Wer zur Zeit StudiVZ ansurfen will, hat ein Problem. Die Seite ist nicht erreichbar. Es mehren sich die Gerüchte, dass dies durch einen XSS-Wurm verursacht wurde. In den Kommentaren bei DonAlphonso (zur Zeit aufgrund der SPIEGEL-Verlinkung schlecht erreichbar) und Jörg-Olaf schreibt ein gewisser Juergen Kuester:
XSS-Wurm!
Derzeit scheint es eher so, alsob die Notbremse wegen eines XSS-Wurmes gezogen wurde, welcher sich automatisch ueber die Pinnwand als Link verteilt hat
Sobald auf diesen Gruppenlink geklickt wurde, wurde die E-Mailadresse des aktuellen Users auf eine nicht oeffentliche Pinnwand geschrieben und die Loginseite angezeigt. Das hier angegebene Passwort wurde ebenfalls auf die Pinnwand geschrieben, der User wurde auf die Gruppe ?Datenschutz im StudiVZ? weitergeleitet.
Gleichzeitig lief das Skript im Hintergrund weiter, fragte die Freundesliste ab und begann damit die Pinnwaende der Freunde mit einem aus Bloecken zusammengewuerfelten Text zu beschreiben ?Hallo *vorname*, schau Dir mal die Gruppe an? *url* Gruss, *vorname des users*?. Da sich das Skript zwischen Browser und Web legte (als Man-in-the-middle) und die geklickten Links per XMLHttpobj abfragte und darstellte, ist/war es moeglich, dass es im Hintergrund weiterlief und sich somit effektiver verbreiten konnte.Bis um 11:55 der Customer Support ebenfalls auf die Gruppe klickte – 4 Minuten spaeter stand ?Kaffeepause? – weitere 2 Minuten spaeter wurde der Stecker gezogen.
Ich denke eher dass _dies_ der Grund fuer den ?Ausfall? ist. Ein feiner Web2.0 Wurm/Virus, der im Browser des Besuchers und mit dessen angemeldeter Session lief, das JavaScript wurde ueber den im Titel nicht geparsten Gruppennamen eingefuegt.
Web2.0, viralen Marketing,
Wurm2.0, virale Verteilung
Ein Beispiel von der Pinnwand (Emailadresse von mir verschleiert,Passwoerter vom Wurm direkt – er ist nicht destruktiv gebaut-):
mail|1164558979|BTjk8z|thommybee@ xxx
data|1164559219|5wn3jL|2904F****
mail|1164559217|5wn3jL|timonschroeter@ xxx
mail|1164559778|Xg586z|m.stoeckemann@ xxx
data|1164560080|Skw2Lz|bil****
mail|1164560069|Skw2Lz|hendrik-7-schulze@ xxx
data|1164559857|n7SRkg|c****
mail|1164559854|n7SRkg|christian.schumacher@ xxxHm.. ein Grund den Stecker zu ziehen?
StudiVZ – wann lernt ihr es endlich?
Schoen Gruss,
?Juergen Kuester?
Sollte sich das bewahrheiten, wäre dies natürlich der Höhepunkt in einer Kette Securitylecks bei StudiVZ. Man darf gespannt sein, was weiter folgt.
Nachtrag: Unfassbar. Alles ist gut, lasst uns weiter gruscheln. StudiVZ verkauft das ganze auf dem eigenen Blog als (harmlosen) Phishing-Angriff. Alles wird gut. Wieso glaube ich daran nur nicht. Das ist in meinen Augen schon starke Realitätsverdrängung! Jungs, Ihr sitzt laut eigenen Angaben auf 1 Mio. persönlichen, personenbezogenen Daten!
P.S. Ein Gruß an alle Heise-Leser.
Und noch ein Nachtrag: StudiVZ ist zur Zeit wieder im Wartungsmodus… Kennt wer noch Bastian Baltasar Bux?
Und der letzte Nachtrag für heute – verfolgen wird uns das Thema noch länger: StudiVZ ist wieder online – dann mal ran. 
Und wieder Nachtrag: Unglaublich aber wahr. StudiVZ soll tatsächlich mal auf einen Hinweis reagiert haben, und in der Nacht eine Sicherheitslücke geschlossen haben, wie Heise berichtet. Das ist doch ein Anfang.
27. November 2006, 16:30 Uhr @
Wurm 2.0 ist klasse – gabs auch schon bei myspace. Kann also vom Prinzip jeden Anbieter solch einer Plattform treffen. Und dann vor allem unvorbereitet, weil niemand vorher schreibt, dass es geht.
27. November 2006, 16:39 Uhr @
Ich hab ein ganz breites Grinsen im Gesicht.
Ob nun wegen der SPIEGEL-Verlinkung oder des Wurmes, das verrate ich nicht. Wird aber wohl nicht schwierig zu erraten sein, dass es an beiden Sachen liegt.
27. November 2006, 21:18 Uhr @
Beim StudiVZ geht aber auch schief, was schiefgehen kann. Da bekommt man ja langsam Mitleid.
27. November 2006, 21:42 Uhr @
Also die vom StudiVZ scheinen echt einen am Sender zu haben! Anstatt “Alles wird gut”, hätte ich gerne klare, ausführliche Informationen gelesen und nicht etwas wie einen Phishing Angriff, das trifft es ja wohl kaum.
Das StudiVZ diskredidiert sich immer mehr, ich frage mich, wie lange das noch so weiter gehen soll?
27. November 2006, 21:44 Uhr @
Nachtrag: die Site ist nach einer kurzen online Phase mit äußerst schlechter Performance (wenn überhaupt) nun wieder offline gegangen.
28. November 2006, 08:57 Uhr @
Mir kommt das merkwürdig vor. Ob da wohl die kommerzielle Konkurrenz die Finger im Spiel hat?
28. November 2006, 11:48 Uhr @
Ich finde das super. Jeder ernstzunehmende Dienstleister hat mitlerweile eingesehen, dass man bei der Übertragung von Passwörtern SSL-Verschlüsselung braucht, ausser die Studivz Leute. Und es ist nun wirklich nicht schwer, das einzurichten, bedarf nur zwei Direktiven im Webserver ! Aber so ist leider, wie man an Hochschulen lernt, EDV zu betreiben. Daher kann ich nur sagen, bravo, es sollte viel öfter solche Aktionen geben, wo Leute, vor allem die User, auf so gravierende Sicherheismängel einer Platform hingewiesen werden.
28. November 2006, 15:27 Uhr @
Haben die überhaupt noch Nutzer nach all den Highlights? Und hört man was von denen auf “ihrer” Plattform?
28. November 2006, 15:37 Uhr @
Hansi schau dich mal ein wenig am Campus um, höre mal bei den “Jüngeren” rein und dann siehst du was Programm ist – das Gros derjenigen sieht das nur als “üble Anmache” – gar kein Bewußtsein bezüglich des Daten-GAUs.
28. November 2006, 17:43 Uhr @
Wie kleine Kinder, denen man ihr Lieblingsspielzeug wegnimmt. Und die ohne dieses ein Gebrüll anstimmen, als würden sie gleich sterben…
29. November 2006, 09:11 Uhr @
Ich merks schon, ich bin alt: Ich besuche keine Studiparty, habe kein Handy oder Fernseher, ziehe oftmals zwei unterschiedliche Socken an, mache Politik und regg mich bei StudiVZ & Co. unter einem Pseudonym. Es gab mal Zeiten, da durfte man sich wegen solcher Qualitäten jung fühlen. Das ist aber schon laaang her.