StudiVZ – ein weiteres Sicherheitsloch für Privatestes
bei Jörg-Olaf Schäfers – offensichtlich kann man mit ein wenig Codeeintippen in der URL-Zeile auch auf Informationen aus als “nur für Freunde” eingestellten Profile zugreifen. Und dabei ist der Tag erst am Anfang (12.42 Uhr, ok, ich war auch mal Student). Wer weiss, was da noch kommt.
Wie war nochmal die Adresse des Berliner Datenschutzbeauftragten?
Sorry, the comment form is closed at this time.
Erster! Ah, geht weiter!
studivz.net ist offline ?! (nur bei mir?)
@Thomas Nope, nicht nur bei dir.
Nö, die sind wirklich wech!!!
Deutschland, am frühen studentischen Montag Morgen, kurz vor 1 Uhr. Millionen Studenten stehen auf, treten in das letzte Weinglas, schleppen sich in die Küche und machen den Kaffee, schalten den Rechner ein und wollen nur eines: Bilder der letzten Party sehen, die sie wegen Vorvorglühens nicht bewusst wahrgenommen haben.
So kommt das. Nehm ich mal an.
also, ich hatte heute morgen um 7.30 uhr schon vorlesung … und bin da ob des trantütigen professors und nicht aufgrund nicht vorhandenen restalkohols eingeschlafen. aber “studivz.net is taking too long too respond” ist gerade dabei, meinen tag zu retten.
Don, die Hardware bei mediaways arbeitet mit guten ping-Zeiten, also ist da keine Ãœberlast. Ausserdem sind mind. 2 Server (StudiVZ und der Bilder-Server) gleichzeitig nicht per http erreichbar.
sehr richtig, was ein namensvetter bei jo fx3 gepostet hat: “das war’s. zong. nachdem don das biest bis ans ende seiner kräfte gejagt hatte, kam jo und schlug der bestie den schädel ab. offline ohne jeden weiteren hinweis. (dass die seite sich in wenigen stunden als wiedererwachende hydra mit nachwachsenden schädeln beweisen wird, spielt da fast keine rolle mehr)”
Es is schon komisch, dass die komplett off sind und es nicht mal die übliche “Wir arbeiten Seite” erscheint. Mal sehen, was am Ende bei raus kommt. Aber ich kanns schon quasi vor mir sehen:
“Bla bla … unser tolles Projekt … bla bla … von allen Seiten angegriffen … bla bla … böse Blogger … bla bla … StudiVZ ist tot … bla bla”
“manfred” hat den stecker ziehen lassen, oder was?
@ Thomas: Um ehrlich zu sein, in der Zeit vor Master und Bachelor in der Kulturgeschichte verzichteten Professoren meist freiwillig darauf, Seminare vor 10 Uhr anzubieten. Schuld an meiner Haltung sind also durchaus die Professoren.
Gleich werden in der Mensa schüchterne Jungmänner all ihren Mut zusammennehmen und die betörende Studentin am Nebentisch ansprechen … anstatt angestrengt-heimlich zu versuchen, einen Blick auf ihren Studentenausweis mit ihrem Namen zu erhaschen und diesen anschliessend in studivz.net einzuhacken. Die PC-Pools der Bibliothek werden heute abend verwaist sein, denn das studentische Flirten verlagert sich wieder in die untergehende Abendsonne, deren Anblick beim ersten Glühwein des Jahres unter dicken Decken auf der Terasse des Ufercafés genossen wird. Es ist, als ob alles nur ein böser Traum war …
Würde jemand ganz sachlich schreiben: “Es gibt Probleme mit dem Datenschutz bei StudiVZ. Es kann Schindluder damit getrieben werden.” würde manch einer sich vielleicht überlegen, was für Daten er dort angibt oder ob er vielleicht sogar seinen Account löscht. Ausgehend davon, dass alle Vorwürfe stimmten, wäre das ein löbliches Vorgehen. Da die Mitglieder von StudiVZ, also Studenten, in Kommentar 5 vom Autor beleidigt werden (wenn auch in freundlicher Weise), kann das jedoch nicht wirklich das Ziel dieses Blogs sein. Wenn man von einer Person beleidigt wird, möchte man auch nicht von ihr belehrt werden. Was aber ist dann das Ziel der Artikel der letzten Tage?
@Don, etwas OT: aber die Zeiten in denen Studenten nicht vor 1 Uhr aufstehen, sind schon lange vorbei. Mittlerweile gibt es genug Unis an denen die ersten Vorlesungen und Seminare bereits um 7:30 anfangen. Natürlich mit Anwesenheitspflicht, die Dozenten wollen schliesslich nicht alleine früh aufstehen müssen.
TeRrasse, TeRrasse, TeRrasse, TeRrasse, … die anderen 96x hier auf meinem Blatt Papier. ;)
Ok, mal sehen wann und WAS Heise da hoffentlich bald berichten wird…
Wer als erster herauskriegt, was bei StupidVZ los ist, darf mir einen Kaffee ausgeben!
Das Blog ist auch offline
@ 13: Aaaaalso, wer mir unbedingt erzählen will, dass die Woche nenden der Studenten in Grossstädten von Gruschelcocooning geprägt sind, hat die Gruppe “Ich glühe härter als Du Party machst”-Gruppe im möglicherweise von uns gegangenen StudiVZ nicht gesehen – und auch nicht die Photoalben der Mitglieder unserer kleinen Stalking-Gruppe.
Ne, im Ernst, ich weiss, dass es sich geändert hat. Trotzdem war es beim Münchner Uniradio ein harter Kampf des Kordinators, die Moderatoren der Nachmittagsshow dazu zu bringen, nicht mit “Guten Morgen, liebe Studenten” aufzumachen.
@ DonALF
Finde es auch reichlich ungeschickt so über die Studenten herzuziehen, da du verdammt schlechte Karten hast, wenn du sie nicht auf deiner Seite hast. Wer soll dir dann noch glauben?
Was sowiso schon schwirig ist – wirst ja von “fast” niemanden mehr ernst genommen und schon mit den Heisse-Trollen verglichen ;-)
Welch ein Abstieg von DonALF!!!
“Ich glühe härter VOR, als Du Party machst” heißt es richtig.
@19: Will hier jemand von der Thematik ablenken?
jee (ein Student der sich nicht dumm angemacht fühlt…)
@19
Doch die Heise Leser nehmen ihm ernst.
Gut so, dann sind wir die wenigstens los wenn sie sich hier zusammen rotten.
Bitte nicht so empfindlich sein. Etwas Sakramus und Ironie hat noch niemandem geschadet. Und genau das ist der Kommentar von Don in meinen Augen gewesen.
Damit sollte sicherlich niemand beleidigt werden und es ist mir ehrlichgesagt schleierhaft, wie sich jmd. dadurch beleidigt fühlen kann. Ich bin selber noch Student und habe mit der Aussage kein Problem.
Es gibt genügend “Gammler”, welche ihr Studium nicht ernst nehmen und auf auf die dieser Kommentar ganz sicher zutrifft. Und ich denke nicht, dass Don damit die gesamte Studentenschaft über einen Kamm scheren wollte.
Etwas Humor wäre also angebracht. Denn auch in Dons Kommentar steckt (mehr als) ein Funken Wahrheit.
fühle mich nicht dumm angemacht, ist nur alles etwas ungeschickt was DonALF so von sich gibt.
@23
Stimmt!
Auser einem Funken Wahrheit findet sich noch ein Feuerwerk von Unterstellungen, Beleidigungen, Aroganz, Lügen…
Im Grunde handelt es sich trotz aller Kritik, um eine gute Sache.
Stimmt. Dieser Gründer/Kopierer wirkt wie ein narzistischer kleiner Junge, dem zum resten Mal Aufmerksamkeit zu Teil wird und nun entsprechende Kunststücke vorführt. Dafür erntet er zu Recht Kritik.
Ein solches Netzwerk ist aber für alle vorteilhaft. Sollten entsprechende Mängel bzgl. Datenschutz etc. behoben werden, ist das ganze eine feine Sache. Das Studivz hat nunmal die meisten Studenten gesammelt. Die Masse ist träge und wird kaum auf ein anderes Netzwerk umsteigen.
Das Studivz wird Erfolg haben. Damit muss man sich abfinden. Ich persönlich hoffe, dass es in Zukunft von verantwortungsvollen Leuten betrieben wird.
@25
;-)
@25
Da haben wir ja Glück, dass Don keine Karikaturen zeichnet. Sonst könnten die armen Studenten, welche sich angegriffen fühlen, noch auf die Idee kommen, mit brennenden Fackeln vor seinem Haus zu stehen.
ihr habt einen hängen. wer mit seiner datenschutzparanoia nich klar kommt, sollte schlicht die klebrigen fingerlein von “solchen” seiten lassen
findet ihr nicht auch, dass man in den letzten wochen bzw. anfang dieses wintersemester schon regelrecht gezwungen wurde bei studivz mitglied zu werden? klar ich hab mich freiwillig angemeldet, aber hätte ichs nicht getan, wär ich eventuell der loser, der sich immer noch nicht angemeldet hat, blabla… mittlerweile sind auch viele studenten angemeldet, die garnicht studieren, also zivis sind, einer ausbildung nachgehen o.ä. grüße an alle und hoff trotzdem dass studivz bald wieder funzzzt…
:-)
Genau eine Stunde jetzt schon offline, ohne Nachricht, ohne Ankündigung. Da wird doch nicht jemand den Stecker gezogen haben.
