Oooops – bei StudiVZ muss was absolut Grobes passiert sein
Wenn man sich dort einloggt, kommt diese nicht wirklich vertrauensbildende Meldung:
Sicherheitsmassnahme – bitte neues Passwort erstellen:
Wir haben den begründeten Verdacht, dass Unbefugte heute versucht haben, sich Zugriff zu studiVZ zu verschaffen.
Zu Deiner Sicherheit ist Dein bisheriges Passwort nicht mehr gültig.
Um Dir ein neues Passwort zu erstellen, gib bitte Deine Emailadresse unten an. Du bekommst dann eine Email von uns mit einem Link, um Dir ein neues Passwort zu erstellen.Wir entschuldigen uns für das Problem und danken für Dein Verständnis!
Auf diese Art wird der Laden erst mal seine Karteileichen los. Wenn nicht alle bis jetzt schon ihre Daten los geworden sind. Und eigentlich würde man sich hier eine etwas offenere Informationspolitik wünschen, schliesslich hat das Startup neben einem Faible für Nazistileinladungen und seinen Stalker- und Genozidleugnergruppen auch eine Menge Verantwortung für die persönlichen Daten von angeblich mehr als 1,5 Millionen Nutzern.
Tolle Firma, die Holtzbrinck da eingekauft hat. Und die wollen jetzt Schüler “vernetzen”. Na prima.
Edit: In der offiziellen Pressemitteilung wird dagegen schon eher mit der ganzen unschönen Wahrheit herausgerückt:
Wie die Berliner Studierendenplattform studiVZ heute mitteilte, hat eine bislang unbekannte Person während des heutigen Tages Mailadressen, Zugangsdaten und Freundschaftsverbindungen illegal aus der studiVZ-Datenbank auslesen können. Wie viele Profile davon betroffen sind ist zum jetzigen Zeitpunkt noch offen.
Erstklassiges Customer Relationship Management, im Bonker.
Sorry, the comment form is closed at this time.
Tja, da versucht wohl jemand, zu testen, wieviel sich die Besucher gefallen lassen ;-)
“Wir haben den begründeten Verdacht, dass Unbefugte heute versucht haben, sich Zugriff zu studiVZ zu verschaffen.”
Das ist wohl absolute Verharmlosung – Ich würde eher sagen, da wollte jemand die Passwörter knacken. Wenn ich Zugriff auf das StudiVZ haben will, melde ich mich einfach an….
hm… sollten keine weiteren informationen folgen werd ich mich vertrauensvoll an meine bekannten beim bsi und datenschutz wenden…
erinnert mich an die diebstaehle von kreditkartendaten und sozialversicherungsnummern in den usa – schoen an den kunden vorbei geschwiegen und mit lapidaren begruendungen abgeschmettert.
Toll,
das schülerVZ funktioniert weiterhin und von studiVZ bekomm ich keine Passwort-Email. Sind wohl überlastet oder haben noch ganz andere Probleme.
Booaar, Deine Beiträge sind langsam aber sicher zum Kotzen. Egal, was bei StudiVZ passiert oder nicht passiert – in Deinen Augen ist es immer was ganz, ganz Schlimmes und die Betreiber von StudiVZ sind schuld und Holzbrinck hat den Fehlkauf seines Lebens gemacht.
Langsam reicht es, wenn Du kein Bock auf StudiVZ hast, bleib doch einfach fort. Dass hier hat nichts mehr mit Journalismus, Aufklärung oder dergleichen zu tun, was Du ablieferst, ist einfach nur noch Neid und Miesmacherei.
Ich glaube eher das ist eine Maßnahme um, wie Don schon geschrieben hat, die Karteileichen loszuwerden. Demnächst bei StudiVZ: Die große Werbeoffensive, schließlich hat man ja jetzt aktuelle Daten, wie groß der erreichbare Personenkreis ist.
Bruteforce-Attacken oder ähnlich sind wohl sinnlos, die zielen immer auf eine Email-Adresse. Naja vielleicht gabs zu viele Stalking Beschwerden à la “Da war wer online mit meinem Passwort” – who knows.
Jan, danke für die Erinnerung, dass ich ab sofort wieder beim Löschen in den StudiVZtroll-Abwehrmodus gehe. Du Pfeife.
“…in Deinen Augen ist es immer was ganz, ganz Schlimmes und die Betreiber von StudiVZ sind schuld und Holzbrinck hat den Fehlkauf seines Lebens gemacht…”
Wenn ich wirklich so dämlich sein sollte und meine Passwörter in Klartext in meiner DB speichere – ja, dann ist da wirklich was Schlimmes passiert. Und wenn ich 100 Millionen Euro für so eine “Firma” ausgebe, naja, die Antwort kann man sich nun glaube ich denken.
Das wird wohl einfach dafür sein, dass Fake-Profile, die mit Einwegadressen und ähnlichem angelegt wurden, wieder vernichtet sind. Sie haben wirklich entdeckt, dass jemand einen Datenbank-Dumb gezogen hat. Dann sollte man das auch sagen. Im vor langer Zeit versprochenen Technikblog oder so :D
@ 6
Warum sollten sie daran interessiert sein, ihre Karteileichen loszuwerden?
Komische Formulierung, einen begründeten Verdacht kann man in der Gegenwart garnicht haben. Man kann höchstens einen Verdacht haben, welcher sich später als begründet herausstellt. Dann ist es aber kein Verdacht mehr. Oder so.
Ãœbrigens hab ich gerade mein Passwort per Mail bekommen. Auf den ersten Blick ist noch alles so, wie gestern war.
Begründet kann der Verdacht sicherlich sein, bewiesen sein kann er nicht.
@ 10: Um genaue Daten über den aktiven, erreichbaren Personenkreis zu haben..danach richten sich die Werbepreise.
Was mir grad noch eingefallen ist: Wenn tatsächlich jemand alle PWs abgegrast hat, hat er vermutlich auch 70% aller Email-Passwörter, die leutchen können sich doch nur eins merken…omG!
Datensätze wie die von StudiVZ wecken natürlich Begehrlichkeiten.
Wenn sie Glück haben und der Verdacht begründet war, waren es nur Whitehats. Oder Leute wie die, die das Blog gehackt haben. Wenn alle Daten noch da sind und dennoch einer drin war, nun, dann kann es sein, dass da wirklich nur einer die Daten wollte.
Und das mit den Passwörtern ist sauunangenehm – vielleicht warnen sie ja morgen, dass man auch das Email-Passwort ändern sollte.
ich hab verschiedene PW für wichtige sachen. für belustigungskram wie das studivz ist es aber dasselbe.
@14
Warum sollten sie denn die Werbepreise freiwillig drücken, indem sie selbst dafür sorgen dass sich die (jetzt niedrigere) Anzahl aktiver Kunden genau verifizieren lässt? Ist dass nicht ein Widerspruch?
Die haben wirklich ihre Passwörter im Klartext und nicht als Hashes gespeichert?
Mal ‘ne kleine Wette:
Als alter Optimist tippe ich mal, 100.000 von vormals angeblich mehr 1 Mio. StudiVZ-Mitgliedern bleiben nach diesem Relaunch noch übrig.
hier: http://www.basicthinking.de/blog/2007/02/27/studivz-hinweis-erfolgreicher-hackversuch/
Und wieso kriegt man diese Info erst beim nächsten Login(!) bzw. durch Blogs Dritter? Armer Laden …
Und als ob nicht jeder sein altes Passwort neu erstellen würde. Oder geht das nicht?
Hmmm… wenn man den Anweisungen nicht folgt und statt einem neuen Passwort das alte beim zugeschickten Link angibt, kommt:
Da hat jemand Angst, denke ich.
@23: Das alte Passwort kann nicht mehr gewählt werden. Es muss ein neues sein!
@15
Im Dialog beim Einrichten des neuen Passworts warnen sie quasi jetzt schon zwischen den Zeilen, dass man evtl. das email-Passwort ändern sollte:
“dieses Passwort bitte nur für Studivz benutzen”
StudiVZ – Passwörter geknackt
Keine Tags vorhanden.Kaum loggt man sich bei StudiVZ ein kommt die Meldung:
Sicherheitsmassnahme – bitte neues Passwort erstellen:
Wir haben den begründeten Verdacht, dass Unbefugte heute versucht haben, sich Zugriff zu studiVZ zu verschaffen.
Z…
Was ich auch nett finde, ist der Vergleich zwischen der obigen kurzen beschwichtigenden Information und dem, was man der Presse gegenüber zugibt:
Verarscht da vielleicht gerade einer seine Kunden?
Ich dachte, das wäre myspace, die Schüler vernetzen ;-P
So ein Mist, ist eine ganz schöne Arbeit bei meinen ganzen Fake-Accounts die Passwörter neu zu setzen. Aber es lohnt sich ja. FÜR MEHR FAKE ACCOUNTS im StasiVZ ^^.
Aus der Pressemitteilung: “(…)weil wir in den letzten Monaten viele Anstrengungen unternommen haben, um den missbräuchlichen Zugriff auf die Daten unserer Nutzerinnen und Nutzer zu erschweren. Wir arbeiten daran kontinuierlich weiter und nehmen den Vorfall zum Anlass, unsere Anstrengungen weiter zu verstärken.”
Zu erschweren, so so. Ist zwar eine Aussage, die großen Realitätssinn offenbart, aber dennoch nicht sehr vertrauenserweckend ist.
Gabs fürs StudiVZ-Haxx0rn nicht mal Geld? Ich meine, da war mal was. :o)
ich hab plötzlich keine Freunde mehr an meiner Uni. Alles gelöscht. Versteh ich nicht.
jetzt haben wir shon folgende meldung, nachdem ich den link zur passwordrücksetzung erhalten habe
Fehlerhafter Reset-Link
*lach*
ich sag nur, die verstehen was vom geschäft, aber wohl nix vom programmieren ;-)
Es gibt bessere Methoden Karteileichen loszuwerden. Und zwar ohne so einen Image-Schaden.
Zum Beispiel eine Warnung per email: “Bitte Aktivierungslink klicken, sonst Löschung in 14 Tagen!” oder sowas in der Art.
Außerdem könnte man eine halbwegs realistische Nutzerzahl auch erfassen, indem man loggt wer sich wann einloggt.
@17: seriöse Zahlen sind mehr Wert als eine grobe Schätzung. Naja, kommt auch auf die Differenz an.
@11
Ganz richtig müsste es wohl heißen: “den auf Tatsachen gründenden Verdacht”. Aber zur Ehrenrettung des StudiVZ muss man sagen, dass die Wendung “begründeter Verdacht” schon ziemlich geläufig ist, auch in Polizei-Kreisen.
Zur Pressemitteilung vom VZ: Der entscheidende Satz scheint mir zu sein, dass die Passwörter, die in der Datenbank gespeichert waren, alle verschlüsselt waren.
Wehe, das stimmt nicht! ;-)
Da wird einem ja ganz anders… egal ob Fakeaccount oder nicht, ich lösche den, sobald ich wieder rein kann. Es kommt bei mir übrigens ebenfalls keine Bestätigungs-Link-Email an…
Danke für die regelmäßige Berichterstattung hier. Ich bleib mal dran!
In.Go
Nachtrag: BEstätigungsmail erhalten, ebenfalls mit “Felherhaftem Resetlink”
*schrei*
ich kann an meinem Account keine Veränderungen vornehmen und überhaupt kommt mir das alles sehr komisch vor.
2. Nachtrag: Das erscheint nun in einem Fenster:
Sicherheit geht vor!
