Komische Informationspolitik bei StudiVZ

Also irgendwie ist das schon eine reichlich wirre Informationspolitik bei StudiVZ. Am Montag hieß es noch unter der Überschrift “Alles wird gut“:

studiVZ hat heute um 12 Uhr einen Phishing-Angriff bemerkt und erfolgreich abgewehrt. Um die Datensicherheit von studiVZ für die Nutzer zu gewährleisten wurde die Seite offline geschaltet. Die Seite ist im Laufe des Abends wieder online.

Heute nun findet man dort einen neuen Beitrag “studiVZ Seite offline” und darin die folgende Meldung (Hervorhebung durch mich):

Wir haben einen weiteren XSS-Angriff auf unsere Seite entdeckt. Vorsichtshalber sind wir deshalb offline.

Bisher war (offiziell zumindest) noch nie die Rede von einem XSS-Angriff bei StudiVZ. Wie man oben deutlich lesen kann, war von einem Phishing-Angriff die Rede. Aber zumindest bestätigt man bei StudiVZ damit indirekt die bisher bekannten Gerüchte. Warum man aber nicht einfach mal jemanden die Meldungen schreiben lässt, der sich ein wenig auskennt, ist mir unbegreiflich. Ich hoffe jedoch nicht, dass man diese Entdeckung von Don Alphonso als XSS-Angriff bezeichnet… Das wär dann wirklich peinlich.

Tags: , , ,

Hurra wir werden nummeriert

Kriegen wir unsere neuen Personenkennziffern eigentlich irgendwohin tätowiert? Vielleicht sogar als Barcode? Dann könnte man dem Ganzen vielleicht wenigstens noch einen modischen Aspekt abgewinnen… Wenn es datenschutzrechtlich schon mehr als bedenklich ist.

Bei der Volkszählung hagelte es noch Klagen und Proteste, damals gab es jedoch noch nicht die Möglichkeiten wie heute, personenbezogene Daten zu erfassen und zu verbinden. Warum stört es jetzt so gut wie niemanden? Interessiert es in Zeiten von Payback und StudiVZ eigentlich keine Sau mehr, was mit den persönlichen Daten geschieht?

Tags: , , ,

Legte XSS-Worm StudiVZ lahm?

StudiVZ ist seit heute Mittag nicht mehr erreichbar und inzwischen vermehren sich die Gerüchte, ein XSS-Worm hätte zum Abschalten des Dienstes durch die Betreiber geführt. Wie gesagt, es sind Gerüchte, wieviel an diesen Aussagen dran ist, können im Augenblick wohl nur die Betreiber selbst sagen. Diese jedoch hüllen sich in Schweigen. Und wenn man die letzten Tage und Wochen Revue passieren lässt ist anzunehmen, dass die Ursache für die Abschaltung wohl auch weiterhin im Dunkeln liegen bleiben wird…

Nun, es wär zumindest nicht das erste Mal, dass ein “Social Network” (bzw. die Nutzer) von einer Cross-Site-Scripting-Attacke betroffen ist: wir erinern uns an myspace. Aber, sollten die Aussagen zutreffen, die in dem folgenden Zitat eines Kommentators bei YAMB.BETA2 zu lesen sind – dann hätten sich wohl all die Warnungen und Befürchtungen der letzten Tage bewahrheitet. Sollte es wirklich so abgelaufen sein, wie es hier beschrieben wurde, wäre das ein heftiger Schlag ins Gesicht für die Betreiber und Entwickler von StudiVZ. Derartige Lücken dürfen einfach nicht auftreten, hier wurden augenscheinlich grundlegende Regeln bei der Entwicklung missachtet und die überdeutlichen Hinweise in letzter Zeit ignoriert.

Hier nun der eben erwähnte Kommentar:

XSS-Wurm!