So, dann greife ich mal ein wenig hier durch, bevor das hier wieder zur anonymen Trollshow wird. Thema: Sicherheitsleck.
Mich blöd anmachen könnt ihr auf euren eigenen Blogs versuchen, viel Spass auch.
Das interessiert doch alles niemanden!!!
Was ist denn nun mit StudiVZ los? Wird das nochmal wieder oder dürfen wir uns auf einen unbramherzigen kalten Entzug freuen?
Kinners,
kommt doch mal runter.
Der Spruch von Don “Montag mittags stehen Studenten versoffen auf und wanken in die Küche” war:
http://de.wikipedia.org/wiki/Ironie
Darin ein schöner Satz:
“Die einzige Möglichkeit, Missverständnisse vollständig zu vermeiden, ist, in schriftlichen Mitteilungen auf Ironie zu verzichten.”
Diesen Satz müsste man eigentlich ergänzen mit “.., wodruch viele Texte allerdings langweiliger und geistloser würden”
.
2 Eurocent von mir.
lol.hier verschwinden einfach kommentare *grins*
zauber-zauber….dreimal schwarze katze…
@28
Man muß ja nicht gleich rumschreien. Es gibt auch noch Menschen, die mal offline sind und ein Leben haben.
@alle
Auf SpiegelOnline gibts einen tollen Buchtipp. Ein Brite versucht uns Deutschen die Ironie nahezubringen. Hier würde er sich ja dumm und dämlich verdienen…
Gemäss BDSG hat die Bestellung eine Datenschutzbeauftragten bei Aufnahme des Geschäftsbetriebs zu erfolgen, da gibt es keine Frist.
StudiVZ verstösst also seit fast einem Jahr (and counting, da der im studiVZ blog vorgestellte Typ nicht die Voraussetzungen erfüllt) gegen das BDSG.
Laut Falk Lüke (via http://fx3.org/blog/2006/11/26/studivz-datenschutz-ein-versagendes-frhwarnsysten-und-der-pnv/), läuft seit einigen Tagen eine Untersuchung des Berliner Datenschutzes.
Hmmm.
Oh, galt für die alte Nummer 28. Der neue Kommentar dieser Nummer ist nicht gemeint.
Nein, das ist keine Ironie… da fühlt sich gleich eine ganze Gesellschaftsgruppe massiv diffamiert, beleidigt und tief in der Ehre verletzt!!!1!!elf! –
Man kann es eigentlich kaum glauben, dass das wirklich angehende Akademiker sein sollen…
Mal ehrlich, is das nicht alles einfach nur ALBERN???!!!
Was glaubt Du wie schnell bei mir anmaßende, dämliche, unsachliche und dreiste Kommentare verschwinden, weil es mir gerade in den Kram passt?
Wenn es Dich hier stört, mach’ ein eigenes Blog auf.
Ich habe das mal so formuliert: Es heißt Meinungsfreiheit. Deinungsfreiheit findest Du in Deinem Blog.
:-D
Vermutlich gibts für die Downtime eine simple Erklärung…
Aneta bastelt wahrscheinlich gerade das Nikolaus-Gruschel-Layout für alle StudiVZ-Seiten, mit Santa Claus, Schneeflöckchen, Rudolf the red nosed Rentier, roten Mützchen und goldenen Glöckchen…
Zitat: “‘Wir sind weit davon entfernt in irgendeiner Form gegen das Datenschutzgesetz zu verstoßen’, sagt Tilo Bonow, der Sprecher von Studiverzeichnis.”
Quelle: Sueddeutsche.de vom 23.10.06
http://www.sueddeutsche.de/,Ple5Lar/jobkarriere/berufstudium/artikel/79/88990/
ich hätte jetzt gerne das studivz wieder zurück…man kann auch aus ner Mücke nen Elefanten machen
nmap -P0 http://www.studivz.net
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-11-27 13:14 CET
Interesting ports on 217.188.35.145:
(The 1633 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
25/tcp filtered smtp
42/tcp filtered nameserver
69/tcp filtered tftp
111/tcp filtered rpcbind
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
512/tcp filtered exec
515/tcp filtered printer
631/tcp filtered ipp
2000/tcp filtered callbook
2049/tcp filtered nfs
4045/tcp filtered lockd
4444/tcp filtered krb524
5000/tcp filtered UPnP
6000/tcp filtered X11
6001/tcp filtered X11:1
6002/tcp filtered X11:2
6003/tcp filtered X11:3
6004/tcp filtered X11:4
6005/tcp filtered X11:5
6006/tcp filtered X11:6
6007/tcp filtered X11:7
6008/tcp filtered X11:8
6009/tcp filtered X11:9
6017/tcp filtered xmail-ctrl
6050/tcp filtered arcserve
Also Stecker ziehen sieht anders aus…
Kommentar von marcc, 27.11.2006, 13:53
35. Escobar:
lol.hier verschwinden einfach kommentare *grins*
zauber-zauber….dreimal schwarze katze…
Was glaubt Du wie schnell bei mir anmaßende, dämliche, unsachliche und dreiste Kommentare verschwinden, weil es mir gerade in den Kram passt?