Wir werden in wenigen Augenblicken für ca. 3 Stunden offline gehen.
Danke für Dein Verständnis.
VG
Ehssan Dariani.
(Tip für die Wartezeit: Besser Lernen!)
Und jetzt
Wir sind gleich wieder für euch da…
Liebe studiVZler!
Nun müssen wir doch eine Pause einlegen!
Wir wollten Euch aus Sicherheitsgründen ein neues Passwort zukommen lassen. Die zahlreichen Abfragen von Passwörtern haben nun aber unsere Datenbank in die Knie gehen lassen.
Bitte habt Verständnis. Wir lösen das Problem, brauchen aber etwas Zeit.
Gegen 0.00 Uhr sind wir wieder für Euch da!
Viele Grüße
Euer studiVZ-Team
Na, dann laßt die Jungs doch offline gehen und an 1-2 Schräubchen drehen. Bringt nicht viel, wenn man sich hier die Köpfe einhaut. ;-)
Sieht jedenfalls nach ‘nem deftigen Schlamassel aus, ich habe eben so ziemlich alle Fehlermeldungen kassiert, die man sich im Zuge dessen vorstellen kann. :D Sogar meine E-Mail-Adresse war zwischenzeitlich unbekannt.
hehe, jetzt sind se ganz weg!
“Wir sind gleich wieder für euch da…” @ StudiVZ.net
Die komplette Seite ist nach deren Angaben bis 0 Uhr offline ^^
Grund: Datenbankserver gehen beim Passwortresetansturm in die Knie.
Aufgrund der “fehlerhaften” Resetlinks könnte das Problem aber auch softwareseitiger Natur sein.
Auf jeden Fall wirds mit dem StudiVZ nicht langweilig =)
“Fehlerhafter Resetlink”, was hat das zu bedeuten?
Ich kenne wirklich keine HP die sich so zum Affen macht wie StudiVZ! Das ist echt nicht mehr lustig und vorallem nicht SICHER!!!
Die Emailadressen sind sicher bisschen was Wert.
http://www.golem.de/0702/50772.html
@46: Neid ist wohl der seltenste Grund, um sich Nutzerdatensätze abzusagen.
Könnte es sein, dass Herr Dariani gerade ganz viele Emailadressen + Daten verscherbelt. Anonym natürlich…das waren ja die bösen Hacker…
Und ich dachte, StudiVz sei cool. Da spiel ich doch lieber wieder Killerspiele.
Das StudiVZ hat sich mittlerweile einiges geleistet. Schön und gut. Was Du Dir, Don Alphonso, hier aber leistet, ist manchmal schwer zu ertragen. Und ich erwarte Dich nun nicht händereibend vor dem Laptop mit dem Gedanken “Oh ja, eine weitere Pfeife, die ich durch meinen Schreibstil verärgern konnte.”
Nein, sieh es wenigstens einmal völlig sachlich. Mein vollster Respekt für den investigativen Journalismus, der am Anfang der ganzen StudiVZ-Geschichte in der Tat viel bewirkt hat. So etwas weckt Sympathien. Das Blatt hat sich aber leider gewendet. Schau dir einfach einmal diesen Artikel, den ich nun kommentiere an. Du schaffst es, eine geringe Anzahl an Informationen mit vielen negativen Floskeln u.a. zu spicken.
Sicher, dein Blog, deine Meinung. Absolute Objektivität mag nicht existieren und Du bist sicher der Letzte, der sie für sich beansprucht. Aber ohne informellen Mehrwert verlieren auch Deine subjektiven Geschichten ihren Reiz.
Keiner zwingt Dich, das hier zu lesen. Wenn Du unbedingt eine Debatte zu meiner Person führen willst, mach das bitte auf Deinem eigenen Blog, ich habe keinen Nerv mehr für die “Früher war es ja noch ok aber heute” Geschichten irgendwelcher aufpoppender Neulinge aus der immer gleichen Ecke. Diese Masche fällt bei diesem Thema inzwischen echt ein wenig auf.
Hallo Arisch,
DonAlphonsos “informeller Mehrwert” ist entschieden höher als Deiner. Er bietet hier immerhin Informationen an, die man auf StudiVz leider nicht bekommt.
Es ist die Schuld von StudiVz, dass es sich nicht offen zu seinen Problemen bekennt und so tut, als sei alles halb so schlimm.
Ob dann jetzt auch wieder der Blog ins Leben gerufen wird?
Ich glaube den hat auch jeder vergessen, oder?
;)
Oh mann was hier experten am werk sind. Wenn die die passwörter aus der db haben isses ein leichtes das richtige passwort aus dem hash zu errechnen… das dauert nicht mal wirklich lange und geht bei passwörtern bis zu 15 zeichen relativ einfach! viele leute haben dann noch ihren gmx account oder sonstwas mit dem gleichen passwort geschützt… schwups ist man da auch drin! und dann schön bei amazon etc. neue passwörter anfordern und schwups ist man eine stange geld leichter! also harmlos nenne ich das auf keinen fall und ich werde mich jetzt wohl endgültig von dem laden verabschieden. ich weiss nicht inwiefern man studivz dafür verantwortlich machen kann, aber es kann dadurch SEHR viel schaden entstehen!
@Mwuhaha: Du hast dich verlesen, der heisst nicht Arisch, der heisst Arsch. =)
Weder noch, er heißt “aerisch” – auch wenn ich mir darunter nichts vorstellen kann :)
@Frank
[ ] Du hast das Prinzip eines Hashes verstanden.
Ansonsten volles ACK!
Viele benutzen ein und dasselbe Passwort für verschiedene Zugänge. Mit den in der DB hinterlegten Adressen kann man da wirklich viele schöne Dinge treiben…
Hoffentlich haben die StudiVZ-Leute anständige Hash-Algorithmen benutzt und keine Eigenkreationen à la “User-ID-Verschlüsselung”… ;-)
Ich kann gar nicht aufhören zu lachen. Erst vor ein paar Tagen hatte ich mit ein paar Studenten die Diskussion, ob es denn wirklich so sinnvoll sei seine Daten bei StudiVZ so öffentlich zu machen und das die Daten eventuell auch von anderer Seite ausgelesen werden könnten. Deren Meinung war unisono: “Die haben doch jetzt alles neu und sicher gemacht.”
Und jetzt das.
Meine Fresse. Will mal nur hoffen, dass es Whiteheads waren. Obwohl, andererseits auch egal. Wer nicht hören kann muss fühlen.
Don, Du schriebst vor einiger Zeit (sinngemäss), dass Du abdrückst wenn Dir jemand dermassen vor die Flinte läuft. Ich glaube, das ist gar nicht notwendig. Die machen das schon ganz alleine.
meintest du nun ich hab das nicht verstanden? naja passwörter werden meistens blöderweise bei mysql und so mit md5 gehasht und so gespeichert da das meistens reicht. leider ist dies nicht sicher… windows speichert auch per lanman hash glaube ich… die dinger sind per rainbow tables auslesbar.
Tja, tja…
Die Prophezeiung mit dem Esel-Link im Heise-Forum hat sich dann vielleicht doch noch bewahrheitet.
Habe mich mal mit so einem Entrepreuner-Prof zu dem Thema unterhalten.
Er meinte: Auch wenn die Daten quasi zum mitnehmen im Web verfügbar wären, dürfte man sie nicht mitnehmen, wegen illegal und so.
Das wäre halt wie bei einem Wertgegenstand im offenen Cabrio, darf man auch nicht mitnehmen, da verboten.
Antwort: Wenn man aber Nachts einen Koffer voller Geld in einem offenen Cabrio in Essen-Katernberg platziert und Herrn Dariani mit einem umgehängten Schild auf dem steht “Schlag mich” auf den Beifahrersitz setzt, sollte man sich wundern, wenn Cabrio und Geld futsch sind…und jemand ne blutige Nase hat.
Der “Mehrwert” in diesem Blog besteht hauptsächlich aus einer ziemlich großen Portion Häme und Schadenfreude. Natürlich ist das StudiVZ nicht mehr als eine hastig zusammengeflickte FaceBook-Kopie, und ich halte Sätze wie “Besser Lernen!”, “Käffchen gefällig?” und “Och Kinder …”, bei solchen ernsten Angelegenheiten für völlig unangemessen, aber das ist noch lange kein Grund, selbst in irgendwelche Hasstiraden zu verfallen.
Der Mehrwert einiger Kommentare hier will sich mir auch nicht so recht erschliessen. Kommen da ausser “Mehh, ich will auch mal was sagen!” noch substanzielle Argumente? Oder ganz konkret belegbare Fakten, bei den der Hausherr hier offenkundig die Unwahrheit sagt? Irgendwas greifbares?
Oder doch nur: “Menno, meine Befindlichkeit wurde gekränkt. Die sind alle so gemein hier *heul*”?
@Frank
Dann weißt du bestimmt auch was das hier ist:
http://de.wikipedia.org/wiki/Salted_Hash
Nicht so leicht zu implementieren wie einfach in php nen md5() rüberzubügeln, aber Stand der Technik…
…das ist wieder mal sooo typisch!
Was ich ja auch noch so nen Knaller finde, ist dieser Bandwettbewerb: Ungefähr ein Dutzend Kiddies haben damals richtig viel Zeit und kreative Energie in diese dusseligen StudiVZ-Songs investiert, und nun wurde der Wettbewerb eingemottet… Ich wäre an deren ihrer Stelle ziemlich sauer, zu mal ich sicher bin, daß Dariani und Co. schon die Rechte an diesen Werken haben… Hat jemand da schon was gehört?
md5 kann nicht reverted werden. wenn man einen md5 hash in klartext bekommen will, muss man eine menge x von klartexten mit md5 verschlüsseln und mit dem gespeicherten hash vergleichen. das könnte unter umständen in arbeit ausarten. was die sache auch nicht besser macht.
mich würde mal interessieren, wie man so intensiv ins system eingreifen kann, dass man derart viele nutzerdaten auslesen kann. entweder erlangt man zugriff zur datenbank oder man wird ein bestimmter nutzer auf dem server, www-data oder root. und bekommt dann so zugang zur db. aber das geht doch eigentlih nur, wenn man den netzwerkverkehr mitsnifft und irgendein login mitschneidet… oder? bruteforce auf ftp/mysql/ssh accounts sollte ja wohl auffallen.
Oh je… Wenn man so sieht, was für Leute hier auf eine pseudo-zynische Art Kommentare schreiben…
Wenn Ihr etwas gegen StudiVz habt, bitte. Aber deshalb hier irgendwelche wirren Behauptungen, Theorien oder Interpretationen aufstellen, ist unterstes Niveau.
Manchmal habe ich das Gefühl, die Menschen denken nur so schlecht von anderen, weil sie selbst sich so verhalten würden.
Daher an alle StudiVz-Hasser: Bitte keine Verleumdungen.
Und an alle, die sich jetzt angesprochen fühlen sollten: Werdet erwachsen…
In diesem Sinne
[quote]schliesslich hat das Startup neben einem Faible für Nazistileinladungen und seinen Stalker- und Genozidleugnergruppen auch eine Menge Verantwortung für die persönlichen Daten von angeblich mehr als 1,5 Millionen Nutzern.[/quote]
Also dieser Absatz ja bloß seeehr leicht an mit unpassenden Bemerkungen vollgepackt – ich sag nicht das sie falsch sind…aber in der Stelle wirken sie nurnoch hetzerisch. Als ob sich jemand freut endlich mal wieder über das VZ herziehen zu können!?
Zum Thema: Vielleicht sollte StudiVZ jetzt auch mal alle Funktionen wie Freunde,etc. deakivieren. So ist man ja auch beim Blog gefahren (das wohl jetzt schon so 1000 “ihr nieten!!” und 2000 “ihr schafft das schon :))” Einträge hätte…)
Aber wie hatte man noch gleich argumentiert? Man wolle eine eigene Lösung coden? Nun…das passt ja perfekt. Dann könnten die nachdem sie Facebook geklont haben ja auch mal was eigenes programmieren ;-)
p.s.: Neeeein DAS war nicht hetzerisch…DAS war pure Ironie..!
@64
Um Zugriff auf die DB zu bekommen, fallen mir noch paar andere mögliche Attacken ein, um an benötigte Dinge zu kommen…
– SQL-Injection, Anlegen eines Datenbank-Users (Das geht natürlich nur, wenn der entsprechende User Rechte auf Grant hat)
– Man setzt sich unauffällig bei Starbucks etc. neben einen StudiVZ-Entwickler, schmeißt Ethereal an und snifft mit…Vielleicht findet sich was.
– Man gibt einem Praktikaten einen USB-Stick mit, der angebliche coole MP3s von Darianis Lieblingsband enthält, beim Einstecken jedoch einen Trojaner im Netz von StudiVZ startet…
Das sind jetzt drei rein theoretisch denkbare Varianten, StudiVZ anzugreifen. Fakt ist, dass man sich mit sowas inzwischen rechtlich wirklich in der Grauzone bewegt. Das hat mit so Fun-Hacks wie meine damaligen URLs-Manipulationen nix mehr zu tun, und ist zu Recht strafbar.
>>Daher an alle StudiVz-Hasser: Bitte keine Verleumdungen.
Erinnert mich irgendwie an:
http://www.youtube.com/watch?v=L9LZlRoOjRI
Soll mir jetzt Jamba ein Monatspaket verkaufen, weil die meinen Namen wissen, oder was??? Dämliche Diskussion.
Und es ist auch nicht zu leugnen, daß das StudiVZ auch eine Art Kontaktbörse für Singles darstellt. Wenn eine attraktive Frau keinen
Kontakt wünscht, lässt sich das im StudiVZ einstellen.
Wenn man sich aber entscheidet, für alle sichtbar zu sein, muss man damit leben, angesprochen zu werden.
Oder soll ab jetzt jeder eine Straftat begangen haben, der eine Frau in der Disco anspricht??
Viel nerviger ist der echte “Spam”, nämlich die Prospekte in meinem Briefkasten, trotz Hinweis.
Das ist nicht unterstes Niveau, das ist Intarn3t :P
Hallo Kajetan,
Mehh, ich will auch mal was sagen!
Halb konkret unbelegbare Fakten sind besser als ganz unkonkret belegbare. Mal abgesegen von den ganz konkret unbelegbaren.
Und
Hallo Wedge,
Alles klar, nicht falsch, aber hetzerisch. Das ist genauso sinnvoll, wie Kajetans Kommentar. Du hast das Prinzip von Toleranz verstanden. Man muss alle Meinungen akzeptieren, bis auf die, die unhöflich formuliert sind.
Ich bin mir ziemlich sicher, dass es nicht die altbekannten Herren voim November waren. Die hätten irgendwo mit einer IP einen Wink hinterlassen. Davon gibt es diesmal keine Spur.
Tja. Da haben sie eben Pech gehabt, die Leute im Bonker. Vermutlich richtig grosses Pech. Ich tippe auf Nachlässigkeit im Umgang mit Passwörtern im Bonker.
@margarit: sql injections… und sobald man einen db dump hat kann man damit alles machen! also ich weiß dass sowas net schwer ist. mit ein wenig knowhow und ungeschützten php funktionen geht das. wird salted hash bei phpbb eingesetzt? weil wenn ja dann ist es nic5ht sicher! und md5 kann reverted werden…
hab ich irgendwas nicht verstanden oder sind kommentare nicht auch dazu da, den beitrag zu kommentieren? klar nervt der xte vorwurf nach selbem schema (früher war alles besser). aber es nervt auch die xte wiederholung (nazi-einladung blabla). in diesem sinne – gute nacht :)
naja, ihr könnte einfach meinen comment (#34) kommentieren… der ist nicht so sinnlos wie der (fast ganze) rest.
[nicht das Thema, aber]
@Gast 69: Wenn eine attraktive Frau keinen
Kontakt wünscht, lässt sich das im StudiVZ einstellen. Wenn man sich aber entscheidet, für alle sichtbar zu sein, muss man damit leben, angesprochen zu werden.
Mmmmhmmm. Das ist ungefähr so schlagkräftig wie das Argument, dass das Mädel, das sich aufreizend anzieht, selbst schuld ist, wenn es vergewaltigt wird.
Ich weiß, ich weiß, das hast Du nicht behauptet, aber Dein Kommentar geht genau in diese Richtung. Und solche Kommentare? Kotzen mich einfach an. [/nicht das Thema, aber]
Stefan, ich werde hier demnächst vielleicht mal einen Disclaimer unter den Kommenmtierbutton packen in der Hoffnung, dass manche da draussen dann kapieren, wozu wir hier Kommentare haben – und wozu nicht. Beispielsweise für Deine Einlassungen.
so extrem schlecht war seine “Einlassung” gar nicht…
@stefan (74):
Falsch! Wenn sich jemand erdreistest, in übelstem Nazi-Stil Geburtseinladungen zu verschicken, dann muss ihm das bei JEDER Gelegenheit um die Ohren gehauen werden. Und sei es nur, dass ein Einkauf bei ALDI von ihm publik wird.
Wer solch einen Dreck als Mittel der Wahl für eine Einladung zu einer Geburtstagsfeier wählt verdient kein Mitleid und keinerlei Rücksicht.
Mir geht diese Meta-Diskussion über Kommentare in der Blogbar derweil ziemlich auf die Nerven.
Es gibt irgendwie bei allen StudiVZ-Themen praktisch dreierlei Arten von Kommentaren
1) Irgendwelches Troll-Gehabe a Heise.de, Stilrichtung “Mit Linux wäre das nicht passiert”, “select * from studivz_entwickler where IQ > 40″… Ganz ehrlich: Ich will mir nicht die PHP-Scripte angucken, die ihr zusammenstrickt… Denn ein wirkliches, sicheres System zu bauen ist echt schwierig. Frotzeln darf man sicher das ein- oder andere Mal, aber dieses Gehabe geht einfach auf den Sack. (Zumal einige hier tatsächlich keinen Plan haben, was sie schreiben, wenn sie Begriffe wie MD5 in den Mund nehmen.)
2) DonBashing: Genauso überflüssig, wir leben in einer Gesellschaft mit freier Meinungsäußerung. Wer das nicht abkann, soll einfach nicht mehr mitlesen oder gar schreiben. Euren Senf braucht niemand, danke.
3) Sinnvolle Kommentare
Bitte Typ 1+2 bleiben lassen, danke.
es ist auch bei diesem server nicht anzunehmen, dass db-user für eine www-anwendung die privilegien hat, einen neuen user anzulegen. sql-injection halte ich für das unwahrscheinlichste. ein bischen grundlagenwissen sollte man den serveradmins auch zutrauen.
@frank
wie md5 reverted werden könnte, hab ich oben beschrieben.
wo sind die daten eigentlich? sind sie irgendwo aufgetaucht?
Datenklau beim StudiVZ
Viele haben ihn kommen sehen, jetzt ist er endlich da: Der Datenschutz-GAU beim StudiVZ.
Hier etwas Lesestoff:
Oooops – bei StudiVZ muss was absolut Grobes passiert sein
StudiVZ: Oops, …
StudiVZ: Pressemeldung zum Angriff auf die Datenbank [Update
@67
Ethereal könnte Erfolg haben, die Jungs verschlüsseln ihr wlan mit wep
@Knut: Wenn du differenzierst zwischen SIE (gleich Ehssan und Co.) und zwischen SIE (gleich Holtzbrinck), dann dürfte dir bei Holtzbrinck einleuchten, warum jemand Karteileichen eliminieren möchte. Der Planbarkeit halber. Wenn es um Geld geht kann man seine Zukunftsprognosen nicht auf virtuellem Müll gründen wollen.
ok nochmal eine wortmeldung von mir danach ist ruhe:
mysql hat eigenes hash verfahren dauert bruteforce bei 8 stellen 3 sekunden zu hacken
sha dauert ewig
doppeltes md5 auch
normales md5 per rainbowtables, allerdings gibbet bei md5 kollisionen, d.h. 2 passwörter gleicher hash
wer mich korrigieren will nur los…
Mal wieder ein riesen Klops, den die StudiVZler sich da geleistet haben, aber viel schlimmer finde ich das ganze, wenn man die Tragweite dieses Datenklaus beachtet, und die Tatsache, dass StudiVZ kaum oder unzureichend auf die Gefahren hinweist:
Ich bin mir sehr sehr sicher, dass der Großteil der StudiVZ User für das StudiVZ das gleiche Passwort verwendet, wie für seinen Mail Account.
Wenn nun jemand StudiVZ Zugangsdaten geklaut hat, heißt das, er hat Mailadressen und dazugehörige StudiVZ Passwörter.
Auch wenn StudiVZ jetzt die Seite sperrt und die User zwingt, sich neue Passwörter zu machen, ist es nur eine Frage der Zeit, bis dieser jemand eine Mailadressen/Passwort Kombination findet, mit der er auch in den Mailaccount kommen kann.
Das ist schon mal ganz schön krass.
Nun denke man weiter, wo man noch überall beim Login nach seiner E Mail adresse und seinem Passwort gefragt wird.
Ich denke da an so Dinge wie PayPal, Amazon.de, eBay,….
Huch! Das sind ja alles Dinge, die mit Geld zu tun haben.
Und alles Dinge, auf die jemand, der in der Lage ist, 1000 Zugangsdaten zu klauen, auch kommt.
Herr Dariani und seine Käffchen Freunde mögen sich ja bemühen, und privat sehr nette Leute sein, aber ich bin mir nicht sicher, ob ihnen da die Tragweite dieses Datenschutz Super GAUs bewusst ist.
StudiVZ ist wieder online, und irgendjemand rennt jetzt mit weiss nicht wievielen Passwörtern, vielleicht auch eurem rum!
wenigstens behauptet noch keiner der ccc war es und wurde gekonnt abgewehrt… ;)
und @ 32 “ich hab plötzlich keine Freunde mehr an meiner Uni… .”
zum Glück gibt es ja noch das echte Leben…
vielleicht war es ja auch der erste Testlauf des “Bundestrojaners”, bei der Menge an strafbaren Äußerungen ein gefundenes Fressen… ;)
http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=12288997&forum_id=113182
fünfter Absatz:
“Außerdem frage ich mich gerade, wie glaubwürdig die Aussage ist, dass
die Passwörter verschlüsselt seien. Ich könnte schwören, dass diese
Klartext zum Benutzer übertragen wurden: Im Menü zum Passwort ändern
steht dieses in den Feldern. Entweder ich irre mich, oder es wurde
geändert – oder ist die Verschlüsslung vielleicht totaler Unsinn?
Wundern würde es mich angesichts der bisherigen Sicherheitspolitik
nicht. Dabei bietet php grundsätzlich alles, was man für ein relativ
Sicheres Konzept braucht (nein, jetzt bitte keine Flamewars über PHP
selbst).”
gogo testen…
Ich finde es absolut erschreckend wie viele Leute hier aufschlagen, sich positiv zu StudiVZ bekennen und es dann auch noch verteidigen.
