StudiVZ und der CCC

Liebes StudiVZ,

1. Regel im Web: Niemals mit den Jungs vom CCC anlegen, kapiert, ja? Nein, okay, dann halt nicht. 😀 (Klick aufs Bild)

Hack StudiVZ

Die Aussage da von Holtzbrinck war schon an Peinlichkeit nicht zu überbieten. 😉 Ich habe heute Nachmittag innerlich ob das, was da folgt, gelacht. 😀

Selbstverständlich musste man nachrüsten, und das hat StudiVZ getan. Die Datensicherheit ist jetzt gegeben. Unlängst hat der Chaos Computer Club vergebens versucht, sich ins System zu hacken. Auch die Seite ist jetzt stabil.

Nachtrag: Es wurde wohl ein neuer WordPress-Exploit veröffentlicht, für die Version 2.0.6. Einfach wie hier beschrieben die wp-trackback.php umbenennen und alles ist gut. :)

Nachtrag 2: Nu ist das Blog fast kpl. gelöscht. Nur ein alter Bekannter ist noch da. :)

Nachtrag 3:

Forbidden

You don’t have permission to access / on this server.
Apache/2.0.52 (Red Hat) Server at blog.studivz.net Port 80

Nachtrag 4: Mal ein Screenshot mit ein paar freigeschalteten Comments. Wir waren die ersten 😀

Nachtrag 5: Neue Nachricht auf dem Blog:

Pause
Ene mene meck, der Blog ist kurz mal weg.

Er kommt aber bald wieder — wir arbeiten dran.

Nachtrag 6: Möchte jemand den sicheren Job eines SysAdmins bei StudiVZ übernehmen? Dann bitte bewerben. 😉

Nachtrag 7: Laut einer Stellungnahme des CCC auf heise.de haben die Jungs und Mädels nichts mit dem Defacement zu tun.

Nachtrag 8: Unglaublich. Fast 24 Stunden später — nichts genaues weiß man. Eigentlich weiß man gar nicht, ach das erwähnte ich schon. 😀 Was lächerlich liebes StudiVZ:

Demnach war auf dem Server die neuste WordPress-Version installiert und die Option «register_globals» deaktiviert. Deshalb erscheint es möglich, dass bei der Attacke ein noch unbekannter WordPress-Exploit eingesetzt worden ist.

Ansonsten das übliche Bla-Bla, was ich schon gestern Abend angekündigt habe. 😀

Es wird morgen mit einem Dank an den Hacker, der Mitteilung, keine Daten des ?normalen? StudiVZ seien in Gefahr gewesen, weitergehen?

25 Antworten zu “StudiVZ und der CCC”

  1. Oli sagt:

    lol — und auch originell gemacht 😀

  2. Dr.Thodt sagt:

    macht meinen tag (hoffe ich jedenfalls — ist ja noch früh)

  3. Falk sagt:

    Ich komm hier heute irgendwie aus dem Lachen nicht mehr raus 😉

  4. […] Also ihr da in dem seltsamen Studentenverzeichnis, um zu poppen muss man nett sein und nicht 1000 Frauen gruscheln. Ehrlich nicht.[1] Ich komm hier aus dem Lachen nicht mehr raus heute [?]Ähnliche Artikel: Zitat das TagesSonne macht albernIch mach mir da ja grad so meine GedankenDudelfunker* aufgepasstLeaether Strip — The Shame Of A Nation […]

  5. Felix sagt:

    mirror / screenshot hier: http://seclog.de/2007/01/.….z-owned/

    anscheinend wurde ein neuer zeroday fuer wp 206 genutzt

  6. Oliver sagt:

    Tja, und ich dachte ich wäre der erste, der es bloggt :)

    Tja, das mit der CCC internen Rundmail «veröffentlich gegendarstellungen!» hat wohl jemand zu wörtlich genommen.

  7. Oliver sagt:

    Wow! Der Eintrag wurde gelöscht und ist jetzt wieder da! Und alle anderen Einträge sind weg…

  8. Falk sagt:

    So und wer sagt jetzt, was nach einem Hack die erste Regel ist (weil kann ja wirklich jedem Serverbetreiber mal passieren)? Richtig — erstmal Stecker ziehen! Und werden das die Kollegen da drüben tun? Ich weiss es nicht…

  9. Per 0-Day Exploit kam die Antwort an das StudiVZ…

    Kaum hat Konstantin Urban, der Chef von Holtzbrinck Networks, ein Interview auf dem Manager-Magazin gegeben, gibt es schon erste öffentliche Reaktionen:
    Liebe StudiVZler.
    January 11th, 2007
    Der neue offizielle Eigentümer euer persönlichen Daten, Ko…

  10. […] StudiVZ und der CCC Die Studis sind gehackt … mal wieder … OMG ) (tags: studivz ccc hacker) […]

  11. […] Momentan nicht erreichbar, das StudiVZ-Blog — tja, warum wohl, kicher — aber es gibt ja Screenshots… Köstlich. Ah, die Kollegen von FIXMBR hattens auch, muss ich übersehen haben. Dann benennen wir dochmal rasch eine PHP-Datei um, nicht, dass das hier auch passiert nach dem Eintrag. {Kudos an Phantom von Yigg} […]

