StudiVZ und kein Ende — Nun lässt man Hackern freie Hand

Hatte ich eigentlich schon über StudiVZ geschrieben? Ich glaube nicht. Es gibt — man mag es kaum glauben — wieder unglaubliche Neuigkeiten. Über die tägliche Sicherheitslücke muss man kaum noch ein Wort verlieren. Wenn der große GAU da ist, sagt nicht, man hätte Euch nicht gewarnt. Mit dem neuesten Sicherheitsleck war es jedenfalls möglich, sich selbst [sic!] in private Gruppen einzuladen. Das ist doch mal eine feine Sache. Erinnerte mich an die Hochzeits-Crasher . 😉

Interessanter Nebenaspekt: Um es zu verifizieren, hat der Don sich selbst in die Stalker-Gruppe eingeladen, was er dort über sich gelesen hat, das fand er gar nicht nett, und so lässt er sich wohl die Tage ganz in Ruhe von seiner Anwältin beraten. Das Stalking von StudiVZ(-Mitgliedern) scheint nun auch auserhalb des Netzwerkes zu greifen — in kleinen Ansätzen auch bei .get privacy zu beobachten .

Analog zu der Sicherheitslücke gab es einen neuen XSS-Angriff. Öfter mal was Neues. Aber darum soll es eigentlich gar nicht gehen. Interessant ist vielmehr die Ankündigung, dass Hacker aufgefordert werden, nach Sicherheitslücken zu suchen, es soll mit 256 Euro entlohnt werden:

XSS-Attacken wie heute auf uns und eure Daten nehmen wir sehr ernst. Unsere Programmierer haben schon einige dieser Lücken geschlossen. Auch haben uns Nutzer in der Vergangenheit Sicherheitslücken in unserem System mitgeteilt. Diese Hinweise haben wir immer aufgegriffen, die Lücken geschlossen und sind dankbar für Eure Meldungen. Daher haben wir entschieden: Das Auffinden von Sicherheitslücken wird jetzt belohnt. Jede tatsächliche XSS– oder CSRF-Lücke, die Ihr findet und uns meldet ist ab sofort 128 ? äh 256 ? wert. Schickt eure Hinweise bitte an lueckensuche@studivz.net.

Und hier sind die Spielregeln: Es dürfen keine Daten von studiVZ missbraucht werden, es geht ausschließlich um XSS– und CSRF-Lücken, Ihr dürft die Lücken nicht dazu benutzen, um Daten einzustellen, zu ändern oder gar zu löschen. Es sollte uns also kein Schaden entstehen ? insbesondere darf unser Server nicht überlastet oder lahm gelegt werden. Und bitte keine Brute-Force-Angriffe auf studiVZ. Außerdem dürfen die Lücken nicht veröffentlicht werden ? wir brauchen erst etwas Vorsprung, um sie zu schließen. Dann geben wir natürlich bekannt, wer uns geholfen hat, wenn es demjenigen oder derjenigen recht ist. Außerdem: Wer zuerst kommt, malt zuerst.

Na das ist doch mal ein Spaß — man darf nun ungehindert suchen, probieren, ohne Angst haben zu müssen, belangt zu werden. Es hat was von Kritiker kaufen, bestechen , vielleicht sogar von Schweigegeld, aber nein, das würde ich ja niemals denken. 😉

Das interessante an dieser Offenbarung: Die rechtliche Seite. Udo hat eine erste Einschätzung gegeben :

Wenn man das Blabla beiseite schiebt, handelt es sich um ein tatbestandausschließendes Einverständnis in die § 202a, 303a und insbesondere 303b Strafgesetzbuch.

Und auch das Honorar in Höhe von 256 Euro erregt Aufmerksamkeit, Udo fügt süffisant hinzu:

Außerdem würde ich gern einen der Honorarprozesse führen.

Okay, wir haben uns schon fast an diesen Datenschutz-GAU StudiVZ gewöhnt, auch dieses PR-Geblubber der letzten Wochen mutete manchmal eher lustig an, als alles andere. Doch diese Presseerklärung schlägt mal wieder dem Fass den Boden aus. In Himmelhergottsnamen, wer kommt bei Euch auf solche Ideen, wer verfasst solche Texte, und gerade in heutiger Zeit — wird das nicht von der Rechtsabteilung gegengelesen?

Der pure Wahnsinn, was da abgeht. Nimmt den Laden einfach vom Netz. War ich am Anfang noch teilweise am Zweifeln, sehe ich seit ein paar Tagen keine Alternative mehr. Ferner müssen neue Leute her, zumindest was das Bild angeht, was Ihr nach aussen tragt.

Nachtrag:

Kneif mich mal wer — ich glaub das ja alles nicht mehr, Nachtrag im StudiVZ-Blog:

Nachtrag zur Klarstellung (Danke an Udo für die Anregung):

Bei der oben genannten Aktion muss die Kenntnisnahme von jeglichen Nutzerdaten unbedingt vermieden werden. Hierzu zählen insbesondere, ohne, dass die Aufzählung abschließend wäre, das Ansehen, Einsehen, Vervielfältigen, Speichern, Drucken, Nutzen, sowie jegliche Form des sich Verschaffens von Daten.

Ausdrückliches Ziel der Aktion ist das Auffinden von Lücken im System selbst unter Auslassung der Nutzerdaten.
Jegliche Störungen und Beeinträchtigungen der technischen und organisatorischen Abläufe des Systems müssen selbstverständlich ebenfalls vermieden werden.

Jetzt werden schon deren Presseerklärungen von Bloggern geflickt, was kommt als nächstes?

Ich liech lang? 😀

Kann mal wer den Stecker ziehen — so langsam ist es gemeingefährlich?

4 Antworten zu “StudiVZ und kein Ende — Nun lässt man Hackern freie Hand”

  1. Falk sagt:

    Du bist doch nur neidisch 😉

  2. Hansi Schnier sagt:

    Ich leb in einer anderen Welt. Das ist so als würde mir jemand erzählen, der RTL-Satellit ist auf die Springer-Zentrale gekracht.

  3. Oli sagt:

    der RTL-Satellit ist auf die Springer-Zentrale gekracht.

    Hätte die Chance für nen Feiertag 😀 😀

  4. […] Es gibt Neuigkeiten aus dem Reich der Berlin-Mitte. Nachdem Hacker aufgefordert wurden, das System zu hacken, hat man nachträglich dem Wahnsinn wohl einem Anwalt vorgelegt, der muss nicht wirklich darüber gelacht haben, jedenfalls folgte der Widerruf prompt. Nachdem dann am Donnerstag der XSS-Angriff folgte, die neue Sicherheitslücke an der Blogbar aufgedeckt wurde, war die Webseite nun schon seit 2 Tagen im Wartungsmodus. Heute dann folgende Meldung auf dem StudiVZ-Blog: […]

RSS-Feed abonnieren