Die haben durch IHR schlechtes System EURE Daten aufs Spiel gesetzt. Sensible Daten, da es durchaus um euren vollen Namen geht. Wer solche Daten sammelt, und nicht nur Nicknames, von dem erwarte ich ein höheres Maß an Sicherheit. Zu Verteidigen gibt es da nichts.
(“Ich habe einen Bug in eurem System gefunden, was soll ich tun?”
– Nichts. Es GIBT keine Bugs in StudiVZ.)
Ja, nee. Is klar.
Ich hab was Interessantes für euch… Ein neuer Studivz Crawler, der nicht nur Daten speichert sondern auch automatisiert Gruschelt und gezielte Pinnwandeinträge macht!!! http://studivz_crawler.6x.to/ Grüße, Hoebot
Hallo DonAlphonso,
don’t feed the trolls ;)
Ach und hier: ………….. Friss :)
@87 wollte damit nur klar machen, dass da offensichtlich einiges nicht mehr so läuft, wie es sollte.
Hoebot ist ja ein hübscher Fake – seltsam, dass keine Captcha-Nachrichten beim Crawlen erscheinen ;)
Sind die eigentlich wieder oder immer noch offline? Ich will da ja keine Vergleiche anstellen, aber man stelle sich mal vor, dass sich grosse Suchmaschinen oder Mailanbieter solche Wartungspausen erlaubten. Das Gezeter wäre sicher dementsprechend…
sind immer noch unten… wer will denn schon um die zeit noch ins vz rein, da kann man auch gerne mal ne halbe stunde überziehen ohne meldung… oder ne dreiviertelstunde… oder vielleicht gleich bis morgen früh *gg*
was meint ihr könnte das der todesstoß sein? ich finde langsam haben se echt zu viel verbockt. würde das bei einem anderen anbieter passieren wären schon alle weg…
Hey, Hoebot, dein Kollege Lovebot schießt ja mal echt den Vogel ab :-D
Ich glaube ja, dass das StasiVZ einfach eine saugut gemachte Comedy ist, nur merken dass einige hundertausend Studis nicht.
die leute sind viel zu träge und schätzen dieses ganze gruppengedöns viel zu sehr, als dass datenschutzbedenken eine rolle spielen würden… solange es keinen konkurenten gibt der sicherer und vor allem attraktiver ist bleibt alles wie gehabt denke ich.
@94: Dass Ebay jeden Freitag für 2-4 Stunden Wartungspause macht, weißt du aber schon?
Warum schreiben hier Leute 10 Mal hintereinander, dass die Passwörter die gleichen sein können und dass man das ausnutzen kann. JA, nachdem es oben schon 4 Mal stand, weiss man es. Geht es bitte auch ohne sich andauernd wiederholende Statements, einfach nur zum einfacheren Durchsteigen und sich-informieren, ja, geht das? Manche Leute mögen studivz und manche mögen es nicht. Diese -neben den “ich wiederhole alles was meine Vorgänger gesagt haben, weil ich offenbar Probleme mit dem Lesen habe” Kommentare bezüglich “studivz ist wirklich nur für Dumme, ich geh da jetzt sofort weg” sind einfach dermaßen uninformativ, es nervt einfach beim Lesen und Meinungen austauschen oder etwa nicht? Wenn man sich ausserdem mal, bei der ganzen Thematik, mehr damit auseinandersetzen würde, WARUM Menschen dort Mitglied werden (nicht hier im Blog, aber vielleicht mal in STILLER Auseinandersetzung mit sich selber, an alle die hier soviel zu sagen haben) würde man dem Problem ein ganzes Stück näher kommen, als immer nur laut hinauszurufen, dass die Welt so schlecht ist. Damit meine ich NICHT die Blog-Artikel sondern einfach nur die Leute, die anscheinend nichts Besseres zu tun haben, als dauernd herumzublöken. Kann man diese redundanten Kommentare nicht einfach löschen? Dann natürlich gerne auch inklusive meinem? DANKE
@96 heute findens viele empörend, wenn 30% der wirklich aktiven nutzer kein neues passwort setzen oder sich abmelden, wären es aus meiner sicht überraschend viele. nächste woche ist gras über die sache gewachsen. es sei denn, mit den daten passiert massiv was (tauchen auf und/oder werden benutzt).
Mal angenommen, mein Passwort wurde ausgelesen. Und angenommen, ich habe bei PayPal/ebay/Amazon etc. dasselbe.
Wer haftet denn, wenn jemand damit “einkaufen” geht?
@59: Das Gerücht stammt nicht aus dem Heiseforum, sondern hier aus der Blogbar, bzw aus einem der Kommmentare. vgl http://fx3.org/blog/2006/12/03/studivz-updates-updates/#comment-16691
@102, Karsten: Da Dich vermutlich jede der besagten Seiten darauf aufmerksam gemacht hat, dass Du das jeweilige Passwort garnienimmer woanders nutzen darfst, waere ich ueberrascht, wenn das als etwas anderes als (grobe?) Fahrlaessigkeit Deinerseits gewertet wuerde … (nicht, dass Du damit alleine waerst …)
@102
Ohne Jurist mit Staatsexamen zu sein: DU SELBER. Hättest dir schließlich
ein anderes PW oder besser andere eMail und anderes PW ausssuchen können.
Wär ja sonst so, als ob der Wetterbericht im Januar sagt “es schneit morgen nicht in den Bergen”. Dann fährt man morgen in die Berge, es schneit überraschend, man baut einen Unfall aufgrund von Glätte und
macht anschließend Kachelmann und Co. verantwortlich. Weil bei Schneeankündigung wäre man natürlich nicht gefahren. Irgendwas mit Kausalitätsprinzip oder -kette nennt sich das im Juristendeutsch. Bitte korrigieren falls ich da falsch liege.
Naja, es gibt natürlich Datenschutzrichtlinien. Das heisst, grundsätzlich kann man als User davon ausgehen, dass die Daten so sicher sind, wie das vom Bundesdatenschutzgesetz vorgeschrieben wird. StudiVZ hat immer behauptet, diese Anforderungen zu übertreffen.
Jetzt nehmen wir mal an, einer hatte Zugriff, begeht eine kriminelle Handlung, wird erwischt, und dann stellt sich heraus, dass StudiVZ fundamental geschlampt und grob fahrlässig gehandelt hat, was ja eventuell nahe liegt, wenn sie selbst von einer Lücke in der Software sprechen: Dann kann man natürlich versuchen, sie für den Schaden haftbar zu machen.
Denn nicht Du lässt den Schlüssel liegen, mit dem dann eingebrochen wird, sondern derjenige, dem Du den Schlüssel anvertraut hast. Wieviele Jurastudenten waren nochmal bei StudiVZ?
@ 105: Gut, das stimmt.
Allerdings sollte man doch, wenn man sich bei einer Community, die doch “relativ” seriös ist, davon ausgehen können, dass die Daten sicher sind. Ich habe zum Glück eine andere Emailadrese verwendet, aber ich finde schon, dass der Fehler in diesem Fall StudiVZ zuzuschreiben ist.
Die Rechtslage würde mich schonmal interessieren.
& komisch finde ich auch die erneute Kommunikationspolitik – kein Statement auf der Seite, nichts.
[Edit: Beschafft Euch wenigstens eine valide Mail, bevor Ihr hier rumkotzt, Ihr feigen Schweine. Don]
[Edit: Diese schon dutzendfach servierte Geschichte kannste mit der IP Deiner Grossmutter erzählen, Freiundchen. Don]
§ 7 Haftung des Betreibers
(4) Der Betreiber haftet nicht für die unbefugte Kenntniserlangung
von persönlichen Nutzerdaten durch Dritte (z. B. durch einen
unbefugten Zugriff von “Hackern” auf die Datenbank).
http://www.studivz.net/terms.php
@110: Naja, man kann ja immer viel in seine AGBs schreiben aber soweit ich weiss gilt trotzdem immer noch deutsches Recht an der Stelle. Also kennt sich hier wer juristisch damit aus? Eventuell sollte man mal bei lawblog.de nachfragen :)
Das StudiVZ crawlen
Nicht zum ersten Mal wurde nun bekannt, dass es verdammt einfach ist, die Daten aus dem StudiVZ zu crawlen. Es braucht keinen Hack, kein DB-Dump. Eure Daten sind sicher? Mitnichten. Mit der externen Supersuche von StudiVZ kann das sogar jeder selbst na…
Das beantwortet ein Blick in § 309 Nr. 7 b) BGB:
“Auch soweit eine Abweichung von den gesetzlichen Vorschriften zulässig ist, ist in Allgemeinen Geschäftsbedingungen unwirksam […Nr. 1-7 a)]
(Grobes Verschulden)
ein Ausschluss oder eine Begrenzung der Haftung für sonstige Schäden, die auf einer grob fahrlässigen Pflichtverletzung des Verwenders oder auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung eines gesetzlichen Vertreters oder Erfüllungsgehilfen des Verwenders beruhen;
Berlina:
> Ihr hättet natürlich alles anders und besser gemacht, klar.
Ich persönlich nicht; aber wenn ich 80 Millionen Euro (mehr oder weniger) hätte, hätte ich ein paar Leute dafür bezahlt, es besser zu machen.
karsten:
> Der Betreiber haftet nicht für die unbefugte Kenntniserlangung
> von persönlichen Nutzerdaten durch Dritte (z. B. durch einen
> unbefugten Zugriff von “Hackern” auf die Datenbank).
Ich kann mir nicht vorstellen, dass das von Anfang an in den AGB stand; leider habe ich davon natürlich kein Bild gemacht.
Wie auch immer: man kann viel in AGB reinschreiben – die Frage ist, ob es rechtskräftig ist. Ich weiß es nicht, aber wenn die rechtliche Situation in Deutschland so aussehen sollte, dass bei einem solchen Angriff der Betreiber haftbar zu machen ist, dann kann man das nicht einfach so umgehen. Meine ich zumindest zu wissen.
Es kommt also darauf an, ob das Verhalten als grob fahrlässig einzuordnen ist, denn die übrigen Voraussetzungen der Einbeziehung von AGB liegen wahrscheinlich vor.
Als grob fahrlässig gilt die Außerachtlassung der im Verkehr üblichen Sorgfalt in einem so hohen Maße, dass es jedem hätte einleuchten müssen, mit anderen Worten also ein Verstoß gegen ein Verhalten, das sofort einleuchten müsste.
Das nun einzuordnen ist Sache der Sachverständigen. ;)
@Karsten: So ne Floskel hat nix zu bedeuten, soll nur Leute einschüchtern… am Supermarkt hängt ein Schild… bei Nachfragen müssen sie die Tasche vorzeigen, das muss man NICHT. In Restaurants hängt ein Schild, keine Haftung für Garderobe, das stimmt auch nicht in jedem Fall. Und solche Floskeln schüchtern in erster Linie die Leute ein, die sich nicht informieren und wenig Ahnung haben. Genauso wie “vom Umtausch ausgeschlossen” etc, alles nicht haltbar. So ein Paragraph würde doch sogar der Datenschutzbestimmung zuwider laufen?!
@116: Man muss schon etwas genauer hinschauen. Das Supermarktbeispiel beruht beispielsweise auf ganz anderen Prämissen.
