StudiVZ ist seit heute Mittag nicht mehr erreichbar und inzwischen vermehren sich die Gerüchte, ein XSS-Worm hätte zum Abschalten des Dienstes durch die Betreiber geführt. Wie gesagt, es sind Gerüchte, wieviel an diesen Aussagen dran ist, können im Augenblick wohl nur die Betreiber selbst sagen. Diese jedoch hüllen sich in Schweigen. Und wenn man die letzten Tage und Wochen Revue passieren lässt ist anzunehmen, dass die Ursache für die Abschaltung wohl auch weiterhin im Dunkeln liegen bleiben wird…

Nun, es wär zumindest nicht das erste Mal, dass ein „Social Network“ (bzw. die Nutzer) von einer Cross-Site-Scripting-Attacke betroffen ist: wir erinern uns an myspace. Aber, sollten die Aussagen zutreffen, die in dem folgenden Zitat eines Kommentators bei YAMB.BETA2 zu lesen sind – dann hätten sich wohl all die Warnungen und Befürchtungen der letzten Tage bewahrheitet. Sollte es wirklich so abgelaufen sein, wie es hier beschrieben wurde, wäre das ein heftiger Schlag ins Gesicht für die Betreiber und Entwickler von StudiVZ. Derartige Lücken dürfen einfach nicht auftreten, hier wurden augenscheinlich grundlegende Regeln bei der Entwicklung missachtet und die überdeutlichen Hinweise in letzter Zeit ignoriert.

Hier nun der eben erwähnte Kommentar:

XSS-Wurm!

Derzeit scheint es eher so, alsob die Notbremse wegen eines XSS-Wurmes gezogen wurde, welcher sich automatisch ueber die Pinnwand als Link verteilt hat 🙂
Sobald auf diesen Gruppenlink geklickt wurde, wurde die E-Mailadresse des aktuellen Users auf eine nicht oeffentliche Pinnwand geschrieben und die Loginseite angezeigt. Das hier angegebene Passwort wurde ebenfalls auf die Pinnwand geschrieben, der User wurde auf die Gruppe “Datenschutz im StudiVZ” weitergeleitet.
Gleichzeitig lief das Skript im Hintergrund weiter, fragte die Freundesliste ab und begann damit die Pinnwaende der Freunde mit einem aus Bloecken zusammengewuerfelten Text zu beschreiben “Hallo *vorname*, schau Dir mal die Gruppe an… *url* Gruss, *vorname des users*”. Da sich das Skript zwischen Browser und Web legte (als Man-in-the-middle) und die geklickten Links per XMLHttpobj abfragte und darstellte, ist/war es moeglich, dass es im Hintergrund weiterlief und sich somit effektiver verbreiten konnte.

Bis um 11:55 der Customer Support ebenfalls auf die Gruppe klickte – 4 Minuten spaeter stand “Kaffeepause” – weitere 2 Minuten spaeter wurde der Stecker gezogen.

Ich denke eher dass _dies_ der Grund fuer den “Ausfall” ist. Ein feiner Web2.0 Wurm/Virus, der im Browser des Besuchers und mit dessen angemeldeter Session lief, das JavaScript wurde ueber den im Titel nicht geparsten Gruppennamen eingefuegt.

Web2.0, viralen Marketing,
Wurm2.0, virale Verteilung 🙂

Ein Beispiel von der Pinnwand (Emailadresse von mir verschleiert,Passwoerter vom Wurm direkt – er ist nicht destruktiv gebaut-):

mail|1164558979|BTjk8z|thommybee@xxx
data|1164559219|5wn3jL|2904F****
mail|1164559217|5wn3jL|timonschroeter@xxx
mail|1164559778|Xg586z|m.stoeckemann@xxx
data|1164560080|Skw2Lz|bil****
mail|1164560069|Skw2Lz|hendrik-7-schulze@xxx
data|1164559857|n7SRkg|c****
mail|1164559854|n7SRkg|christian.schumacher@xxx

Hm.. ein Grund den Stecker zu ziehen? 🙂

StudiVZ – wann lernt ihr es endlich?

Schoen Gruss,
“Juergen Kuester”

Update: Vor 2 Minuten haben die Macher von StudiVZ nun ein Statement abgegeben. In ihrem Blog heißt es jetzt:

Alles wird gut

Liebe studiVZler,

liebe Blogger,

studiVZ hat heute um 12 Uhr einen Pishing-Angriff bemerkt und erfolgreich abgewehrt. Um die Datensicherheit von studiVZ für die Nutzer zu gewährleisten wurde die Seite offline geschaltet. Die Seite ist im Laufe des Abends wieder online.
Euer studiVZ Team

Ich werde das jetzt NICHT kommentieren. 😉

Ich beobachte das Drama um StudiVZ nun schon eine ganze Weile, genau genommen seit den ersten Posts rund um das Netzwerk und seine Gründer. Waren es anfangs nur Feststellungen, dass Idee und Design nahezu 1:1 kopiert sind, kamen nach und nach mehr und mehr Details ans Tageslicht, die den schlechten Beigeschmack zu einen verschärften Brechreiz verstärkten (alle bislang geschriebenen Artikel findet man bei Technorati, 2367 sind es bis jetzt!).

