Super GAU bei StudiVZ

Super GAU bei StudiVZ

27. Februar 2007, 22:22 Uhr Derber Shit, Alter! Halla

Früher oder später musste es einfach so kommen: Ein Angreifer hat es offensichtlich geschafft, sich Zugriff auf die StudiVZ-Datenbank zu verschaffen und so E-Mail-Adressen, Zugangsdaten und Freundschaftsverbindungen auszulesen.

Schon oft wurde in der Vergangenheit darüber spekuliert, daß es möglich wäre, die Daten mittels eines Crawlers direkt aus dem Frontend zu parsen und zu speichern. Sollte nun aber der tatsächliche Zugriff auf die Datenbank gelungen sein (so liest sich zumindest die entsprechende Meldung auf golem.de), so hätte dieser Angriff eine völlig neue Qualität, da hier neben Passwörtern auch reichlich nicht-öffentliche Daten abgelegt sind. Was genau passiert ist, ist wohl noch nicht so ganz klar. Allerdings ist StudiVZ im Moment komplett vom Netz und die Passwörter aller User werden von den Betreibern zurückgesetzt - sowas läßt sich bei einer produktiven Site nur als SuperGAU bezeichnen. Die Betreiber sehen das wohl ähnlich, nicht umsonst wurde erstmals aufgrund eines Angriffs Strafanzeige gestellt.

Was die gestohlenen Passwörter angeht: Auch wenn es alarmierend klingt, dieses Problem dürfte im Moment noch das kleinste sein. Passwörter werden in Datenbanken niemals im Klartext abgelegt (zumindest wenn die Programmierer auch nur einen Funken Sachverstand besitzen), sondern immer nur durch bestimmte Algorithmen verschlüsselt gespeichert (sog. Hashes), sodaß der Angreifer mit diesen Passwörtern vorläufig nichts anfangen kann (zumindest nicht, bis er die Hashes zurückrechnen konnte). Trotzdem bin ich gerade ganz froh darum, daß ich für StudiVZ ein anderes Passwort als für meinen Mailaccount hatte…

Es wäre wünschenswert, dass die Betreiber genau bekannt geben, welche Daten in welchem Umfang betroffen sind. Allerdings habe ich die leise Ahnung, daß nichts dergleichen passieren wird.

Nur damit wir uns richtig verstehen: Dieser Angriff ist der absolute Worst-Case, schlimmer hätte es nicht mehr kommen können. Sollte der Angreifer Zugriff auf die gesamte Datenbank und damit die Userdaten gehabt haben (was ich nicht hoffe!) und wäre StudiVZ ein Unternehmen (und keine Community), dann könnte man jetzt wohl das Büro abschließen und heimgehen.

Hoppla - ich vergaß…
StudiVZ ist ja Holtzbrinck. Und damit durchaus ein Unternehmen.

9 Kommentare für “Super GAU bei StudiVZ”

  1. 1 MrSlawa schrieb am 27. Februar 2007 um 22:47 Uhr:

    ^^ Typisch StudiVZ.
    Ich habe schon lange erwartet, dass so etwas kommt. Man ist selber schuld, wenn man bei solchen Seiten zu viele persönliche Daten angibt… vor allem wenn man auf die Geschichte von StudiVZ zurückblickt.

  2. 2 Halla schrieb am 27. Februar 2007 um 23:22 Uhr:

    Da hast Du absolut recht…

    Zwar habe ich nicht wirklich private Daten dort angegeben gehabt, aber an dem Tag, an dem StudiVZ von Holtzbrinck übernommen wurde, habe ich sämtliche Fotos von mir (abgesehen von einem Profilbild) und alle Daten im Profil gelöscht. Und wurde ob meiner Paranoia belächelt…

    Naja, wer zuletzt lacht, lacht am besten.
    Ich befürchte nur, daß die Daten zu keinem Zeitpunkt wirklich aus der Datenbank gelöscht wurden, sodern lediglich mit einem Delete-Flag versehen wurden… :-(

  3. 3 Kasi-Blog schrieb am 27. Februar 2007 um 23:37 Uhr:

    Ist der Datenschutz bei StudiVZ auf den Hund gekommen?…

    ……

  4. 4 Webworkblogger schrieb am 28. Februar 2007 um 01:16 Uhr:

    Privatsphäre ade: StudiVZ jetzt wohl endgültig gehackt! …

    Ich hacke prinzipiell nicht auf Unternehmen herum. Große Bashing Orgien halte ich meist für unkonstruktiv und selten in dem Ausmaß gerechtfertigt, wie sie ausgeübt werden. Aber nach der aktuellen Entwicklung um das StudiVZ muss ich dazu schreiben. …

  5. 5 Gunars Blog rund um die Themen Technologie und Gesellschaft » Blog Archive » Erst Foren jetzt StudiVZ, Sicherheit ist nur trügerisch.Netzwerke, Sicherheit, sicherheitslücke web 2.0 schrieb am 28. Februar 2007 um 05:14 Uhr:

    […] realityontherocks.com […]

  6. 6 Kasi-Blog schrieb am 28. Februar 2007 um 11:42 Uhr:

    Anleitung zum StudiVZ-Hack…

    Heute morgen erhielt ich eine Email von Hoebot:
    Hallo Karsten!
    Zusammen mit einem Mitstudenten und einem Dozenten haben wir Bots für
    das Studivz gescriptet…
    Sie können Auto-Gruscheln, Auto-Pinnwand-schreiben, Flirt-Tipps an
    Singles schicken und…

  7. 7 .:lay-z-cow:. schrieb am 28. Februar 2007 um 16:55 Uhr:

    Tja… das witzige daran ist ja, jeder weiß, dass die Daten irgendwie noch nie so richtig sicher waren, jeder beschwert sich darüber, aber im Endeffekt bleiben 99,9% trotzdem Mitglied… Da würde ich auch nichts an meinem Programm ändern. *gg*

    Aber dieser Crawler hier ist schon der Wahnsinn:

    Auch noch so hübsch an die CI angepasst. ;)

  8. 8 StudiVZ-Nutzerdaten ausgespäht. Sicherheitslecks wurden von facebook mit kopiert! « StudiVZ Inside - Jeden Tag ein neuer GAU! schrieb am 3. März 2008 um 10:16 Uhr:

    […] Super Gau bei Studi VZ […]

  9. 9 Privatsphäre ade: StudiVZ jetzt wohl endgültig gehackt! : WebWorkBlogger schrieb am 26. Juli 2008 um 18:24 Uhr:

    […] Reality on the Rocks: Super Gau bei StudiVZ […]

Mein Kommentar dazu: