Kommentare zu: StudiVZ durch Wurm lahmgelegt?

Von: Hansi Schnier

Hansi Schnier — Wed, 29 Nov 2006 08:11:52 +0000

Ich merks schon, ich bin alt: Ich besuche keine Studiparty, habe kein Handy oder Fernseher, ziehe oftmals zwei unterschiedliche Socken an, mache Politik und regg mich bei StudiVZ & Co. unter einem Pseudonym. Es gab mal Zeiten, da durfte man sich wegen solcher Qualitäten jung fühlen. Das ist aber schon laaang her.

Von: Falk

Falk — Tue, 28 Nov 2006 16:43:30 +0000

Wie kleine Kinder, denen man ihr Lieblingsspielzeug wegnimmt. Und die ohne dieses ein Gebrüll anstimmen, als würden sie gleich sterben…

Von: Oli

Oli — Tue, 28 Nov 2006 14:37:20 +0000

Hansi schau dich mal ein wenig am Campus um, höre mal bei den «Jüngeren» rein und dann siehst du was Programm ist — das Gros derjenigen sieht das nur als «üble Anmache» — gar kein Bewußtsein bezüglich des Daten-GAUs.

Von: Hansi Schnier

Hansi Schnier — Tue, 28 Nov 2006 14:27:57 +0000

Haben die überhaupt noch Nutzer nach all den Highlights? Und hört man was von denen auf «ihrer» Plattform?

Von: Das StudiVZ unter Feuer at der tag und ich

Das StudiVZ unter Feuer at der tag und ich — Tue, 28 Nov 2006 11:32:12 +0000

[…] Die restlichen Informationen musste man sich dann wiederum in der Blogosphäre zusammensuchen. Ganz prima! Hier ist definitiv noch Nacharbeit gefragt: Eine Million Benutzer wollen nämlich auch informiert werden! […]

Von: PatKa

PatKa — Tue, 28 Nov 2006 10:48:42 +0000

Ich finde das super. Jeder ernstzunehmende Dienstleister hat mitlerweile eingesehen, dass man bei der Übertragung von Passwörtern SSL-Verschlüsselung braucht, ausser die Studivz Leute. Und es ist nun wirklich nicht schwer, das einzurichten, bedarf nur zwei Direktiven im Webserver ! Aber so ist leider, wie man an Hochschulen lernt, EDV zu betreiben. Daher kann ich nur sagen, bravo, es sollte viel öfter solche Aktionen geben, wo Leute, vor allem die User, auf so gravierende Sicherheismängel einer Platform hingewiesen werden.

Von: Helge Städtler » Blog Archive » studiVZ: Das Lehrveranstaltungssystem 2.0? - Thetawelle

Tue, 28 Nov 2006 10:08:11 +0000

[...] Update 28.11.2006 Hmm, angesichts solcher Schlagzeilen: Man sollte vielleicht tatsächlich eine Securityfirma PR-wirksam aufkaufen. Dass man komplette Accounts “grabben” kann ist nicht mehr als negative PR abzutun, es ist ziemlich massiver Vertrauensverlust der da stattfindet. Zu einem grossen Teil ist das meiner Ansicht nach der Verwendung einer WebApplication Technologie anzulasten, die sehr viele Angriffspunkte für derartige Lücken anbietet. Ich frage mich, ob studiVZ derlei Probleme hätte, wenn eine Java Enterprise Solution im Hintergrund Dienst tun würde und nicht etwa eine scriptbasierte Sprache wie PHP. “SQL und JavaScript-Injections” sind jedenfalls alte Bekannte bei Scriptsprachen, die für WebApplications genutzt werden ebenso “Cookie-Hijacking”. [...]

Von: derek

derek — Tue, 28 Nov 2006 07:57:05 +0000

Mir kommt das merkwürdig vor. Ob da wohl die kommerzielle Konkurrenz die Finger im Spiel hat?