Wenn es Dich hier stört, mach’ ein eigenes Blog auf.
Ich habe das mal so formuliert: Es heißt Meinungsfreiheit. Deinungsfreiheit findest Du in Deinem Blog.
:-D
Genau mein Reden, wenn euch was stört, macht doch ein eigenen Bog auf!!
:-D muhaha
inetnum: 217.6.137.16 – 217.6.137.23
netname: HUMAINE-KLINIKUM-BAD-SAAROW-NET
descr: Humaine Klinikum
Ich wäre als Spamschwein mit so einer IP verdammt vorsichtig.
ey ich hau mich gleich weg hier:-D, schlimm genug ,dass wir alle nichts bessres zu tun haben als hier rumzuhängen(damit meine ich auch MICH ;-) )
Don, willst Du Dir nicht von nebenan einige willige Elitessen zum Troll-Entfernen einstellen? So zum kleinen Nebenverdienst inklusive Datschi und feinem Tee?
mannometer. don-bashing? wenn, dann bitte elegant! alles andere ist langweilig.
an alle anderen: augen zu machen, durchatmen, “oohmm”-anstimmen. dann ist das alles viel entspannter… ;)
Matthias/43: Und einen Tag später erschien diese Anzeige:
http://www.jobpilot.de/misc/adframe/jobpilot/7d6/2f/1787455.htm
Kann Zufall sein, ist aber wohl nicht.
@ spammer: willst du, dass der don ne blase bekommt??
Das das mit dem Begriff zensur keiner kapieren will: Zensur ist ein hoheitlicher Akt des Staates. Was einer in seinen Blogkommentaren zulässt ist ganz simples Hausrecht. Das jeder für sich in Anspruch nimmt, wenn ein Gast anfängt im heimischen Wohnzimmer zu randalieren oder rumzupöbeln: Er wirft ihn raus.
(Immer wieder dieses Diskussion, die zudem die echte Zensur relativiert und verniedlicht.)
“Wer nicht für ihm ist wird Zensiert.”
Ein kleiner CHERZ aus der Kiste “Rettet dem Dativ!” ???
Oder ist den Praktis bei StasiVZ grade langweilig?
@Elias: Dass die Maschine an sich läuft, hatte ich schon geschrieben. “Stecker ziehen” meint wohl eher http-daemon gekillt oder Content gelöscht.
Also ich muss ehrlich sein, mir fehlt studivz.de!
Habe einige Nachrichten bekommen, die ich gerne lesen würde!
XSS-Wurm!
Derzeit scheint es eher so, alsob die Notbremse wegen eines XSS-Wurmes gezogen wurde, welcher sich automatisch ueber die Pinnwand als Link verteilt hat :-)
Sobald auf diesen Gruppenlink geklickt wurde, wurde die E-Mailadresse des aktuellen Users auf eine nicht oeffentliche Pinnwand geschrieben und die Loginseite angezeigt. Das hier angegebene Passwort wurde ebenfalls auf die Pinnwand geschrieben, der User wurde auf die Gruppe “Datenschutz im StudiVZ” weitergeleitet.
Gleichzeitig lief das Skript im Hintergrund weiter, fragte die Freundesliste ab und begann damit die Pinnwaende der Freunde mit einem aus Bloecken zusammengewuerfelten Text zu beschreiben “Hallo *vorname*, schau Dir mal die Gruppe an… *url* Gruss, *vorname des users*”. Da sich das Skript zwischen Browser und Web legte (als Man-in-the-middle) und die geklickten Links per XMLHttpobj abfragte und darstellte, ist/war es moeglich, dass es im Hintergrund weiterlief und sich somit effektiver Verbreiten konnte.
Bis um 11:55 der Customer Support ebenfalls auf die Gruppe klickte – 4 Minuten spaeter stand “Kaffeepause” – weitere 2 Minuten spaeter wurde der Stecker gezogen.
