StudiVZ durch Wurm lahmgelegt?

Wer zur Zeit StudiVZ ansurfen will, hat ein Problem. Die Seite ist nicht erreichbar. Es mehren sich die Gerüchte, dass dies durch einen XSS-Wurm verursacht wurde. In den Kommentaren bei DonAlphonso (zur Zeit aufgrund der SPIEGEL-Verlinkung schlecht erreichbar) und Jörg-Olaf schreibt ein gewisser Juergen Kuester:

XSS-Wurm!

Derzeit scheint es eher so, alsob die Notbremse wegen eines XSS-Wurmes gezogen wurde, welcher sich automatisch ueber die Pinnwand als Link verteilt hat :-)
Sobald auf diesen Gruppenlink geklickt wurde, wurde die E-Mailadresse des aktuellen Users auf eine nicht oeffentliche Pinnwand geschrieben und die Loginseite angezeigt. Das hier angegebene Passwort wurde ebenfalls auf die Pinnwand geschrieben, der User wurde auf die Gruppe ?Datenschutz im StudiVZ? weitergeleitet.
Gleichzeitig lief das Skript im Hintergrund weiter, fragte die Freundesliste ab und begann damit die Pinnwaende der Freunde mit einem aus Bloecken zusammengewuerfelten Text zu beschreiben ?Hallo *vorname*, schau Dir mal die Gruppe an? *url* Gruss, *vorname des users*?. Da sich das Skript zwischen Browser und Web legte (als Man-in-the-middle) und die geklickten Links per XMLHttpobj abfragte und darstellte, ist/war es moeglich, dass es im Hintergrund weiterlief und sich somit effektiver verbreiten konnte.

Bis um 11:55 der Customer Support ebenfalls auf die Gruppe klickte — 4 Minuten spaeter stand ?Kaffeepause? — weitere 2 Minuten spaeter wurde der Stecker gezogen.

Ich denke eher dass _dies_ der Grund fuer den ?Ausfall? ist. Ein feiner Web2.0 Wurm/Virus, der im Browser des Besuchers und mit dessen angemeldeter Session lief, das JavaScript wurde ueber den im Titel nicht geparsten Gruppennamen eingefuegt.

Web2.0, viralen Marketing,
Wurm2.0, virale Verteilung :)

Ein Beispiel von der Pinnwand (Emailadresse von mir verschleiert,Passwoerter vom Wurm direkt — er ist nicht destruktiv gebaut-):

mail|1164558979|BTjk8z|thommybee@ xxx
data|1164559219|5wn3jL|2904F****
mail|1164559217|5wn3jL|timonschroeter@ xxx
mail|1164559778|Xg586z|m.stoeckemann@ xxx
data|1164560080|Skw2Lz|bil****
mail|1164560069|Skw2Lz|hendrik-7-schulze@ xxx
data|1164559857|n7SRkg|c****
mail|1164559854|n7SRkg|christian.schumacher@ xxx

Hm.. ein Grund den Stecker zu ziehen? :-)

StudiVZ — wann lernt ihr es endlich?

Schoen Gruss,
?Juergen Kuester?

Sollte sich das bewahrheiten, wäre dies natürlich der Höhepunkt in einer Kette Securitylecks bei StudiVZ. Man darf gespannt sein, was weiter folgt.

Nachtrag: Unfassbar. Alles ist gut, lasst uns weiter gruscheln. StudiVZ verkauft das ganze auf dem eigenen Blog als (harmlosen) Phishing-Angriff. Alles wird gut. Wieso glaube ich daran nur nicht. Das ist in meinen Augen schon starke Realitätsverdrängung! Jungs, Ihr sitzt laut eigenen Angaben auf 1 Mio. persönlichen, personenbezogenen Daten!

P.S. Ein Gruß an alle Heise-Leser. :)

Und noch ein Nachtrag: StudiVZ ist zur Zeit wieder im Wartungsmodus… Kennt wer noch Bastian Baltasar Bux?

Und der letzte Nachtrag für heute — verfolgen wird uns das Thema noch länger: StudiVZ ist wieder online — dann mal ran. 😉

Und wieder Nachtrag: Unglaublich aber wahr. StudiVZ soll tatsächlich mal auf einen Hinweis reagiert haben, und in der Nacht eine Sicherheitslücke geschlossen haben, wie Heise berichtet. Das ist doch ein Anfang. 😉

17 Antworten zu “StudiVZ durch Wurm lahmgelegt?”

  1. Falk sagt:

    Wurm 2.0 ist klasse — gabs auch schon bei myspace. Kann also vom Prinzip jeden Anbieter solch einer Plattform treffen. Und dann vor allem unvorbereitet, weil niemand vorher schreibt, dass es geht.

  2. Chris sagt:

    Ich hab ein ganz breites Grinsen im Gesicht. 😉

    Ob nun wegen der SPIEGEL-Verlinkung oder des Wurmes, das verrate ich nicht. Wird aber wohl nicht schwierig zu erraten sein, dass es an beiden Sachen liegt. 😀

  3. […] Strike. Nachtrag, 16:49 Uhr: Jörgmeldet weitere Sicherheitslücken im StudiVZ, wie auch private Profile öffentlich werden. Darüber hinaus steht bei Chris, wie sich ein Wurm die massiven Sicherheitslücken im StudiVZ zu nutze macht, weshalb man wohl gerade wirklich den Stecker gezogen hat. […]

  4. Blueprint. sagt:

    going down…

    An der Blogbar liest man zurzeit:
    Um die aktuelle Serverlast durch die Verlinkungen von SPIEGEL Online und Heise.de zu reduzieren, muss ich mal eine Weile (schätze mal bis Montag abend) die Anzeige der Kommentare komplett unterbinden. Wer sich für d…

  5. Apple sagt:

    Beim StudiVZ geht aber auch schief, was schiefgehen kann. Da bekommt man ja langsam Mitleid.

  6. Michael sagt:

    Also die vom StudiVZ scheinen echt einen am Sender zu haben! Anstatt «Alles wird gut», hätte ich gerne klare, ausführliche Informationen gelesen und nicht etwas wie einen Phishing Angriff, das trifft es ja wohl kaum.
    Das StudiVZ diskredidiert sich immer mehr, ich frage mich, wie lange das noch so weiter gehen soll?

  7. Michael sagt:

    Nachtrag: die Site ist nach einer kurzen online Phase mit äußerst schlechter Performance (wenn überhaupt) nun wieder offline gegangen.

  8. […] Wie auf heise.de berichtet, wurde das StudiVZ wieder Opfer seiner Sicherheitslücken. Diverse Blogs berichteten bereits auch von diesem Angriff. Demnach hat diesmal ein Wurm seinen Weg ins System gefunden und dort von einigen Usern die Emailadresse und das Passwort ausgelesen. Dies geschah über einen maipulierten Link auf Pinnwänden. Daraufhin war der Server einige Stunden online und das Fehler wurde behoben. Im StudiVZ Blog wurde der Angriff auch bereits bekanntgegeben. […]

  9. […] Phishing-Angriff? Ist doch Blödsinn, oder? Auf jeden Fall war es sogar Heise eine Schnellmeldung wert, so sehr haben sie StudiVZ Dank der Blogosphäre auf dem Radar: “Auf Nachfrage von heise online gab StudiVZ weitere Details zu dem Angriff bekannt. Der oder die Angreifer haben demnach auf einem fremden Server ein gefälschtes Login-Formular im StudiVZ-Design angelegt. “Mittels JavaScript wurden die Login-Daten ausgelesen und wiederum an den StudiVZ-Server übertragen, wo mittels XSRF automatisiert ein Pinnwandeintrag generiert wurde. Dieser enthielt einen Teil-String der so ausgelesenen Daten”, erklärte ein Sprecher. Dies deckt sich mit der Darstellung in einigen Weblogs. Bei dem Angriff sind demnach die E-Mail-Daten der Mitglieder im Klartext auf einer allgemein zugänglichen Pinnwand innerhalb des StudiVZ abgelegt worden ? das Passwort wurde aber nicht veröffentlicht. 32 Nutzer sollen den Angaben zufolge von dem Datenklau betroffen gewesen sein. Die Betreiber hätten die Nutzer sofort kontaktiert und die betroffenen Passwörter geändert, um einen Missbrauch zu verhindern. Die Nutzerdaten seien nicht aus der StudiVZ-Datenbank ausgelesen worden sein. “Um den Sachverhalt zu untersuchen und eine Gefährdung der Nutzer auszuschließen, hat StudiVZ seine Website umgehend abgeschaltet”, erklärte der Sprecher. Die XSRF-Lücke sei inzwischen behoben und alle dadurch entstandenen Datensätze gelöscht worden. Die lange Offline-Zeit erklärt der Sprecher mit weiteren Wartungsarbeiten.” […]