Was wenig Menschen wissen: Schadensersatzansprüche sind in einem sehr hohen Maße abbedingbar, sogar zwischen Verbrauchern und Unternehmern. Die Grenze in AGB habe ich oben aufgezeigt: Sie liegt einerseits bei Leib, Leben und Eigentum. Das interessiert vorliegend aber nicht. Die zweite diesbezügliche Grenze ist eben grobe Fahrlässigkeit und – das ist klar, liegt hier aber nicht vor – Vorsatz.
Nachdenkender:
> Das nun einzuordnen ist Sache der Sachverständigen. ;)
Korrekt und Amen; davon unabhängig gilt natürlich: wo kein Kläger, da kein Richter.
\o/
Ich finde es einfach nur noch lächerlich, dass sich der Autor dieses Artikels ‘non-stop’ über das StudiVZ lustig macht. Es gibt viele Kritikpunkte am StudiVZ, außerdem hätte so ein Datenklau nicht passieren dürfen. Man sollte wohl noch erwähnen, dass es nicht umbedingt selbstverständlich ist, dass unser Entrepreneurship aus Berlin-Mitte den Vorfall an die Öffentlichkeit weitergegeben hat. Ich behaupte einfach mal, dass so ein Angriff nicht von jedem Betreiber publiziert wird.
Aber hey, jeder kann selbst einschätzen, wie sehr er seine Daten schützen möchte. Es soll Menschen geben, die einer neuen Bekanntschaft die Handy-Nummer verschweigen… Man muss schon einen Kompromiss machen, ob man nun in einem Netzwerk unterwegs ist und sich mit anderen Menschen austauscht, oder ob man komplett für sich verschwiegen lebt.
Ich bin raus!
@don’t eat yellow snow
>Aber hey, jeder kann selbst einschätzen, wie sehr er seine Daten schützen möchte.
Dies ist kein Argument, da ich daran zweifle, dass das Wissen, bzw. Bewußtsein um Datensicherheit bei den StudiVZ-Usern überhaupt vorhanden ist. Menschen die auf dieser Weise mit (ihren) Daten umgehen sind generell als Mitarbeiter für ein Unternehmen unhaltbar.
Heutige Studenten sind zukünftige Mitarbeiter – wer will aber einen Mitarbeiter mit dieser Einstellung zur Sensibilität von Daten?
Man sollte generell überdenken, WEM und in welchem Umfang man seine Daten überlassen kann / soll. Wer damit heutzutage als 19-45-jähtiger überfordert ist, hat ein Problem.
ich bin auch raus aus dem vz.
Das wird mir echt zu heiß da, keine Lust nacher Sms Spam oder noch mehr Werbung zu bekommen.
Ich überlege mir gerade ganz ernsthaft, welches RATIONALE Argument die vom VZ eigentlich bewogen haben könnte, von allen in so einer Hau-Ruck-Aktion ein neues Passwort einzufordern. Warum haben die nicht einfach wie gehabt für ein paar Stunden die Seite runtergefahren, das Leck abgedichtet, und sich für die erneute Passwort-Validierung der User ein paar Tage oder Wochen Zeit gegeben?
Ich meine, selbst wenn dort Hundertausende von Passwörtern gehackt worden sein sollten: Die für irgendwelche Scherze bei ebay oder amazon zu nutzen, das ist echte Handarbeit. Da wären in den nächsten Wochen vielleicht ein paar Fälle aufgetaucht, aber das tun sie wenn dann sowieso. Es ist jedenfalls nicht damit zu rechnen, dass nun binnen 24 Stunden Masseneinkäufe bei ebay mit geklauten Passwörtern getätigt werden. Und Zurückbringen tut diese Passwörter sowieso auch eine noch so überhastete Aktion nicht.
Meines Erachtens hätte aus deren Sicht ALLES dafür gesprochen, diese erneute Sicherheitslücke etwas entspannter zu kommunizieren, so ganz easy-going studi-mäßig nach dem Motto: Wär nett, wenn Ihr Euch irgendwann mal in der nächsten Woche ein neues Passwort holt, sonst ist ab 10. März der account nicht mehr zugänglich (oder so).
Könnt Ihr Euch auf deren Hektik einen Reim machen?
Es ist diesmal keine der alten Geschichten. Die letzten Male wurde einigermassen angekündigt, dass da was kommt, und sie wussten, dass es da nur um ein Proof of Concept geht. Diesmal meldete heute Nacht mein Insider, war es anders. Diesmal haben sie es mit etwas Bösartigem zu tun, und wenn es lang genug im System war, fliegt ihnen der Laden um die Ohren. Und es gibt noch immer keinen Hinweis auf das Ziel eines normalen Hackerangriffs, den Leuten scheint es wirklich um ernste Dinge zu gehen.
Die Informationspolitik gegenüber den Usern ist da ganz schön fahrlässig.
Kann sich da schon wieder jemand einloggen?
Nichtmal seinen Account kann man löschen :(
Anleitung zum StudiVZ-Hack
Heute morgen erhielt ich eine Email von Hoebot:
Hallo Karsten!
Zusammen mit einem Mitstudenten und einem Dozenten haben wir Bots fÃŒr
das Studivz gescriptet…
Sie können Auto-Gruscheln, Auto-Pinnwand-schreiben, Flirt-Tipps an
Singles schicken und…
@Ndugu:
Ich glaube, dass man mit ein bisschen „Kreativität“ viel Spaß im StasiVZ haben kann >:->
Grandioser Blog Don. Vielen Dank auch für die Insider Infos. Bitte halt uns auf dem laufenden. Danke.
@du weißt es besser:
Der Laden hat also ein firmen„internes“ W-LAN? Mich wundert das zwar nicht, aber vielleicht sollte ich mal ein paar Berliner Kollegen den Tipp geben, dass sie als Security-Consultants evtl. ein bisschen Geld verdienen können.
Andererseits frage ich mich, was man an so genannten „Elite-Unis“, zumal in der Schweiz, eigentlich überhaupt lernt, außer junge Damen mit Videohandys zu belästigen. Keine Ahnung von PR, keine Ahnung von der „rauen Geschäftswelt“, keine Ahnung von grundlegenden Programmierparadigmen, keine Ahnung von Datenschutz, keine Ahnung von Sicherheit in der Informationstechnik. Und das Schlimme ist, dass man damit sogar Geld verdienen kann.
Weiß jetzt nicht obs schon geschrieben wurde, aber zum thema “ausmisten”: Ne offiziell gereinigte datenbank mit 300..400.000 “reelen” Accounts ist sicher mehr wert als 1.5 mio einträge die nicht definitiv sind. Leute die dafür geld ausgeben sind ja auch nicht dumm.
@ 128: Soviel wie schief gelaufen ist, schief läuft und auch in zukunft noch schief laufen wird.. vom wirtschaftlichen ist das studivz für seine gründer doch ein voller erfolg!?
Und in jedem blog übers (gegens) studivz steckt meiner meinung nach deswegen ein anteil neid mit drin.. wie man mit ner simplen idee und einer nicht gerade gelungenen umsetzung so viel geld verdienen kann. Der Neid mag bei den meisten nicht überwiegen, aber leugnen kann man ihn auch nicht.
@Don (123)
Also, das einzig wirklich Böse, was ich mir da außer massivem Datenklau noch vorstellen kann, wären Bots, die anfangen, mit den User-Profilen selbst zu spielen… aber ob es das ist??? Naja, mal schaun, was noch so passiert. Ich halts nicht für ausgeschlossen, dass da auch Panik im Spiel war.
@Christoph (129)
Das mit dem “Ausmisten” halte ich für völlig ausgeschlossen. Wie glaube ich auch einer schon geschrieben hat: Sowas machst Du weniger Image-schädigend, indem Du den Leuten einen Re-Aktivierungslink schickst, den sie irgendwann in den nächsten 4 Wochen klicken müssen – ohne ihr Passwort zu wechseln und auch nur, wenn sie in der Zeit nicht sowieso im VZ online sind.
Die wären doch blöd! Die Aktion gestern kostet sie mindestens 100.000 Karteileichen (die sie allerdings – wie man die Jungs kennt – wahrscheinlich in der Außendarstellung trotzdem noch ne ganze Weile in der Statistik drinlassen werden).
YES – endlich geht die Scheiße weiter…;-)
Ne , im Ernst als das Studikz noch eine kleine finanziell unbefleckte community mit 5 usern war, waren fehler dieser art ja noch in ordnung,
nur als unternehmen mit so viel geschenktem geld würde ich mich zurückziehen und in die ecke stellen und bis zehn zählen…
tja holtzbrinck, auf das falsche pferd gesetzt?
weiß eigentlich schon jemand was so die “Werbung” in den letztem Monat über das studivz eingespielt hat???würde mich mal interessieren…
@129
Wer mit unseriösen Geschäftspraktiken geld macht und dann auch noch stolz drauf ist, kan von mir keinen neid erwarten.
Mitleid, wenn es denn schief geht auch nicht.
Interessant ist das es nen Rollback gab, bei der anzeige wer zuletzt auf meiner Seit war sind wieder Leute da die da vor 2 Wochen standen.
drei anmerkungen von meiner seite:
-anfangs war ich genauso irritiert über die hetzerische art des eintrags, wie einige andere user hier. wenn ich die situation jedoch abwäge, finde ich diese vorgehensweise mehr als angenracht! hallo… die wollen das gleiche mit schülern machen! möchte mir nicht ausmalen, was gestörte pädos mit solchen profilen anstellen würden.
-ich schäme mich schon fremd für die ganzen hirnlosen studenten, die hier aufschlagen. unglaublich… sowas soll die elite des landes darstellen? lächerlich… (bin selbst student)
-mit email und passwort kann man meines erachtens noch keinen finanziellen schaden bei amzon & co anrichten, weil man gar nichts kaufen kann ohne ein konto oder ähnliches anzugeben bzw. einen betrag im voraus an den verkäufer zu überweisen (ebay).
danke don! dieser blog ist eine echte bereicherung im internet-alltag!
@Stefan (133)
Kann das so nicht bestätigen, sowohl bei mir selbst als auch ein paar Leuten, die ich gecheckt hab, ist alles vom Stand vor der Revalidierung. Scheint wieder zu laufen der Laden…
@Berlina: Hallo? Wie dumm kann man bitte sein? Hast Du irgendein Recht auf dieser Seite einen Kommentar abzulassen? Das ist der Blog von dem Don, der hier seine Meinung kundtut, das ist seine Plattform, nicht deine.
Wenn Du etwas zu StudiVZ sagen möchtest oder zum Don steht es Dir frei einen eigenen Blog zu machen. Oh…aber das kannst Du ja wahrscheinlich nicht…naja, würde wahrscheinlich eh keiner lesen :-D
Echt, solche Leute wie Berlina kotzen mich so dermaßen an. Echt arm. Werd erwachsen!
[Edit: Bezieht sich auf ein gelöschtes Posting mit Nazivergleich. Don]
haha stimmt, don verschickt ja auch ständig diese geburtstagseinladungen mit dem völkischen beobachter rum und solche schweinereien.. und frauen belästigt er vermutlich auchnoch.. richtig.
mann, mann, ich denke mal kommentare die nicht absolut daneben sind bleiben hier stehen, also stellt euch nicht an und überlegt mal was ihr schreibt..
“erstklassiges CRM”
was wäre denn angemessen gewesen? mail an alle mitglieder mit infos zum hack, dem schaden, den folgen, einem sorry?
ich hab von meiner hausbank auch noch nie einen brief bekommen, dass ich mit phishing aufpassen soll…. nachdem mir aber die first thrift bank und die sparkasse beinahe täglich das postfach zuspamt, erwäge ich, zur ligabank zu wechseln. die kennt man in russland und thailand und co nämlich nicht ;)
@mittwoch: du bist ja ein absoluter depp. du bist alles andere als anonym oder was???