Ich denke eher dass _dies_ der Grund fuer den “Ausfall” ist. Das JavaScript wurde ueber den im Titel nicht geparsten Gruppennamen eingefuegt.
Web2.0, viralen Marketing,
Wurm2.0, virale Verteilung :)
Ein Beispiel von der Pinnwand (Emailadresse von mir verschleiert,Passwoerter vom Wurm direkt – er ist nicht destruktiv gebaut-):
mail|1164558979|BTjk8z|thommybee@xxx
data|1164559219|5wn3jL|2904F****
mail|1164559217|5wn3jL|timonschroeter@xxx
mail|1164559778|Xg586z|m.stoeckemann@xxx
data|1164560080|Skw2Lz|bil****
mail|1164560069|Skw2Lz|hendrik-7-schulze@xxx
data|1164559857|n7SRkg|c****
mail|1164559854|n7SRkg|christian.schumacher@xxx
Hm.. ein Grund den Stecker zu ziehen? :-)
StudiVZ – wann lernt ihr es endlich?
Schoen Gruss,
“Juergen Kuester”
@56: habe die blogwelt erst kürzlich entdeckt. bin zudem nicht IT-affin- Was ist denn nu mit StudiVZ? Geheist aka gesläschdottet sind die nicht, gespiegelt auch nicht, gebilded auch nicht. hast du ne ahnung?
Was sagt mir das jetzt als Laie?
@Cristof: Als studiVZ entstanden ist, habe ich den Sinn nicht so recht verstanden. Ich dachte, ein Netzwerk wäre deutlich effektiver, wenn nicht nur Studenten drin sind sondern z.B. auch Menschen mit mehr Erfahrung in dem Berufsfeld. Abe ranscheinend ist das Bedürfnis da, also warum nicht. Aber dann muss de rDatenschutz vernünftig sein. Das darf nicht ers tim Nachherein irgendwie hingeschraubt werden, wenn das Webkind schon in den Brunnen gefallen ist. Die breite Masse stört es offensichtlich nicht. Aber die breite Masse interessiert sich anscheinend auch nicht für datenschutz. Man kann dann “selbst schuld” sagen. Allerdings glaube ich, dass sich die Leute einfach darauf verlassen, dass das okay ist. die denken “Wow eine coole Sache” und bei der Größe muss de rDatenschutz ja okay sein. So wie ich zum Arzt gehe und denke, dass der schon ein Medizinstudium haben wird und kein Diplom aus einer Briefkastenfirma von den Solomon islands.
@48
?? das ist doch ein anschlag gewesen?? oder??
Uups, schon wieder falsch geblockquoted – bitte um Nachsicht.
Sehr interessant das alles. Bin gespannt, ob es nun an dem Wurm lag. Und auf das, was wir dann vom StudiVZ Team zu lesen bekommen.
Sehr schöner Kommentar übrigens @12/Thomas. :-)
@58 Ich checke nicht, was du meinst!
Kann man das auch einfacher erklären?
merkst du eigentlich, dass du nervst?
Was sagt mir das jetzt als Laie?
PHP-webweenies sollten die Finger von Technik lassen, die sie nicht beherrschen.
Wie meinte Jörg-Olaf Schäfers doch vorhin:
Und genau das ist das Problem mit den reichlich relatitätsfernen “Alles ist gut, ich hab’s voll im Griff”-Einträgen im StudiVZ-Blog. Viel lauter kann man “Los, beweist mir doch das Gegenteil!” nicht in die Welt brüllen.
Da hat wohl jemand klar und deutlich das Gegenteil bewiesen …
Achso, ich soll das Internet nicht benutzen?
bhoa, was für ein turbo-gespamme hier
das mit dem Wurm ist ja mal,… *schlapplach* sowas musste ja passieren!!!
Spiegel berichtet!
http://www.spiegel.de/netzwelt/web/0,1518,450866,00.html
lol
kann dem spammer aka troll mal einer das wlan-kabel durchschneiden?
wie soll man denn so mitlesen…
achja noch was zum thema oder auch nich: die stasiVZ leute tun mir fast schon leid
ps: don du wirst echt noch mein lieblingsblogger
und jetzt auch der spiegel mit link zur blogbar. den hatten die ja bisher immer schön abhgeklemmt
@ felix: Dann wird der Server hier bald schlapp machen…
SpOn: “Unter den Studenten regt sich inzwischen Unmut. Die obersten Studierendenvertreter der Humboldt-Universität zu Berlin zum Beispiel warnen in einer offiziellen Pressemitteilung vor StudiVZ – wegen “Sexismus, entgleister Rhetorik und gravierender Datenschutzmängel”.”
hallöchen so mal für mich als newbie in sachen würmern!! haben die deppen bei studivz (alles ist sicher bei uns ^^;-)) es geschafft das ein wurm bei denen im system rumgeistert und mit meinen daten (email passwörtern) scheiss baut!! meinen leuden noch so ein mist anhängen!!!