  10. derek sagt:

    Mir kommt das merkwürdig vor. Ob da wohl die kommerzielle Konkurrenz die Finger im Spiel hat? 😉

  11. […] Update 28.11.2006 Hmm, angesichts solcher Schlagzeilen: Man sollte vielleicht tatsächlich eine Securityfirma PR-wirksam aufkaufen. Dass man komplette Accounts “grabben” kann ist nicht mehr als negative PR abzutun, es ist ziemlich massiver Vertrauensverlust der da stattfindet. Zu einem grossen Teil ist das meiner Ansicht nach der Verwendung einer WebApplication Technologie anzulasten, die sehr viele Angriffspunkte für derartige Lücken anbietet. Ich frage mich, ob studiVZ derlei Probleme hätte, wenn eine Java Enterprise Solution im Hintergrund Dienst tun würde und nicht etwa eine scriptbasierte Sprache wie PHP. “SQL und JavaScript-Injections” sind jedenfalls alte Bekannte bei Scriptsprachen, die für WebApplications genutzt werden ebenso “Cookie-Hijacking”. […]

  12. PatKa sagt:

    Ich finde das super. Jeder ernstzunehmende Dienstleister hat mitlerweile eingesehen, dass man bei der Übertragung von Passwörtern SSL-Verschlüsselung braucht, ausser die Studivz Leute. Und es ist nun wirklich nicht schwer, das einzurichten, bedarf nur zwei Direktiven im Webserver ! Aber so ist leider, wie man an Hochschulen lernt, EDV zu betreiben. Daher kann ich nur sagen, bravo, es sollte viel öfter solche Aktionen geben, wo Leute, vor allem die User, auf so gravierende Sicherheismängel einer Platform hingewiesen werden.

  13. […] Die restlichen Informationen musste man sich dann wiederum in der Blogosphäre zusammensuchen. Ganz prima! Hier ist definitiv noch Nacharbeit gefragt: Eine Million Benutzer wollen nämlich auch informiert werden! […]

  14. Hansi Schnier sagt:

    Haben die überhaupt noch Nutzer nach all den Highlights? Und hört man was von denen auf «ihrer» Plattform?

  15. Oli sagt:

    Hansi schau dich mal ein wenig am Campus um, höre mal bei den «Jüngeren» rein und dann siehst du was Programm ist — das Gros derjenigen sieht das nur als «üble Anmache» — gar kein Bewußtsein bezüglich des Daten-GAUs.

  16. Falk sagt:

    Wie kleine Kinder, denen man ihr Lieblingsspielzeug wegnimmt. Und die ohne dieses ein Gebrüll anstimmen, als würden sie gleich sterben…

  17. Hansi Schnier sagt:

    Ich merks schon, ich bin alt: Ich besuche keine Studiparty, habe kein Handy oder Fernseher, ziehe oftmals zwei unterschiedliche Socken an, mache Politik und regg mich bei StudiVZ & Co. unter einem Pseudonym. Es gab mal Zeiten, da durfte man sich wegen solcher Qualitäten jung fühlen. Das ist aber schon laaang her.

RSS-Feed abonnieren