VisualBlog – das VisualOrgasm-Weblog

Hacker-Angriff auf StudiVZ

Matias Roskos
27. November 2006, 22:21 Uhr, 0 Reaktionen
Kategorie: Web 2.0

Nun auch noch das. Seit 12 Uhr heute Mittag ist StudiVZ offline. Im StudiVZ-Blog heißt es dazu: “Alles wird gut. Liebe studiVZler, liebe Blogger,” (Man spricht die Blogger persönlich an. Man hat noch Humor. Sehr gut!) “studiVZ hat heute um 12 Uhr einen Phishing-Angriff bemerkt und erfolgreich abgewehrt. Um die Datensicherheit von studiVZ für die Nutzer zu gewährleisten wurde die Seite offline geschaltet. Die Seite ist im Laufe des Abends wieder online. Euer studiVZ Team

Phishing-Angriff? Ist doch Blödsinn, oder? Auf jeden Fall war es sogar Heise eine Schnellmeldung wert, so sehr haben sie StudiVZ Dank der Blogosphäre auf dem Radar: “Auf Nachfrage von heise online gab StudiVZ weitere Details zu dem Angriff bekannt. Der oder die Angreifer haben demnach auf einem fremden Server ein gefälschtes Login-Formular im StudiVZ-Design angelegt. “Mittels JavaScript wurden die Login-Daten ausgelesen und wiederum an den StudiVZ-Server übertragen, wo mittels XSRF automatisiert ein Pinnwandeintrag generiert wurde. Dieser enthielt einen Teil-String der so ausgelesenen Daten”, erklärte ein Sprecher. Dies deckt sich mit der Darstellung in einigen Weblogs. Bei dem Angriff sind demnach die E-Mail-Daten der Mitglieder im Klartext auf einer allgemein zugänglichen Pinnwand innerhalb des StudiVZ abgelegt worden – das Passwort wurde aber nicht veröffentlicht.
32 Nutzer sollen den Angaben zufolge von dem Datenklau betroffen gewesen sein. Die Betreiber hätten die Nutzer sofort kontaktiert und die betroffenen Passwörter geändert, um einen Missbrauch zu verhindern. Die Nutzerdaten seien nicht aus der StudiVZ-Datenbank ausgelesen worden sein. “Um den Sachverhalt zu untersuchen und eine Gefährdung der Nutzer auszuschließen, hat StudiVZ seine Website umgehend abgeschaltet”, erklärte der Sprecher. Die XSRF-Lücke sei inzwischen behoben und alle dadurch entstandenen Datensätze gelöscht worden. Die lange Offline-Zeit erklärt der Sprecher mit weiteren Wartungsarbeiten.

Mehr dazu auch bei Customer of Hell, der näher beschreibt, was genau zu sehen war auf StudiVZ bevor es vom Server genommen wurde.

Zeigt dieser Vorfall wie unsicher das System ist? Ich kann das schlecht beurteilen. Auch andere Portale wurden schon gehackt. Ich denke, da haben sich ein paar Informatikstudenten, die die Schnauze voll haben von StudiVZ einen makabren Scherz erlaubt. Auf jeden Fall dürfte wieder einmal deutlich werden, wie sehr das StudiVZ-Team ganz schnell gute Leute braucht, um das gesamte System stabiler und sicherer zu machen. Ich wünsche viel Erfolg. Oder war das schon der letzte Tag von StudiVZ?


Weitere Artikel zum Thema

  1. Bei StudiVZ krachts im Gebälk
  2. StudiVZ verkauft!
  3. Auf ins Guinness-Buch: das StudiVZ-Blog
  4. Und es hört nicht auf: nun Datenleck bei StudiVZ aufgedeckt
  5. Facebook will StudiVZ kaufen? Ich fass es nicht

Über den Autor

Matias Roskos
2437 Beiträge

Matias Roskos ist der Gründer des VisualBlog. Neben seiner Tätigkeit als Blogger ist er noch Inhaber von Deutschlands erster Community- und Crowdsourcing-Agentur VOdA. Als Crowdsourcing-Evangelist beschäftigt er sich als Redner und Autor mit dem Thema Open Innovation, Crowdsourcing und Socialnetworkstrategien. Er schreibt für diverse andere Webprojekte und betreibt das Fachblog Socialnetworkstrategien.de

Dein Kommentar