Von: VisualBlog - das VisualOrgasm-Weblog » Hacker-Angriff auf StudiVZ

VisualBlog - das VisualOrgasm-Weblog » Hacker-Angriff auf StudiVZ — Mon, 27 Nov 2006 21:24:32 +0000

[...] Phishing-Angriff? Ist doch Blödsinn, oder? Auf jeden Fall war es sogar Heise eine Schnellmeldung wert, so sehr haben sie StudiVZ Dank der Blogosphäre auf dem Radar: “Auf Nachfrage von heise online gab StudiVZ weitere Details zu dem Angriff bekannt. Der oder die Angreifer haben demnach auf einem fremden Server ein gefälschtes Login-Formular im StudiVZ-Design angelegt. “Mittels JavaScript wurden die Login-Daten ausgelesen und wiederum an den StudiVZ-Server übertragen, wo mittels XSRF automatisiert ein Pinnwandeintrag generiert wurde. Dieser enthielt einen Teil-String der so ausgelesenen Daten”, erklärte ein Sprecher. Dies deckt sich mit der Darstellung in einigen Weblogs. Bei dem Angriff sind demnach die E-Mail-Daten der Mitglieder im Klartext auf einer allgemein zugänglichen Pinnwand innerhalb des StudiVZ abgelegt worden ? das Passwort wurde aber nicht veröffentlicht. 32 Nutzer sollen den Angaben zufolge von dem Datenklau betroffen gewesen sein. Die Betreiber hätten die Nutzer sofort kontaktiert und die betroffenen Passwörter geändert, um einen Missbrauch zu verhindern. Die Nutzerdaten seien nicht aus der StudiVZ-Datenbank ausgelesen worden sein. “Um den Sachverhalt zu untersuchen und eine Gefährdung der Nutzer auszuschließen, hat StudiVZ seine Website umgehend abgeschaltet”, erklärte der Sprecher. Die XSRF-Lücke sei inzwischen behoben und alle dadurch entstandenen Datensätze gelöscht worden. Die lange Offline-Zeit erklärt der Sprecher mit weiteren Wartungsarbeiten.” [...]

Von: blog.wieseln.de » Blog Archive » Sicherheit und StudiVZ?

blog.wieseln.de » Blog Archive » Sicherheit und StudiVZ? — Mon, 27 Nov 2006 21:14:01 +0000

[…] Wie auf heise.de berichtet, wurde das StudiVZ wieder Opfer seiner Sicherheitslücken. Diverse Blogs berichteten bereits auch von diesem Angriff. Demnach hat diesmal ein Wurm seinen Weg ins System gefunden und dort von einigen Usern die Emailadresse und das Passwort ausgelesen. Dies geschah über einen maipulierten Link auf Pinnwänden. Daraufhin war der Server einige Stunden online und das Fehler wurde behoben. Im StudiVZ Blog wurde der Angriff auch bereits bekanntgegeben. […]

Von: Michael

Michael — Mon, 27 Nov 2006 20:44:16 +0000

Nachtrag: die Site ist nach einer kurzen online Phase mit äußerst schlechter Performance (wenn überhaupt) nun wieder offline gegangen.

Von: Michael

Michael — Mon, 27 Nov 2006 20:42:42 +0000

Also die vom StudiVZ scheinen echt einen am Sender zu haben! Anstatt «Alles wird gut», hätte ich gerne klare, ausführliche Informationen gelesen und nicht etwas wie einen Phishing Angriff, das trifft es ja wohl kaum.
Das StudiVZ diskredidiert sich immer mehr, ich frage mich, wie lange das noch so weiter gehen soll?

Von: Apple

Apple — Mon, 27 Nov 2006 20:18:30 +0000

Beim StudiVZ geht aber auch schief, was schiefgehen kann. Da bekommt man ja langsam Mitleid.

Von: Blueprint.

Blueprint. — Mon, 27 Nov 2006 16:30:41 +0000

going down…

An der Blogbar liest man zurzeit:
Um die aktuelle Serverlast durch die Verlinkungen von SPIEGEL Online und Heise.de zu reduzieren, muss ich mal eine Weile (schätze mal bis Montag abend) die Anzeige der Kommentare komplett unterbinden. Wer sich für d…

Von: NYblog » Blog Archive » StudiVZ - das Ende naht.

NYblog » Blog Archive » StudiVZ - das Ende naht. — Mon, 27 Nov 2006 15:52:34 +0000

[…] Strike. Nachtrag, 16:49 Uhr: Jörgmeldet weitere Sicherheitslücken im StudiVZ, wie auch private Profile öffentlich werden. Darüber hinaus steht bei Chris, wie sich ein Wurm die massiven Sicherheitslücken im StudiVZ zu nutze macht, weshalb man wohl gerade wirklich den Stecker gezogen hat. […]