Hi Jojo, ich h├Ątte jetzt gerne eine Fortsetzung hiervon, und zwar, wie ich durch eine Bresche in die von diversen Sicherheitsl├╝cken Bel├Ąstigungs- und Nazipostillenskandalen ersch├╝tterten Startupburg StudiVZ reite, die Lanze eingelegt und sich der Junge aus dem Morgenland vor mir in den Turm zu retten versucht, wo das Kapital gerade bittere Tr├Ąnen vergiesst. Denn StudiVZ hat mal wieder ein irrwitziges Sicherheitsproblem, das das weitestgehende Aussp├Ąhen anderer Leute erlaubt.

Also, stellen wir uns mal vor, wir sind so ein universit├Ąrer Stalker. Wir waren in der ber├╝chtigten *****-Gruppe, wir haben mehrfach die Blogbar gespamt, wir sind der echte Abschaum des Netzes und finden es geil, wenn wir ganz einfach anderen was anh├Ąngen k├Ânnen. So wie unserer Mitstudentin Susi, die uns f├╝r einen stinkenden, versoffenen Schwachkopf h├Ąlt und das auch deutlich zum Ausdruck brachte, als wir versucht haben, sie zu betatschen. Jetzt sitzen wir also im Projektraum, Susi ist an einem PC und grinst sich eines, kichert und hat offensichtlich Spass. Wir ├Ąrgern uns, wir w├╝rden ihr nur zu gern zeigen, was es heisst, uns anbetteln zu m├╝ssen, weil wir etwas ├╝ber sie wissen, was keiner wissen darf. Du, Susi, sagen wir, ich m├╝sste auch mal ans StudiVZ, sagen wir. Aber bitte, sagt Susi, logt sich aus und l├Ąsst uns ran. Und damit haben wir sie im Sack, wir k├Ânnen spielend leicht sehr viel ├╝ber Susi herausfinden. Denn StudiVZ ist

SO BESCHISSEN PROGRAMMIERT, DASS WIR PROBLEMLOS AUF IHR VERHALTEN BEI STUDIVZ ZUGREIFEN K├ľNNEN.

Und das ohne Hack, ohne Erraten von URLs, einfach mit einem einzigen Button und unserem Password. Denn zuerst loggen wir uns auf dem ge├Âffneten Browser wieder mit unserem eigenen Benutzernamen ein – am besten mit einer Fakeidentit├Ąt, deren Besuche nirgends angezeigt werden. Das sieht dann so aus.

Und jetzt brauchen wir nur noch ein Werkzeug, um Susis letzte Zeit bei StudiVZ zu durchschn├╝ffeln. Es ist ganz einfach – der gr├╝ne R├╝ckw├Ąrtsknopf links oben beim Firefox oder bei diesem anderen Browser, na, Internet Explorer, glaub ich heisst der. Den dr├╝cken wir einmal, kommen auf die Einlogseite, dann nochmal und Oooops:

“Aber Du kannst Dich nicht selbst gruscheln”, steht da. Nanu? Wir haben niemanden gegruschelt, das muss wohl ein Rest aus Susis bet├Ątigung sein, und das Programm denkt jetzt, wir w├╝rden das Gruscheln abbekommen. Nochmal auf Zur├╝ck clicken und, des R├Ątsels L├Âsung:

Susi wollte den – hier geschw├Ąrzten – Herrn gruscheln! Na sowas. Da schau an. Soso, gruschelt sie also. Das wird sicher spannend. Gehen wir noch einmel zur├╝ck und schauen wir, was da kommt:

Seine Profilseite. Interessanter Herr. Keine Freunde, aber Mitglied in zwei Gruppen. Einmal Analsex, und einmal eine Gruppe, die sich wohl intensiv mit der Beschaffenheit weiblicher Unterk├Ârper auseinandersetzt, um das mal h├Âflich zu sagen. Aber wir dreckige Stalker, wir lieben das; Susi hat diese Sau gegruschelt! Geil! Und weiter zur├╝ck!

Wohoo! Daher also hat sie ihn! Susi hat sich die Analsexgruppe angeschaut. Prima, dass wir es und mit diesem simplen Trick auch anschauen k├Ânnen. Jetzt ist es so gut wie sicher: Susi ist bei StudiVZ, weil sie Interesse an Analsex hat. Und nochmal weiter zur├╝ck.