Die Entgleisungen des Mitgründers Ehssan Dariani schienen konsequent geahndet, zumindest gab es Hinweise auf seinen „Ausstieg“ aus dem Unternehmen. Dass die Probleme jedoch viel tiefer liegen, wurde konsequent ignoriert und zudem schöngeredet. Das in meinen Augen größte Problem von StudiVZ ist hausgemacht: Es werden umfangreiche Daten zu jedem Mitglied gesammelt – und der Datenschutz wird vernachlässigt. Nein, mit Füßen getreten. Welche Auswirkungen das hat und welche Gefahren darin liegen, zeigt DonAlphonso in seinem aktuellsten Beitrag zu diesem Thema.

Wie leichtfertig Internetnutzer mit ihren persönlichen Daten umgehen, ist in diesem Fall nur zu deutlich erkennbar. Das ist kein StudiVZ-Problem, das ist ein allgemeines Problem. Zu viele sind sich gar nicht bewusst, was sie über sich selbst preisgeben. Natürlich liegt es in der Verantwortung jedes Einzelnen, welche Daten er wann über sich selbst preisgibt. Und natürlich könnte man an dieser Stelle vorschnell mit einer Standard-Floskel reagieren: Die User sind doch selbst Schuld, wenn sie diese Daten online stellen. Aber so einfach ist das nicht. Wenn ein Unternehmen wie in diesem Falle StudiVZ Daten in großen Mengen sammelt (wofür diese verwendet werden sollen versuche ich jetzt gar nicht zu hinterfragen), dann ist es die verdammte Pflicht und Schuldigkeit dieses Unternehmens, hier für Sicherheit zu sorgen! Daran gibt es nichts zu deuteln. Und da hilft es auch nicht, die Vorwürfe als Versuch darzustellen, StudiVZ schaden zu wollen.

Ich bin der Auffassung, bestimmte Details haben in einem Online-Netzwerk nichts zu suchen. Es hat keinen Social-Gruschel-Partner zu interessieren, in welchem studentischen Wohnheim ein Nutzer lebt, um ein Beispiel zu nennen. Will dieser Nutzer Freunden derartiges mitteilen, dann kann er das auch jederzeit per Mail. Also raus mit derartigen Details aus den Profilen! Denn was abgefragt wird, wird auch von irgend jemandem ausgefüllt. Nicht jeder hat so viel Erfahrung und lässt solche Formularfelder frei oder schreibt falsche Daten hinein, um sich zu schützen. Also weg mit diesen Formularfeldern! Vor allem dann wenn ihr nicht in der Lage seid, die Privatsphäre Eurer Nutzer zu schützen.

Im Augenblick sieht es so aus, als hätte der letzte Beitrag von DonAlphonso Wirkung gezeigt. Versucht man StudiVZ zu erreichen, findet man nur eine Nachtschicht-Info:

Ich glaube noch nicht, dass diese Nachricht das letzte Zeichen von StudiVZ ist. Ich hoffe jedoch, die Nachtschicht wird für umfangreiche Aufräumarbeiten genutzt und der ganze Müll wird beseitigt. Arroganz hilft hier nicht mehr, nehmt das Teil ein paar Tage vom Netz und löst die Probleme. Schmeißt den ganzen Unrat über Bord, sorgt für Sicherheit und dann startet neu, mit weniger Größenwahn und mehr Umsicht.

Und DonAlphonso: Ich find es Klasse, dass Du diese Aufklärung betreibst, derartige Dinge gehören an die Öffentlichkeit und dürfen nicht unter den Teppich gekehrt werden. Aber bitte – lass es nicht wie einen persönlichen Rachefeldzug aussehen. Manchmal kommt mir nämlich beim Lesen Deiner Beiträge dieser Gedanke…

Donald Crowdis lebt in Toronto und ist mit seinen 92 Jahren wahrscheinlich der älteste Blogger der Welt, ganz sicher jedoch einer der ältesten. 1913 in Halifax geboren und immer noch aktiv, seit Mitte dieses Jahres auch mit seinem eigenen Blog Don to Earth online.

Ich finds wirklich beeindruckend, wenn jemand in so hohem Alter diesen Dingen noch so aufgeschlossen gegenüber steht und auch deshalb wird er sicherlich von mir ein paar Geburtstagsgrüße zu seinem 93. bekommen, den er am 24. Dezember feiert. Die bekommt er aber natürlich auch, weil man schon ziemlich angeschmiert ist, wenn man ausgerechnet an Heiligabend Geburtstag hat 😉

via Napolux

Und es geht doch noch etwas älter: Allan Lööf aus Schweden ist 94 – und bloggt ebenfalls. Allerdings auf schwedisch…

via Quick online tips

…aber in meinen Kommentaren will ich keine Werbung sehen!

Auch nicht Hinweise darauf, dass ich auf irgendeiner Seite etwas wahnsinnig besonderes finden kann. Wer hier werben möchte, der darf das gern tun, gegen Bezahlung. Aber die Kommentarfunktion ist nicht dafür gedacht und aus diesem Grund wird hier auch in Zukunft jeder Eintrag, den ich als Werbung ansehe, gelöscht. Es sei denn, der Eintragende hat zuvor einen angemessenen Betrag auf mein Konto überwiesen. Meine Bankdaten können gern per Mail erfragt werden…