@mittwoch: Falsch! Da Du so dermaßen dumm bist, hier ein Erklärungsversuch…Es gibt bei Blogs so etwas wie Impressumspflicht, den Namen vom Don bekommt man ziemlich leicht raus.
Im Gegensatz zu Dir, komm mittwoch, habe mal Mut und poste mal Deinen richtigen Namen…na, soviel Mut wirste dann wohl nich ham, wa?
Spring vor die U-Bahn, ehrlich iss besser so.
@138 mittwoch, berlina usw…
Bevor man seine Klappe so aufreißt, sollte man sich erstmal informieren.
Hier der Link für alle Unfähigen mal ne Google Suche durchzuführen bevor sie so einen Sülz von sich geben:
http://www.netzeitung.de/feuilleton/39fragen/523082.html
Interview in 3 Teilen mit Don Alphonso und was er so macht.
…sogar mit Bild. Und jetzt seit ihr dran Mittwoch und Berlina!
@stiller mitleser(134): WEnn man mal bei Amazon per Lastschrift eingekauft hat, beiben die Kontodaten idR gespeichert und man muss beim nächsten Mal nur noch das Konto anklicken… kann man sich also einloggen, kann man auch über den fremden Account einkaufen… der eigentliche “Besitzer” des Accounts darf sich dann mit Amazon streiten.
Hallo Don Alponso,
habe eine Frage. Es scheint so als wenn du dich freust das dieser Hacker die Passworte geklaut hast. Ist das der richtige Eindruck?
Ich weiß nicht was du hast, im Impressum steht eine gültige und valide Adresse. Es muss ja nicht unbedingt jeder Schreiber im Impressum auftauchen.
Berlina, Mittwoch, dkddfdfd und noch etliche andere Namen kommen alle von der gleichen IP:
DSL01.83.171.184.91.ip-pool.NEFkom.net
Und deren “Beiträge” haue ich natürlich raus. Hier ist nicht der Koben für die beim Thema StudiVZ immer auftretenden feigen Spamschweine.
Nichtganzklar, ich habe hier über Monate darauf hingewisesn, wie unsicher StudiVZ ist und dass man verdammt aufpassen muss mit den eigenen Daten. Jetzt ist es passiert. Ich bin nicht froh drum, nein. Es macht keinen Spass, so recht zu haben. Aber ich wäre froh, wenn das Mistding zu und pleite wäre. Weil es den Beteiligten schadet. Wie man gerade sieht.
@138/felix:
Der Vergleich hinkt, undzwar gewaltig. Oder ist deine Sparkasse schuld, dass du Phishing-Mails bekommst? Nein? Na also, für was sollen sie sich bei dir entschuldigen.
Wenn eine Firma schlampig mit den Benutzerdaten umgeht und sich diese entwenden lässt, dann ist das m.M. eine andere und vor allem brisante Situation.
Nun, irgendwie sieht`s doch so aus: Das Studiverzeichnis hat die Naivität und Ahnungslosigkeit einiger Bevölkerungsstriche in mehreren Episoden deutlich vor Augen geführt. Was auch immer ein Gros der (StudiVZ-)Nutzer die letzten Jahren im Internet an Erfahrungen gesammelt hat: Offensichtlich brauchte es ein Studiverzeichnis, um ihnen einige grundlegende Fakten über Datensicherheit und kommerziellen Verfall der einst als so anarachistisch gedealten “neuen Medien” in die Schädel zu hämmern. Wer tatsächlich so bescheuert ist, sich unter seiner wahren Identität als kostenloses Schlachtvieh in die Verwurstungshallen niedersten Dataminigs zu begeben, soll es doch wider aller öffentlich erreichbaren Hinweise und Warnungen bitte schön tun! Wer nach der Selbstvorführung der StudiVZ Betreiber in den letzten Monaten noch immer genügend Grundvertrauen in diesen Laden bewahrt hat und es in Folge versäumte, sein Allzweckpasswort aus seinem VZ Account zurückzupfeifen: Dem lässt sich mit Aufklärung eh nicht kommen. Aus irgendwelchen Quellen schöpft er im Krisenfall (bspw. eines Diebstahls seiner Identität) die Motivation, den ganzen Studentenkarnevalsverein auch noch verteidigen zu müssen. Aber das muss er ja auch: Ansonsten müsste er sich eingestehen, wie dämlich naiv er selber war – und das darf natürlich nicht sein!
Und diese ganzen Neidvorwürfe gegenüber Don geben viel mehr Aufschluß über die inner(betriebswirtschaftlichen) Gedankengänge der Vorwerfenden selber! Auf jeden Fall sind sie völlig ungeeignete Antworten auf eine in diesem Blog vorbildlich praktizierte Nutzeraufklärung! Die hier dargelegten Berichte sind ja ihrerseits wiederum nur die (notwendige) Antwort auf die KGB-Informationspolitik der StudiVZ-Mischpoke.
Ein großer Teil der Wut gegenüber Don speist sich darüber hinaus wohl aus dem dummen Umstand, dass sich viele an diesem Ort diskutierten Möglichkeiten – wider aller Versuche, diese auf Neidmotive seitens Don umzuinterpretieren – retrospektiv als wahr entpuppten! Also, bekotzt nicht den Boten, sondern den Verursacher!
@ Berlinhasser: Du solltest echt besser mal morgens gescheit frühstücken.
@Don (146): Weiss nicht, offensichtlich läuft die Umsetzung der offensichtlich ausgezeichneten Geschäftsidee (schon klar, ist bei Facebook abgekupfert) seit Monaten in einer naiv-inkompetenten Weise ab (obwohl die Jungs im “Bonker” tatsächlich jedes Mal dazulernen), aber warum kommt inklusive deiner selbst keiner auf die Idee, das eigentliche “Mistding” der Geschichte als solches auszusprechen? Ich meine den Vollspaten, der sich illegaler Weise Zugang auf die Datenbank verschafft hat?
@147: ich sprach nicht von entschuldigen. als bei der dresdner bank vor ein paar jahren einige datensätze verschwunden sind, habe ich das zwar über die medien mitbekommen, es gab aber keine “info-mail” von der bank, dass ich nicht betroffen sei.
Hm, also die Tatsache, dass hier die bei VZ-Themen üblichen Spam-Verdächtigen doch etwas gehäuft auftreten, scheint doch dafür zu sprechen, dass diese Sache (was immer es war) in Berlin bei den VZlern durchaus größere Nervosität ausgelöst hat. Jedenfalls soviel Wellen gemacht hat, dass das Sympathisanten-Netz wieder in Wallung geraten ist… hach, zum Geier, man wüsste so gerne mehr. :-)
Datenklau bei “studiVZ”
………………..Deutschlands größte Studenten-Plattform “studiVZ” ist Opfer einer Cyber-Attacke geworden. Unbekannte verschafften sich Zugriff auf die Nutzerdatenbank und zogen private Daten der Anwender heraus. So fielen den Hackern unter anderem eMail-Adressen und Zugangsdaten wie Passwörter in die Hände. Auch in private Nachrichten hatten die Kriminellen Einblick. Noch ist nicht klar, wie viele der 1,5 Millionen Nutzer von der Attacke betroffen sind……….
Ouelle: http://oncomputer.t-online.de/c/10/47/12/28/10471228,si=0.html
“… Nazistileinladungen und seinen Stalker- und Genozidleugnergruppen …”
Dieses ewige Aufgewärme von alten Geschichten langweilt langsam…
ABER: IHR hättest natürlich alles bessergemacht ihr Superhelden, klar.
Kann mich Jan da nur anschließen – besser machen wäre das Optimum, aber ‘nen Gang runterschalten schonmal ein Anfang. Oder einfach dem StudiVZ fernbleiben; das hier ist jedenfalls immer wieder ein Schauspiel, als würde man als Student beim StudiVZ zwangsregistriert werden.
Letzten Endes ist es noch immer jedem selbst überlassen.
Na toll…
Ich will nicht wissen, wieviele 1000 User, die sich nur noch dunkel ans StudiVZ erinnern, ihr Passwort fürs VZ gleich dem für die Mailadresse gewählt haben und nun komplett ungeschützt unterwegs sind (ich weiß, man soll Passwörter regelmäßig ändern, aber gehen wir mal davon aus, dass das min. 30% der Leute nicht machen. Sind bei 1 Mio. “Usern” 300.000. Davon sind meinetwegen nochmal 30% so blöd, dass sie das gleiche Passwort wählen, bleiben 90.000. Davon sind 50% inaktiv und schon hat man 45.000 Mailadressen mitsamt Passwort und echtem Namen usw.).
Sehr, sehr gut… :rolleyes:
@Fabian: Ich denke mal, dass es wesentlich mehr User sind, als in deinem Beispiel. Ich kenne kaum jmd., der ein extra ein anderes Passwort für das StudiVZ hat. Zudem kommt noch, dass ich auch niemanden kenne, der sein Passwort regelmäßig wechselt. Wenn ich meine Passwörter mal ändere, werde ich dafür in den meisten Fällen schräg angeschaut – naja, ist ja meine Sicheherheit.
@Constanze: Irgendwie kann ich den Beträge auf der T-Online Seite nie so recht glaube… Irgendwie verknüpfe ich solche Seiten (T-Online, AOL, Freenet etc.) mit dem Bild – Niveau.
So long!
Jede neue Katastrophe dieser Art hat natürlich auch ihr gutes: da StudiVZ bekanntermaßen die Übungsplattform fürs SchülerVZ ist, werden sicherheitsrelevante Erkenntnisse sicherlich gleich in der neuen Plattform nachgezogen. Zumindest wäre das zu hoffen. Bis das passiert ist, sollte, wer (Fake-)Accounts bei beiden Portalen hat, seine SchülerVZ-Passwörter gleich mit ändern.
Was ich mich frage: Inwiefern erhöht die (u.a. auch hier entstandene) Anti-StudiVZ-Welle die Wahrscheinlichkeit eines Angriffs auf das StudiVZ…
Ich meine, klar sind die Sicherheitslücken äusserst problematisch, aber wenn man sie öffentlich anprangert führt das auch dazu, dass das VZ vermehrt angegriffen wird und so wird es wahrscheinlicher, dass jemand an persönliche Daten kommt.
Ich schätze, für viele ist ein StudiVZ-Hack sowas wie eine Trophäe geworden.
Tatütata
http://www.spiegel.de/netzwelt/tech/0,1518,469099,00.html
http://www.ftd.de/technik/medien_internet/166981.html
http://www.focus.de/digital/internet/online-community_nid_45470.html
http://www.netzeitung.de/internet/559691.html
Ich bin irgendwie enttäuscht, dass die sich trotz der Kohle immer noch nicht Profis geholt haben.
Kapital…
…was schon wieder rund ums Studivz los ist. Da war offensichtlich ein Cracker aktiv. Siehe hier oder hier oder hier.
Nachdem ÃŒberall schon ausfÃŒhrlich berichtet wird spare ich mir einen ausfÃŒhrlichen Bericht. Meine Meinung schreibe ich aber t…
@158: “Ich schätze, für viele ist ein StudiVZ-Hack sowas wie eine Trophäe geworden.”
Wahrscheinlich nicht. Hat(te) wohl eher den Rang einer Fingerübung. Wenig 133t-Faktor.
