English Summary. This Article shows how the infamous startup StudiVZ cares about the data of their Users. Even with the highest security standards set in the profile of the users, everyone with a browser and an internet connection can browse all the hidden, maybe extremely private pictures (sex, drugs, rockŇĹnŇĹroll orgies noone should see) by simply by typing the URL of the pictures without registring at StudiVZ. This is definitely not a bug or a hack – StudiVZ stored all pictures on a webserver without the slightest securuety meassures.

Gestern Abend war eine Bekannte bei mir, eine Jura-Doktorandin aus M√ľnchen. Zusammen haben wir uns eingehend mit der Frage besch√§ftigt, wie die Datensicherheit bei der Studentencommunity StudiVZ aussieht. StudiVZ selbst behauptet ja:

Unsere Benutzer vertrauen uns, dass wir
* ihre Daten nie an Dritte weitergeben
* Informationen aus unserer Arbeit nie außerhalb der Tätigkeit bei studiVZ benutzen
* ihre Anliegen bez√ľglich Privatsph√§re respektieren und ernst nehmen
* den Zugang zu den Daten sch√ľtzen
So steht es in unserem internen Leitfaden f√ľr unsere Mitarbeiter.

Aber sonst wohl nirgends. Wir haben n√§mlich gestern f√ľr Juliane ein Profil bei StudiVZ angelegt. Nehmen wir mal an, Juliane w√§re lesbisch, und w√ľrde dieses Profil auch dazu nutzen, Bilder von der letzten Sexorgie in Schloss Pommersfelden online zu stellen. Nat√ľrlich soll das nicht jeder sehen, sonder nur, ausschliesslich Juliane selber. Deshalb legten wir einen Bildordner mit h√∂chster Sicherheit an: Den Ordner “Lesbenspass”, mit der Bemerkung:

sichtbar f√ľr: nur mich selbst
Mit dieser Einstellung werden alle Verlinkungen in diesem Album gelöscht.

Dann haben wir ein Bild hochgeladen – Lesbenspass in Pommersfelden eben. Oder was man daf√ľr halten kann – eigentlich sind es Skulpturen am Haupttor des Schlosses, aber die Gesten, die sind doch recht eindeutig. Das sieht dann im geheimen Album so aus:

Nat√ľrlich hat unsere Juliane auch Interessen, die man offen herzeigen kann. So ein Lesbenspass kann schnell die Karriere ruinieren, ein Besuch auf einem Tr√∂delmarkt in Berlin dagegen eher nicht. Deshalb gibt es ein weiteres Album mit dem Titel Berlinberlin, das in Julianes Profil offen angezeigt werden kann:

Juliane jedoch ist sehr, sehr vorsichtig, also stellt sie bei ihrem Profil trotz allem, wie schon beim Ordner Lesbenspass, ihre Daten so verborgen und sicher wie m√∂glich ein. Sichtbar ist das Ding generell ausschliesslich f√ľr ihre Freunde, noch nicht mal die Suche findet Juliane:

Und so sieht dann von einem anderen StudiVZ-Account aus das fertige Profil aus: Zu, vernagelt, keine Chance, reinzukommen, allein das eine Album mit Berlin ist zugänglich, aber nicht das riskante Album mit dem Lesbenspass in Pommersfelden Рvon dem ahnt keiner was, also ist das alles sehr, sehr sicher.

Prima, oder? Dann bitte mal aus StudiVZ ausloggen, wer drin ist, und dann diese beiden Links klicken – Hier ist ganz offen im Internet der Flohmarkt in Berlin:

http://217.188.35.147/albums/2006-11/19/5qw5V0/1Dn92LT-2465.jpg

Und hier, vollkommen offen einsehbar f√ľr jeden, der nur die richtige URL hat, das streng geheime, ideal abgesicherte Lesbenspassbild, das angeblich allein Juliane sehen kann:

http://217.188.35.147/albums/2006-11/19/jzhYV0/nS182LT-2426.jpg

Frei, ungesichert, vollkommen offen f√ľr jedermann mit Browser und URl sichtbar. Wie jedes Bild bei StudiVZ – der Mann, der jetzt die Augen entsetzt aufreisst, auf diesem Bild

http://217.188.35.147/albums/2006-08/25/TzDf0V/wY5049-1386.jpg

ist Dennis Bemmann, der Mitgr√ľnder und Chefprogrammierer von StudiVZ. Das ist der Mann, von dem die obige Behauptung kommt, StudiVZ w√ľrde Eure “Anliegen bez√ľglich Privatsph√§re respektieren und ernst nehmen”. Sogar seine eigenen Bilder sind nicht gesch√ľtzt. Es ist offen, die Bilder, egal mit welcher Sicherheitseinstellung von StudiVZ liegen auf dem Server 217.188.35.147, und jeder k√∂nnte mit simpelsten Mitteln

EURE BILDER VOM BES√ĄUFNISS √úBER DAS KIFFEN BIS ZUM SEX ABGREIFEN.

Und das ist weder ein Hack noch eine “Sicherheitsl√ľcke”, es ist einfach so offen wie dieser Blogartikel hier. Tats√§chlich wird bei StudiVZ so eine gewisse Datensicherheit vorget√§uscht, weil eine nicht verwertbare Bild-URL in den Eigenschaften erscheint:

Aber das Betrachten der beiden Quellcodes reicht aus, um die wahren URLs der Bilder zu finden. √úber das, was man mit den Informationen in der URL anfangen kann, sage ich jetzt nur, dass das Datum offensichtlich ist, aber bitte macht Euch klar:

Alle Eure Bilder liegen in diesem Moment frei im Internet herum, es ist spielend leicht, an sie heranzukommen, und dieser Umstand ist so offensichtlich, dass er bei StudiVZ auch bekannt sein muss. Das ist nicht so, als ob man eine T√ľr offen stehen l√§sst und jeder rein kann – hier hat ein Haus einfach keine Wand. Es ist kein Hack, kein Geheimnis, kein Eindringen. Jeder kann hingehen und sich ein paar Millionen Bilder besorgen, vom Nutzerbild bis zum privatesten Photo. Und zumindest teilweise zuordnen.

So sicher nimmt StudiVZ Eure Datensicherheit.

Und wer glaubt, dass es nicht noch schlimmer geht: Es geht schlimmer. Selbst dieses Totalversagen hat StudiVZ offensichtlich noch beim amerikanischen Gegenst√ľck Facebook √ľbernommen.

Dinanzi a me non fuor cose create
se non etterne, e io etterno duro.
Lasciate ogne speranza, voi ch’intrate