. Das gibt schon zu denken, ob da nicht auch andere Sachen aus technischer Sicht völlig falsch laufen..

  4.  Greg schrieb am 29. Nov 2006 um 17:02

    Auch interessant. Aber über die Sicherheit hatte ich ja auch schon etwas geschrieben, mit den übernehmbaren Sessions. Das mit den IDs ist natürlich auch sone Sache. Dass sich das ändern wird, ist wohl auch sehr unwahrscheinlich.

    Das StudiVZ hat es mitlerweile geschafft, mir unsympatischer als Myspace zu werden.

  5.  Matthias schrieb am 30. Nov 2006 um 8:11

    Dann macht’s doch besser.

  6.  Greg schrieb am 30. Nov 2006 um 16:13

    Der Punkt ist: Wenn man die Daten der Nutzer will (darum geht es nach eigenem Bekunden), dann muss man diese halt entsprechend schützen und Mißbrauch verhindern. Wenn man das nicht kann, sollte man es einfach lassen.

    „Macht’s doch besser“ kann man immer sagen. Dann dürfte man sich kaum über etwas beschweren. Stell dir vor, du kaufst ein Auto und da funktionieren die Bremsen nicht. Dann bist du auch sauer und beschwerst dich. Soll der Hersteller dir dann sagen „dann mach’s doch besser“?

  7. [...] kann, den Verlusten von ein paar Militärdokumenten da (US-Militär), ein paar Account-Daten dort (StudiVZ-Userdaten) (Quelle: gulli.com) oder dortens (PirateBay-”Kunden”daten) (Quelle: gulli.com), den 1.5 [...]

Trackback-Adresse | RSS-Feed für die Kommentare abonnieren

Hinterlasse einen Kommentar:


(Wir behalten uns vor Kommentare von dummen Menschen entweder zu löschen oder exemplarisch für die Nachwelt zu konservieren. Dumme Kommentare mit Werbelinks müssen leider auf zweiteres Privileg verzichten.)

XHTML: Du kannst diese Tags verwenden:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>