SCH….E denn ich depp hab email pw und studivz pw gleich (email pw schon geändert)
sowas kann doch nicht sein oder? hab extra nen 10stellige pw (zahlen buchstaben) genommen damit es sicher ist und die haben ein offenes system
Stimmt das mit den Kennwörtern? – Ich mein, hat jemand mal eins davon ausprobiert ob die auch wirklich funktionierten? – Wenn ja, dann ist das wirklich absolut die härte… Kennwörter werden NIEMALS im klartext irgendwo gespeichert… und so stand es wenn ich mich richtig erinnere doch auch auf den Hilfeseiten, oder? Wenn also ein Wurm die Kennwörter irgendwoher exrtahieren konnte, dann… oh, man, ich mag es mir gar nicht ausmalen. Denn vielleicht wurde das ja shcon über einen längeren Zeitraum gemacht, ohne das ein Wurm so nett drauf hinweist.
schade um das system…
das eigentlich nicht als kontaktbörse genutzt werden sollte.
sondern eher zum kontakt halten.
aber benutzer dummheit ist so unendlich gross
das der programmier aufwand gegen unendlich geht um sie zu kompensieren.
und datenschutz ist nur so lange gut wie man möglichst wenig von sich selbst preis gibt ^^ das sollte eigentlich jeder wissen
gruss lol
@Don: Nimm bitte die Daten des Klinikums unter 48 ruas. Danke
hi!
Was ist denn nun mit dem guten studivz?
Will meine Pinnwand checken und evtl Nachrichten lesen. Man kommt ja nichtmal auf die “Käffchen?”-Seite.
Abgeschaltet ist es ja nicht, sonst müsste es ja einen ping-timeout geben. Die url wird aufgelöst und die gesendeten Pakete kommen zurück.
Gehackt hat das ja wohl niemand, denke ich mal. Kann das denn echt mit den problemen wegen des BDSG zusammenhängen?!
lol marcel,…. da hättest du auch ein 2048 kbit veerschlüsseltes PW nehmen können, wenn du dein PW weitergibst musst du halt mit sowas rechnen
lol 2048kbit verschlüsselt :P dazu muss man wohl nix mehr sagen
ich habs ja nicht weitergeben nur das gleich für studivz benutzt!! ich dachte das wäre sicher. auch von seiten studivz
@gutii: hilfts, wenn ich dir mit paypal was überweise?
81: schlafloser
Abgeschaltet ist relativ… Die BIG-IP Loadbalancer laufen noch und antworten auch auf Pings, die Nameserver laufen natürlich auch noch… aber die Webserver hinter den BIG-IPs bzw. der Apache-Webserver auf den Maschinen läuft halt nicht mehr… mit deiner Pinnwand wirds, wenn das mit den WUrm stimmt, wohl noch ne zeitlang dauern…
Na hoffentlich stand bei denen nicht die Staatsanwaltschaft mit einstweiliger Verfügung vor der Tür und hat den Laden vorrübergehend dicht gemacht.. Sowas kann schon passieren wenn zu viel shit passiert. Gerade Thema Datenschutz
@Robert:
Danke, für die ausführliche Antwort!
Is ja echt toll, dass das ned läuft :-(
hab mein pw ja net weitergegeben. aber hab für email und studivz das gleiche!! und ich dachte es wäre sicher (zumindesten bei studivz) naja…. is ja nix passiert (noch nicht) wer weiss!!
@78 Robert:
Der Wurm liest das ja nicht aus der Datenbank aus, sonder präsentiert ein Webformular in das du dein Passwort eingibst. Das kann der Wurm dann natürlich problemlos auslesen.
@92: Ahh, danke.. hatte ich wohl falsch verstanden… so phishing mässig also… auch nciht schlecht… aber immerhin “besser” als mein gedachtes szenario…
@marcel: regel nummer 1: NIEMALS ein Kennwort zweimal verwenden!
@ den Penner mit den elend langen Posts: Bei StudiVZ dauert es aber im Schnitt auch 4 Stunden bis ein Kommentar freigeschaltet wird Рund ich m̦chte gar nicht wissen, wie viele da hinten runter fallen Рpositive wie negative.
Irgendwie habe ich das Gefühl, als würden heute alle die sonst “Weiter so” beim StudiVZ BBC posten sich hier einen Ersatz für das abgewürgte StudiVZ suchen um ihren Frust abzulassen.