Aha! Susi hat gezielt nach Analsex-Gruppen gesucht! Klar, sie hat keine Lust, als Mitglied bekannt zu werden, aber sie geht einfach in die Gruppen und sucht sich ├╝ber die Mitgliederliste einen Kerl raus. Und sie denkt, das w├╝rde keiner merken. H├Ąh├Ą. Morgen ziehen wir wieder eine Stalkergruppe auf, (sowas ist ja nie ganz auszuschliessen, vermute ich, solange die f├╝hrendne K├Âpfe der alten Gruppe bei StudiVZ sind) und dann erz├Ąhlen wir es ALLEN. Und nochmal etwas zur├╝ck.

Prima – da kommen wir auf die Seite eines Albums, das wir uns nicht ansehen k├Ânnen. Ansehen nicht – aber daf├╝r die Album-ID aus f├╝nf Zeichen eindeutig Susi zuordnen. Was sie da drin wohl f├╝r Bilder versteckt haben wird? Nachdem die Bilder ja trotzdem frei auf dem Server liegen, wird man halt etwas rumprobieren m├╝ssen, aber wir wissen, dass Susi hier geheime Bilder hat. Den Inhalt k├Ânnen wir uns lebhaft vorstellen. Und nochmal zur├╝ck:

Ha! Ihre Profilseite! damit schliesst sich der Kreis. Susi glaubt, ihre Daten bei StudiVZ sind sicher. Fakt ist aber: Nichts ist sicher. Man kann ihren Weg im angeblich gesch├╝tzten StudiVZ problemlos mit dem eigenen Passwort und einem offenen Browser nachvollziehen, sich ihr Verhalten anschauen, ihre privaten Beziehungen ausspionieren und Informationen ├╝ber ihre Inhalte sammeln – und das, obwohl sie ihr Profil scheinbar ideal abgesichert hat.

Kurz: StudiVZ hat ein enormes Datenschutzproblem, und es ist so gross, dass ich vermute: Sie kennen es. Es gibt einfach keinen Mechanismus, der eine Session abschliesst. Da hilft ├╝brigens auch kein Leeren des Browsercaches. Und das Problem besteht seit Wochen, vermutlich sogar von Anbeginn. Es ist unfassbar, es ist kinderleicht, und wie dann einer von denen behaupten kann, dass ihnen die Sicherheit der Nutzer am Herzen liegt – muss reiner Zynismus sein.

Dass Unister ├╝brigens auch Probleme hat, weil sie Session-IDs vergeben, die, so die URL irgendwo die Runde macht, jedem erlauben, auf die Profile der betroffenen Nutzer unbegrenzt zuzugreifen, ist auch nicht sch├Ân. Eher eine Katastrophe. Aber wenigstens hat man sich um etwas mehr Sicherheit der Sessions bem├╝ht. StudiVZ hat absolut nichts getan, sie sind meines Erachtens ein Fall f├╝r den Datenschutzbeauftragten in Berlin, und, falls jemand durch so eine Aktion wie auch immer zu schaden kommt, ein guter Grund, mal mit dem Rechtsanwalt zu sprechen. Susi ist zum Gl├╝ck nur ein Fake – hunderttausende Leute, die StudiVZ von ├Âffentlichen Computern in der Uni nutzen, dagegen nicht. Ich habe nit einem Projekt zu tun, bei dem 250 sich nicht immer gr├╝ne Leute auf 30 frei nutzbare Internetrechner verteilen – und ich werde jetzt gleich mal mit dem Leiter sprechen. StudiVZ dagegen sollte das Teil schleunigst vom Netz nehmen.

[Edit]: Weil die Frage aufkam: Es geht auch,
- wenn sich der Nutzer ausgeloggt hat
- man sich anders einloggt
- zur├╝ckgeht
- und dann zu den internen Mails kommt
Das sieht dann Schritt f├╝r Schritt zur├╝ck so aus – Susi hat sich auf ihrer eigenen Seite ausgeloggt, dann beim n├Ąchsten Zur├╝ck kommt:

Man dr├╝ckt auf OK, und es erscheint:

und nochmal zur├╝ck, viola:

Man wird ironischerweise selbst als Absender f├╝r die Mail von Susi sichtbar, erkennt aber, an wen die Mailvon Susi ging. Der Text ist gl├╝cklicherweise nicht sichtbar.