Derzeit scheint es eher so, alsob die Notbremse wegen eines XSS-Wurmes gezogen wurde, welcher sich automatisch ueber die Pinnwand als Link verteilt hat :-)
Sobald auf diesen Gruppenlink geklickt wurde, wurde die E-Mailadresse des aktuellen Users auf eine nicht oeffentliche Pinnwand geschrieben und die Loginseite angezeigt. Das hier angegebene Passwort wurde ebenfalls auf die Pinnwand geschrieben, der User wurde auf die Gruppe “Datenschutz im StudiVZ” weitergeleitet.
Gleichzeitig lief das Skript im Hintergrund weiter, fragte die Freundesliste ab und begann damit die Pinnwaende der Freunde mit einem aus Bloecken zusammengewuerfelten Text zu beschreiben “Hallo *vorname*, schau Dir mal die Gruppe an… *url* Gruss, *vorname des users*”. Da sich das Skript zwischen Browser und Web legte (als Man-in-the-middle) und die geklickten Links per XMLHttpobj abfragte und darstellte, ist/war es moeglich, dass es im Hintergrund weiterlief und sich somit effektiver verbreiten konnte.

Bis um 11:55 der Customer Support ebenfalls auf die Gruppe klickte – 4 Minuten spaeter stand “Kaffeepause” – weitere 2 Minuten spaeter wurde der Stecker gezogen.

Ich denke eher dass _dies_ der Grund fuer den “Ausfall” ist. Ein feiner Web2.0 Wurm/Virus, der im Browser des Besuchers und mit dessen angemeldeter Session lief, das JavaScript wurde ueber den im Titel nicht geparsten Gruppennamen eingefuegt.

Web2.0, viralen Marketing,
Wurm2.0, virale Verteilung :)

Ein Beispiel von der Pinnwand (Emailadresse von mir verschleiert,Passwoerter vom Wurm direkt – er ist nicht destruktiv gebaut-):

mail|1164558979|BTjk8z|thommybee@xxx
data|1164559219|5wn3jL|2904F****
mail|1164559217|5wn3jL|timonschroeter@xxx
mail|1164559778|Xg586z|m.stoeckemann@xxx
data|1164560080|Skw2Lz|bil****
mail|1164560069|Skw2Lz|hendrik-7-schulze@xxx
data|1164559857|n7SRkg|c****
mail|1164559854|n7SRkg|christian.schumacher@xxx

Hm.. ein Grund den Stecker zu ziehen? :-)

StudiVZ – wann lernt ihr es endlich?

Schoen Gruss,
“Juergen Kuester”

Update: Vor 2 Minuten haben die Macher von StudiVZ nun ein Statement abgegeben. In ihrem Blog heißt es jetzt:

Alles wird gut

Liebe studiVZler,

liebe Blogger,

studiVZ hat heute um 12 Uhr einen Pishing-Angriff bemerkt und erfolgreich abgewehrt. Um die Datensicherheit von studiVZ für die Nutzer zu gewährleisten wurde die Seite offline geschaltet. Die Seite ist im Laufe des Abends wieder online.
Euer studiVZ Team

studivz2.png

Ich werde das jetzt NICHT kommentieren. ;)

Tags: , , , , , ,

Kippt die Vorratsdatenspeicherung?

Der Bundesgerichtshof hat nun in letzter Instanz das Urteil bestätigt: T-Online darf keine Internet-Verbindungsdaten speichern!

Dieses Urteil gilt aktuell nur für den Kläger, andere Internetnutzer sind derzeit (noch) nicht betroffen. Wer verhinden will, dass seine persönlichen Verbindungsdaten gespeichert werden, müsste selbst klagen. Mit diesem Urteil im Rücken ist das allerdings (theoretisch) ein Klacks… Zunächst sollte man jedoch, wie hier beschrieben, T-Online oder einen beliebigen anderen Internetprovider zur freiwilligen Einstellung der Speicherung auffordern. Kommt der Anbieter dieser Aufforderung nicht nach – klagen.

Dieses Urteil ist für mich vor allem in Hinblick auf die Vorratsdatenspeicherung interessant. Denn ganz offensichtlich widerspricht diese Maßnahme der aktuellen Gesetzeslage. Natürlich, das wussten wir schon lange, nun gibt es aber eine höchtsrichterliche Bestätigung. Und mit dieser im Rücken könnte nun vielleicht die Einführung der Speicherung von Verbindungsdaten zu kippen sein.

Tags: , , , ,
Pages: Prev 1 2 3 4 5 Next