Meine ich ja nur – kann auch falsch liegen.
ist das mit dem xss-wurm jetzt nur ein erklärungsVERSUCH oder ein ERKLÄRUNGSversuch? sprich schuss ins blaue oder ins schwarze?
@gutii: Verkaufst Du Ersatzscrollrädchen?
Neue Idee für ne StudiVZ-Gruppe: Mister-Häßlich-Wahl-Dezember-2006: Findet den häßlichsten Typen im StudiVZ. Postet seinen vollen Namen und die Heimatuni…
Na ihr “die sind doch selber schuld”-Schreier, was haltet ihr davon. Ich könnte wetten, einer von euch gewinnt.
Schade dass SPON den aktuellen Wurmangriff nicht auch noch verarbeiten konnte. Dass der Link zum Blog klammheimlich entfernt wurde, sagt auch einiges über die propagierte Offenheit.
@marcel:
na dann check gleich noch schnell deine anderen I-net Passwörter und änder sie ggnfalls um, bevor es zu spät ist
@flipflop:
mit 2048kbit wollte ich übertreiben, wie du sicherlich gemerkt hast
StudiVZ: Weiter geht’s…
Fast täglich neue Skandale. Nach der Stalkergeschichte, die inzwischen auch bei Spiegel Online aufgeschlagen ist, heute ein neues Sicherheitsleck.
Um die bisherigen Vorwürfe mal kurz zusammenzufassen:
Wikipedia-Manipulation,
Datenschutzverle…
“Eigenes Grab schaufeln”, nennt man sowas wohl!
Der XSS-Wurm ist bereits aktiv, es ist also ein ERKLAERUNGSversuch.
Sowohl blogbar wie auch fx3 haben eine groesseren Teilausschnitt der Liste der betroffen User erhalten, welche bereits auf das Phishing “hereingefallen” sind oder ihn nur selbst verbreitet haben. Dort stehen auch die E-Mailadressen komplett, wodurch eine verifizierung der Geschichte ueber x-Zeugen moeglich ist.
Leider liegen noch keine Screenshots der Wurmgruppe oder den Pinnwandposts vor.
Datenformat:
mail/data|unixtimestamp|userid|daten
Schoen Gruss,
“Juergen Kuester”
100er! Weiter so!
Ich vergass ggf. fuer die Demonstration des ganzen und um das Prinzip dahinter zu verstehen den Link zum per Sicherheitsluecke im Ausfiltern von HTML eingebundenen JavaScript (in dieser Form laedt es sich als reinen Text und IST NICHT ausfuehrbar, dafuer Bedarf es der direkten Einbindung im VZ):
http://195.149.74.109/js.js
Kann man eihgentlich die liste mit den bekannten Emailadressen einsehen? Рmal ganz bl̦d gefragt??
Hallo “Juergen”
Naja… ein “Beweis” für den Wurm ist diese Liste aber nicht…
Bleibt wohl nur abzuwarten, bis es ein offizielles Statement von StudiVZ dazu gibt…
Moin Don, Glückwunsch zur Headline bei Spiegel Online… bin gespannt, wie’s weitergeht ;)
http://www.spiegel.de/netzwelt/web/0,1518,450866,00.html
Zum Thema XSS-Wurm gibt es eine schöne Webseite eines myspace users, der myspace damit mal lahm gelegt hat:
samy is my hero
Ein XSS-Wurm ist eine Sicherheitslücke, die es erlaubt ein Stückchen Code in aufgerufene Webseiten einzuschleusen und auch weiter zu geben.
Via: heise XSS-Wurm legt MySpace lahm (18.10.2005)
Ja ja, ist schon gut ein Jahr her, aber immer noch für eine Ãœberraschung gut. Wenn #58 mal (jemals?) verifiziert wird …
Ich hab einen Bug gefunden!!!
Es gibt im StudiVZ keine Bugs!
zitat aus der hilfe, gut zu wissen. also leute lasst die verläumnung hier, steht doch schwarz auf weiß.
it’s not a bug, it’s a feature
Es ist so ruhig hier heute Morgen… eine Ruhe vor einem neuen Sturm ??
Gestern war es ja schon ziemlich windig….
Die weissglühende Festplatte muss erst mal abkühlen.
ich nehme an das hier http://www.darktec.org/studivz.cgi ist schon dabei? (Laut Heise der Grund für die spätere Abschaltung gestern)
@Dave-Kay:
Das klingt auch nett… heise hat das in ein Update
http://www.heise.de/security/news/meldung/81639
gepackt.