Ich denke auch, dass durch die polarisierte Stimmung in der Blogosphäre ein StudiVZ Hack als Trophäe angesehen wird und somit StudiVZ weitaus mehr als andere Seiten in Beschuss genommen wird. Das soll nichts entschuldigen, ist aber denke ich eine Tatsache.
Naja, und da helfen Bezeichnungen wie StasiVZ oder StudiKZ wie ich sie hier in den Kommentaren gelesen habe ganz sicher nicht weiter.
Mal davon abgesehen das sie geschmacklos sind wenn man sich über die Einladung von Dariani empört und dann das Wort KZ mit StudiVZ in Verbindung bringt. Meine Meinung.
@156:
ja, ich denke auch, dass es eher defensiv ist, aber dafür ist 1 mio eher offensiv und ich denke nicht, dass 1 mio. profile ausgelesen wurden. naja, auf jeden fall kann sowas in der richtung passieren (wenn ich gestern, halt irgendwann anders)…
157, MadScientist: In diesem Fall lag der Fehler offenbar beim SchülerVZ.
Zu constanzes Hinweis auf den T-Online-Bericht:
Tja, hätte man es sich nicht mit dem CCC verscherzt, könnte man sogar einen kompetenten Sicherheitsbeauftragten anheuern, aber so bleibt wohl nur Geld für einen weiteren PR-Menschen wie unseren Datenschutzbeauftragten Manfred übrig.
@LePsy4:
Ich glaube, dass das FrickelVZ eher den Rang einer „Hacker-Fahrschule“ hat.
@nichtganzklar:
Gefällt dir »StalkerVZ« besser?
fuck studivz!
geht lieber zu klassentreffen und co. ;)
stalkervz passt echt gut, wenn ich kontakt zu studis will, dann hab ich normalerweise deren adressen und kram und muss ihnen nicht nachspionieren.
@Thaniell(143)
wenn du bei amazon die lieferadresse änderst, musst du auch die kontodaten neu angeben. dir muss also zumindest die komplette kontonummer desjenigen bekannt sein, dessen account du benutzt, um dir was zu bestellen.
@142:
http://www.seidseit.de
Aus dem FTD-Artikel:
“Ãœber ein neu programmiertes Modul der Tochter-Seite SchülerVZ konnten der oder die Täter in die Datenbanken des Anbieters eindringen und dort Namen, Mail-Adressen, verschlüsselte Passwörter und Freunde-Listen herausholen. SchülerVZ selbst war nach eigener Aussage aber nicht betrofffen. Wie viele Nutzer genau unfreiwillig ihre Daten offengelegt haben, weiß StudiVZ noch nicht. Die Betreiber gehen aber sicher von mehreren Tausend aus.”
Uiuiuiui … Also wenn die schon von “mehreren Tausend” ausgehen …
Jetzt haengt alles davon ab, wie toll die “Verschluesselung” ist. Wenn die Frickler von Anfang an ihre Hausaufgaben gemacht haben, also Verschluesselung + SALT, funktionieren nur Woerterbuchangriffe, und die fuer jeden Nutzer aufs Neue. Da sollten nur Trivialpasswoerter gefunden werden, und auch das nur nach und nach. Wenn die Fricklers das SALT weggelassen haben, gehen Rainbow Tables, und das ist (bei 10.000 Nutzern) erstens 10.000 mal schneller, ausserdem lassen sich in Sekunden schon mal die Nutzer mit Einfachpasswoertern finden. Wenn die Frickler aber etwas auf dem Niveau der User-ID-Verschluesselung (oder der alten MySql-Funktion) haben — dann gute Nacht. Dann haben die Kriminellen jetzt alle betroffenen Passwoerter.
Das Lustige daran ist — jegliche Verbesserungen im Schutz der Passwoerter im Verlauf der letzten Monate können sich nur auf die Passwoerter ausgewirkt haben, die nach der Verbesserung vom Nutzer veraendert wurden (jedenfalls sofern die Passwoerter nicht irgendwo ungehash gespeichert wurden. In dem Fall ist allerdings eh Hopfen und Malz verloren). Angefangen, sinnvolle Dinge zu tun, haben die Frickler wohl so vor zwei, drei Monaten. Wieviele Studies von der Sorte, die das gleiche Passwort fuer StudiVZ, EMail, EBay etc. verwenden, werden selbiges in den letzten drei Monaten wohl geaendert haben?
@169: Der letzte Punkt ist nicht korrekt. Da der User bei jedem Login sein PW natürlich im Klartext angibt, kann ein neuer Verschlüsselungsalgorithmus sukzessive bei jedem Login angwendet werden.
Also, User loggt sich ein, alter Hash wird verglichen, neuer Hash wird angelegt.
@170, Utzel: Oh. Stimmt. Ich ziehe meine letzte Behauptung zurueck. Betrifft, wenn StudiVZ es richtig gemacht hat, nur noch die Nutzer, die sich seit der entspr. Verbesserung nicht eingeloggt haben.
Generell ist ueberigens eine ganz nette Studie über die Qualität der Passwörter von 34.000 MySpace-Nutzern, die bei einer Phishing-Attacke letzten Oktober “abhanden gekommen” sind. Dürfte einen ungefähren Ausblick geben, was bei StudiVZ zu erwarten ist …
*** sorry, Tippfehler im Link. Don, kannste das bitte korrigieren?
So soll der aussehen:
hier
Danke schoen!
#173
Sorry, aber wer doppelt doof ist ( Phishing Seite und solche Passwörter) der schreibt auch seinen Pin auf die EC -Karte….
ich vermute mal, die bespammungs-quote der vielen studivz-süchtigen ist enorm hoch hier.
is klar warum die hier ihren müll a la “ihr seid doch nur neidisch” und “ihr seid schuld an den hacker-attacken, weil ihr die sicherheitslücken anprangert” absondern.
weil sie sonst keinen spielplatz dafür haben. der studivz-blog is ja nu schon länger wech.
kinners, heult woanders rum, habt spaß mit den neuentdeckten möglichkeiten des mediums = internet-dates f*cken, vergöttert weiter euren vz-leader und lasst uns hier das ding professionell auseinandernehmen. das hier is nix für euch, echt..
@tim: Unfassbar, was Du hier für einen Müll ablässt…
aha, der erste, der sich
angepisstangesprochen fühlt.Jeder ist für die Ergebnisse seiner Arbeit verantwortlich. Die Sicherheitslücken beim StudiVZ können offenbar nicht mal eben durch einen mythischen “Profi” beseitigt werden. Webanwendungen sind komplexe Systeme und wenn die die mit ihrem Teckie (Namen vergessen) in der WG-Küche hochziehen, dann kann es echt schwierig werden, da nachträglich Seckuritie einzubauen.
Der Unterschied zwischen einem okayen System und einem “historisch-gewachsenen” System ist von der Innenperspektive des Systmes gewaltig, auch wenn das für den Anwender nicht so aussieht.
Und dafür sind die verantwortlich und der Don berichtet dadrüber. Die Leute, denen das nicht passt, können vielleicht besser beim Turi-Peter über wichtige Leute im Web2.0 reden, debile “kritische” statements über Google abgeben oder gemeinsam mit den anderen über den schröcklichen Don weinen
@Sisko(168): Ok das wußte ich nicht. Ändert man die Adresse funktioniert das mit dem Konto nicht so einfach. Also macht das Ganze mit Kontoeinzug nur Sinn, wenn man die alte Adresse läßt und das Paket abfängt. In der Hinsicht sehr vernünftig von Amazon. (Abfangen sollte zumindest bei Mehrfamilienhaus/Wohnheim nu nicht das Problem sein, Frage ist aber ob es sich bei Amazonbestellungen für den Gauner lohnt).
Allerdings kann man auch mit neuer Adresse scheinbar auf Rechnung bestellen (Rechnung an alte Adresse)… gerade mal ausprobiert und kam damit bis auf die letzte Seite im Bestellvorgang. Mag aber gerade nix bestellen, um zu testen, ob da kurz vor knapp doch noch abgebrochen wird, glaub ich aber nu nicht.
Jedenfalls, denke wir können festhalten: Bekommt der Gauner ein funktionierendes Passwort kann er mit recht guter Wahrscheinlichkeit auf Kosten des Betroffenen/des Shopbetreibers erstmal einkaufen oder anderen durchaus relevanten Schaden anrichten.
Maan, ich würde gerne mehr über den Einstieg in die studiVZ Server wissen. Welche Daten waren es. Wie viele Studis sind betroffen ect.pp.
Heise meldet auch nichts mehr..normalerweise gibts da immer mal wieder ein neues Update…
Stay tuned! :-)
Ich schau, dass ich über meine Quellen mehr herausbekomme. Dem Vernehmen nach hat es eher eine fünfstellige denn eine vierstellige Zahl erwischt, und die Hacker waren da, wo es wirklich weh tut.
Die Frage ist doch aber: werden wir jemals erfahren, welche Ausmaße der Hack tatsächlich angenommen hat(und ob wir unsere PWs ändern müssen)? Wenn dann jedenfalls sicher nicht von den Verantwortlichen des StudiVZ…
http://studivz_crawler.6x.to/
Vielleicht ist der Link noch ganz interessant…
Warum? Ist doch jetzt ne reine MfA Site…….
MfA?
Made for Adsense
Mehr Werbung als Content
Ich fands recht interessant… Bringt uns nr hier jetzt auch nicht viel weiter…
Die Bildergalerie mit den Paaren, die der Bot verkuppelt hat, ist göttlich, ROFL ;-)
So sollte eine Community nicht funktionieren
Dieser Blogeintrag wird eine Zusammenstellung aller möglichen Links, die ich rund um StudiVZ (und die dortigen Probleme) finde:
(Heise) Was war. Was wird (1)
(Heise) Was war. Was wird (2)
(Heise) Was war. Was wird (3)
(Heise) Datenleck beim Stud…
ich bin begeistert…mal wieder so richtig schön.
Gut dass ich schon längst aus dem Quatsch raus bin.
Der Hoebot und der Lovebot sind auch ma sehr nais!
Äußerungen in meiner Kolumne lassen darauf hindeuten, dass die Probleme im VZ struktureller bzw. persönlicher Natur sind:
Und weiter:
Kann mir dazu jemand mehr sagen?
Robert: Arash Yalpani (http://www.yalpani.de/), der seit November für die StudiVZ-Technik (mit-)verantwortlich ist, war von 1999-2001 Entwickler bei der Politik-Simulation Dol2Day.
Die meisten Lücken (das sind Standardfehler, nix spezifisches) von StudiVZ dürften deutlich älter sein, auch wenn sich beim aktuellen Fall nach Angaben der FTD um einen Fehler in einem neuen Modul für das SpinOff SchuelerVZ gehandelt haben soll.
Hab mal bei studivz in einer Gruppe nachgefragt, warum keiner die Gruppe zum Usenet umleiten wollte und sie dann da z.B. “studivz LerngruppeEnglisch” nennen könnte statt “LerngruppeEnglisch”. Ist der Name “studivz” eigentlich geschützt, wenn ich im Usenet eine Gruppe so nennen will (nur damit die Leute von da sie finden)?
Wenn du tatsächlich Usenet meinst, und nicht Google Groups, dann kann man da nicht mal eben so eine Gruppe erzeugen (die dann auch verbreitet wird).
Danke jo.
Dann scheinen ja andere die Sicherheitslücken im FrickelVZ verbockt zu haben.
@Felix
o.k., dann eben Google Groups, wäre aber auch ein Anfang. Aber das wird sicher schwierig, weil man da nicht eben mal so viele Bilder hochladen kann, sondern nur ein winzig kleines.