  12. Kamuflaro sagt:

    All your base are belong to us.
    Zu faul meine wp-trackback umzubenennen, also hackt mich nicht, sonst mach ich es doch lol

  13. […] Siehe auch: fixmbr, seclog.de, dittez, […]

  14. […] fixmbr.de, Tags:blog blogbar ccc studivz […]

  15. Lawe sagt:

    Jawohl, so muss dass sein Danke Chris, YOU make my Day! Ich lieg hier noch immer rum vor lachen

  16. DonTermi sagt:

    Danke. Mein Tag ist für heute gerettet *schmunzel*

  17. nicole sagt:

    wie geil :-)))

  18. […] The “answer” of the CCC arrived last night in form of a defacement: Der Chaos Computer Club beteiligt sich nicht an solchen ‘Hackt uns doch’-Mätzchen wie den von StudiVZ ausgerufenen Wettbewerb. Es kommt leider vor, dass einzelne Spinner von sich behaupten ‘im Namen des CCC’ zu handeln, wie wohl auch hier geschehen. Mit dem Chaos Computer Club hat das jedoch nichts zu tun. […]

  19. […] Wir hätten dem werten Herrn Urban gerne die Frage gestellt, ob er denn schon drin ist? Es wundert mich ehrlich gesagt, dass die Hamburger AOL-America-Tochtergesellschaft nicht Wind davon bekommen hat, wie dieser Slogan ihrer einstigen Werbekampagne auf der Eingangsseite von StudiVZ für halbseidene Geschäftspraktiken zweckentfremdet wird. Gleichwie kann Herr Urban sich seit dem gestrigen Donnerstag freuen, da er mit einem weiteren Statement die Hackerszene dazu einlud, sich im StudiVZ-Blog breit zu machen (siehe Screenshot). Ein sehr herzhaftes Augenzwinkern bereitete mir auch Andreas Dittes’ Aussage, es handele sich hierbei um eine erste “öffentliche Reaktion” auf das Interview von Herrn Urban, zwar äußerst unfreiwillig auf dem StudiVZ-Blog platziert, aber immerhin. Dieser ist bislang noch immer nicht wieder in Betrieb genommen. […]

  20. […] Carbogno and Fixmbr called a dispute between the CCC and StudiVZ on data security to my attention. Apparently StudiVZ-investor Holtzbrinck claimed in an interview that the data was secure and even the Chaos Computer Club had unsuccesfully tried to hack into the system. A few hours later, the StudiVZ blog was captured and somebody announced the following message (screenshot, text) on the StudiVZ-blog (which is now down): Dear StudiVZ-Users The new owner of your personal data, Konstanin Urban of Holtzbrinck Networks apparently also does not understand anything about security, just as the simulators to which you have given your data. Urban claims that the Chaos Computer Club has “unsuccesfuly tried to hack the system” but now everything is safe. […]

  21. Apple sagt:

    Ob das StudiVZ-Blog noch mal online geht? Ich vermute schon. Aber wohl nicht mit WordPress.

  22. Oli sagt:

    Ob man überhaupt jemanden aufhalten kann derlei Dinge zu tun, wenn man selbst keinerlei Fähigkeiten sicherheitstechnischer Natur besitzt? Ich glaube es nicht.

  23. […]   03   Blackbox WWW         12:14 | Jan 11’07 StudiVz: Blog gehackt   Gestern erst hatte Konstantin Urban, Chef von Holtzbrinck Networks — dem neuen Eigentümer von StudiVz -, im Manager Magazin über die Neu-Erwerbung erzählt: “Die Datensicherheit ist jetzt gegeben. Unlängst hat der Chaos Computer Club vergebens versucht, sich ins System zu hacken.” Heute Nacht hat darauf hin ein Defacement des StudiVz Weblogs stattgefunden, in dem offenbar eine Sicherheitslücke der Software WordPress ausgenutzt wurde. Dabei wurde eine “Gegendarstellung” veröffentlicht, die den angeblichen Hackversuch des CCC bestreitet. Kurz darauf war das Weblog abgeschaltet und ist derzeit nicht mehr erreichbar. […]

  24. […] Es ist ruhig geworden um StudiVZ — zu ruhig. Es wird wieder gegruschelt, es werden lächerliche PR-Meldungen verschickt. Man hat sogar den Eindruck gewinnen können, als ob der sicherheitstechnische Super-GAU, der Hack des eigenen Blogs, den Machern sehr gelegen kommt. Wenn man bei Jörg-Olaf zwischen den Zeilen liest, bekommt man den Eindruck, als wird der Hack nicht ungern gesehen — so kann man, natürlich der Sicherheit wegen, das Blog abschalten und kommt nicht wieder. PR-technisch kann man das ganze dann noch wunderbar bedauern. Doch darum soll es hier und heute nicht gehen. Den Karrierekiller Google kennte jeder, doch gibt es auch den Karrierekiller StudiVZ, den Karrierekiller Social Network? Dazu werden zufällig ausgewählte Profile untersucht. Es wird die Supersuche von StudiVZ angeschmissen, nach zufällig, in dem Moment ausgewählten, Kriterien gesucht, und dann kann es losgehen. […]


RSS-Feed abonnieren