Und wie mach ich das den Leuten schmackhaft, daß man da nicht gruscheln kann?
Das Schlimme ist, wenn man merkt, daß man selbst schon studivzsüchtig ist, obwohl man das nicht will. Alle meine Freunde sind noch drin, mit Realnamen, mit 1000 Fotos und ab und an sogar mit der Inhaltsangabe ihrer Doktorarbeit oder ähnlichem.
Darf ich mal was zitieren von einer Gruppengründerin bei Studivz ?
“[…]
wenn die leute nicht informiert sind oder einfach hierbleiben weil es ihnen egal ist (die meisten gehören aber zu ersteren) ist mir das auch egal.
ich muss keine angst um meine daten haben, sonst wäre ich nicht (mehr) hier.
ich hab’ die gruppe nur gegründet, weil ich fand es sollte eine geben, aber ich habe keine lust, mich weiterhin darum zu kümmern und noch irgendwo irgendwelche gruppen aufzumachen. macht nur arbeit […]
das problem ist übrigens dass die meisten gruppenmitglieder nicht nur un-informiert sind (oder sie’s einfach nicht interessiert – egal ob’s nun um datenschutz, drm oder wasauchimmer geht) sondern auch faul. sie kommen nur in eine gruppe so lange es nur einen klick weg von dem ort ist, an dem sie sonst so rumhängen.
mach eine google group auf, wenn Du magst, ich nehme an so 100 stück würden schon “mitkommen”.
den namen studivz würde ich aber rauslassen :) – klingt doch eh bescheuert :).”
[…] Beim letzten Hack des Studivzs (jaja, das ist schon ein paar Mal passiert, aber die Jungs lernen ja nicht dazu) wurden neben den ganz normalen Nutzerdaten auch Passwörter entwendet. Zwar nur die verschlüsselte Version davon, aber wer jetzt nun mal kein sonderlich sicheres Passwort hatte, der sollte einfach mal davon ausgehen, dass das in wenigen Stunden entschlüsselt worden sein könnte. Wer jetzt dummerweise das gleiche Passwort auch für seinen Email-Account, Ebay-Account oder in irgendwelchen Online-Shops und was weiß ich noch verwendet hat, tja, der könnte eventuell ein paar böse Überraschungen erleben… […]
[…] Selbst Leute die nicht rechtlich “vorbelastet” sind, können dort wirklich, wirklich nicht mehr zustimmen. Nicht erst seit dem letzten Hackerangriff haben sie endgültig ihre unerträgliche Unprofessionalität unter Beweis gestellt. Die neuen “AGB” sind da nur der Tropfen, der das Fass zum Ãœberlaufen bringt. […]
Mir ist aufgefallen, daß StudiVZ alle Nachrichten der angemeldeten speichert. logo. Aber wenn man in den Nachrichtenordner geht, sieht man nur die ersten ca 10 Nachrtichten. Es gibt kein Häckchen um an vergangene Nachrichten zu kommen um sie noch mal nach zu lesen. Erst wenn man kontinuierlich alle Nachrichten löscht, kommen die alten zum Vorschein.(weil sie in der Liste hoch rutschen) Folge-> Man legt die komplette Korrespondenz seite der Anmeldung auf den Studiservern ab und vergisst dabei zu löschen, was man löschen sollte/wollte, weil “aus den Augen aus dem Sinn.” Womit verdient man Geld? mit Information! EIN SCHRECKENSSZENARIO:
Für Daten bekommt man Geld.
Mehr Geld durch illegale Kanäle, als durch legale Kanäle.(kapiert?)
Wer Daten besitzt, bekommt Vorteile anderen gegenüber.
StudiVZ verbindet personenbezogene Daten mit, das ist neu->, Material, was man als freiwillige Abhörprotokolle bezeichnen könnte. abgelegte emails halt.
Es wäre möglich, sich lukrative Menschen über gestohlene Datensätze zu suchen und dem Master of Serverdesatster noch die Korrespondenz der jeweiligen Person abzukaufen.
Wenn nicht vieleicht alles schon komplett angeboten werden würde können:-)
Das alles ist nicht nur möglich und nicht nur zu erwarten…
Es wäre schön real, weil es eine Unmenge an Geld freisetzt.
Ein gutes Argument zum Schluß.
(alt)
Wäre es nicht für einen Russen(Mrd är) schön, die gesammte deutsche Studentenschafft in der Hand zu haben.
Die Koplette deutsche Leistungselite in russischer Hand, weil keiner will, daß seine Sauffotos und Tittengruppen herauskommen sollen, weil er sich bei Microsucks bewerben will. Gegen das Tittenbild arbeitet man doch auch für 100 Rubel:-) oder man zahlt prozentual ,von seinem neuen Einkommen.
(neu)
Weiß die Frau schon, das der Typ noch zu studienzeiten mal fremd gegengen ist?(emails) wieviel zahlt man für so etwas???:-)
Einer weiß es bestimmt schon:-) Es gibt aber keine offizielle Verbindungen. Waren es Hacks? kann man ‘Hackerangriffe’ zum Verkauf nutzen???Geld da, Ãœbergabe hier….
Eine lustige suchmaske für Datensätze wäre bestimmt:
Name: max musterverkäufer
Adresse: blablöa Germany
auffällige Fotos: 5 (saufen, kotzbild, hund in Po gefasst)
auffällige email s: 1 Zitatauszug “…Nacht war schön…meine Olle hats eh nicht gemerkt…”
auffällige Gruppen : verdeckte Gruppe, “Ich bin schwul, hab aber mal mit ner Frau” Bemerkung; Foto in Gruppe auf dem Liebhaber und Person verschlungen zu sehen sind
uswusw
Und die Moral von der Geschicht: speichert nur daß ,
was eh schon alle wissen.
Den Rest könnt ihr nicht aufhalten.
Grüße und Respekt an DonAlphonso.
warum man Karteileichen entfern?
was nützt ein ‘Telefonbuch’, indem ein Haufen Müll steht?
Wer Datensätze will; zahlt pro Eiträge.
Wenn ich Datensätze kaufen wöllte, wöllte ich, daß sie sauber und rel aktuelle sind. Zur heutigen Zeit hat glaube ich jeder erkannt, daß die Informationsflut das Internet vermüllt.wertlose infos…
Aber wiviel wert ist eine reine Perle?
Noch ein Grundgesetz: Wenn man denkt, das etwas möglich sein könnte, gibt es das wahrscheinlich schon, oder es wird schon daran gearbeitet.
Eure Daten sind jetzt schon weg:-) Es ist zu spät.
kennst ihr http://www.Inforsource.de? Das ist eine Internetseite, die mit Informationen handelt….Hab ich durch Zufalls herausgefunden, als ich für meinen Studienkredit unterschreiben musste, das sie meine Daten bekommen dürfen. Die wissen genau, wie hoch mein Schuldenberg in 3 Jahren ist. Und alle, die diese Info gekauft haben.
Es soll bald die Auflage kommen(oder gibts die schon) emails 3oder 5 Jahre von Providern speichern zu lassen. wegen Terror!:-) vom Bürger oder Isalmisten?
thats life
@ Alex (201): Quatsch, in den Nachrichten-Ordner ist seit jeher ein Link “Ältere Nachrichten anzeigen”…
[…] Und, als wenn das noch nicht reichen würde, natürlich hat Shoppero zum Start noch die eine oder andere Sicherheitslücke, das gehört anscheinend zu einem anständigen Web2.0 Unternehmen dazu. […]
[…] Da haben wir ihn. Den nächsten Datengau. Als hätten es andere nicht schon längst vorhergesagt. Da ich selbst Mitglied bin bei dieser Community ein kurzes Fazit was man daraus lernen kann: […]
Hallo, ich hätte da mal eine Frage zu StudiVZ. Ein Kollege von mir und ich sind bei StudiVZ angemeldet. Er behauptet nun, er könne mein Passwort knacken. er kennt nur meine e-Mail Adresse und das Passwort ist auch recht kompliziert. Kann er das schaffen? Wenn ja, wie kann er das machen? Würde ihm da gerne zuvor kommen… Wäre nett wenn mir da jemand helfen kann
[…] Don Alphonso suspects that they only want to clean their database. In any case, SchülerVZ is still working. The press release can be found at Robert Basic. The first one that discovered the bug was Andreas Dittes. […]
[…] Die Art und Weise, mit der der Betreiber neue AGB oder Datenschutzerklärungen einführen will, zeugt von einer ungesunden Arroganz dem Nutzer gegenüber, indem immer erst einmal ausgelotet wird, wie viel Kommerzialisierung das Mitglied mitmacht. Sobald sich größerer Protest formiert wird zurückgerudert. So ein Verhalten sollte Misstrauen hervorrufen. Zusätzlich haben gravierende Sicherheitslücken Ende 2006 mächtig am Vertrauen der Plattform gegenüber genagt. Und dieses Misstrauen ihnen selbst gegenüber konnten die Betreiber bislang immer noch nicht ausräumen. […]
Also das ist echt mal wieder cool…
Die haben kein plan die jungs vom studieVz….
Es geht hier um daten die Vertraulich sind und die lassen sich Problemlos hacken…
tssss…!
[…] Oooops, bei StudiVZ muss was absolut Grobes passiert sein […]
[…] Don Alphonso (der übliche Verdächtige) […]
ist studivz und meinvz nicht ein drecksladen sie wollen informationen von bilder wo angeblich gekifft wird an die polizei weiterleiten ich stelle bald mal ein paar bilder rein mit einem kilo koks bzw mehl in der hand in inet dann erfolgt bestimmt eine hausdurchsuchung wegen den scheiß spastis da.
[…] Ich wollte StudiVZ ja schon die längste Zeit mal thematisieren – jetzt gibt es einen ziemlich unerfreulichen Anlass dazu: Gestern hat offensichtlich irgendjemand einen Teil der Datenbank ausgelesen und hat jetzt unter anderem Zugangsdaten und E-Mail-Adressen – von wie vielen UserInnen, wurde nicht bekanntgegeben. Auf der Blogbar gibt es einen ziemlich wütenden Beitrag drüber – den ich ziemlich gut verstehen kann. Ich finde es auch nicht lustig, dass irgendjemand da draussen mit Emailadressen und Passwörtern von einer unbekannten Anzahl an UserInnen rumläuft – StudiVZ behauptet zwar, die Passwörter nur veschlüsselt zu speichern, in den Kommentaren zu obigem Beitrag wird jedoch munter über das Gegenteil spekuliert. Mal abwarten, was noch kommt – ein ungutes Gefühl bleibt auf jeden Fall. […]
bräuchte neues passwort..danke
hallo,
auch ich komme nicht auf mein profil drauf,es erscheint dieses “oooops”Logo.
könntet ihr mir bitte ein neues passwort zuschicken?
danke im vorraus und liebe grüße
hallo,auch bei mir ist das folgende problem mit dem “oooops” Logo erschienen und ich kann mich nicht einloggen.
könntet ihr mir bitte ein neues passwort zuschicken?
danke im vorraus
Hey, bei mir erscheint momentan auch immer diese “ooops”seite. Auch wenn ich gerade online bin, wurde ich plötzlich auf diese Seite weitergeleitet und kann mich dann auch nicht wieder einloggen. Und trotz das ich mich nicht einloggen kann, bin ich weiterhin online und das schon seit 2 tagen. Was is da los. es nervt!
Hallo.bei mir erscheint auch dieses oooops Logo…brauch dringend nen neues Passwort…Dankeee…