Das ist das Alter… *fg*
*duck*
Aber mal was anderes: Das Update bei Heise, die Downtime von gestern Abend – sollte es tatsächlich so sein, dass StudiVZ das erste Mal auf einen Hinweis (unverzüglich) regiert hat? Das wäre dann ja mal – ähm, ungewöhnlich. :D
An die Damen und Herren mit mehr Durchblick und Hintergrund-Info:
Kann man schon in etwa abschätzen, wohin die Entwicklung der nächsten Zeit gehen wird?
– Großes MeaCulpa und Kotau von StudiVZ, “Alles wieder heile”, Holtzbrink atment erleichtert auf, weil die 2 Mio. nicht in den Sand gesetzt wurden?
– Oder Großreinemachen inklusive personeller Neubesetzung, professionellerem Auftreten und Ankündigung eines technischen Re-Designs?
– Oder langsames Dahindämmern von StudiVZ und Erstarken der sich seit Tagen vor Lachen in die Hosen machenden Konkurrenz?
Die Studenten von heute verkraften ja gar nix mehr. fühlen sich sofort angepisst und nölen rum…peinliche aktion meine herren. ich bin selber student und ich finde, dass der artikel es zu 105% aufn punkt bringt. also stellt euch mal net so an und packt euch lieber mal an deiner eigenen nase. die wahrheit kann öfter mal unangenehm werden.
@donalphonso….bitte mach weiter so…dein geschreibsel versüßt mir den morgen (wobei geschreibsel nicht abwertend gemeint ist ;-) )
greetz from hell
Es wird weitere Enthüllungen geben, es gibt da zum Beispiel einen kinderleichten Trick, der nicht mal ein Hack ist, um sich in gewissen Situationen Sachen anzuschauen, die nur dem User vorbehalten sind. Aber das ist nur Kinderkram. Ich wünsche sowas keinem, aber ich bin mir ziemlich sicher, dass es bald weitere Hackerangriffe geben wird. Nicht, dass ich das gut fände, aber StudiVZ produziert damit massenhaft Fame für die, die es tun, und nach allem, was man von kundigen Leute hört, ist der ganze Laden immer noch extrem löchrig.
Im Prinzip, wenn da verantwortungsbewusste Leute wären, würden sie das Ding jetzt vom Netz nehmen und zwei Wochen die Löcher stopfen. Aber genau das werden sie nicht tun. Sie warten nur darauf, dass irgendeiner kommt und den ganzen Laden ausliest. Es ist so übel, es ist so unfassbar, ich könnte jeden Tag kotzen, aber manche begreifen es eben nur, wenn sie in der totalen Katastrophe sind – betreffen wird es die Nutzer, aber die sind denen in Berlin meines Erachtens scheissegal.
@112:
Bisher haben sie ja immer nur dann und auch spät reagiert, wenn es sich nicht mehr vermeiden ließ:
E.D.s Geburtseinladung und videojournalistische Arbeiten führten zu einem “Tut mir leid, kommt nicht wieder vor” mit anschließendem “E.D. verschwindet (zwangsweise) in der öffentlichen Versenkung und wird vor sich selbst geschützt”.
Plötzliche Bestellung eines “Datenschutzbeauftragten” und abwiegelnder, beschwichtigende Stellungnahme im hauseigenen Blog.
Erstes Auftauchen einer Art “Stellungnahme” des Großinvestors Holzweg Ventures mit gaaaaanz vorsichtigem Anflug eines Hauches von klitzekleiner Distanzierung.
Gleichzeitig: unglaublich hohle Stellungnahme des “StudiVZ-Sprechers” zur “Miezen”-Gruppe, Entfernung des Bloglinks auf der Startseite, Marschrichtung in Holzweg-Statement: “Sind ja alle noch so jung und unerfahren, wir helfen aber gerne, wo und wenn wir können”.
Die Strategie der letzten Tage würde ich als “Last minute-Salamitaktik mit Nebelbömbchen” bezeichnen.
Nur gibt es nun ganz akut für die Gründer und Investoren das Problem, dass gestern ein Mega-GAU passiert ist (sogar gleich zweimal), während SPON noch die Stalkergruppe (war übrigens zeitweise meist versandter Artikel) hochkochte.
Ob das Kalkül, allein auf schmerzfreie, unbedarften User und/oder ein Kleinhalten der Diskussion jetzt noch lange funktioniert – ich hab da meine Zweifel .
Den Jamba-Jungs ist Image vermutlich wurscht, das haben sie mit ihrem berühmt-berüchtigten Geschäftsmodell “Teenies über VIVA abzocken” ja eindrucksvoll unter Beweis gestellt.
Aber Holtzbrinck ? Auch wenn’s nur “Venture Capital” ist – zwei Mios schreibt keiner gerne ab, und immerhin hat der Name doch schon eine gewisse Reputation, das wird in der Konzernzentrale keiner gerne lesen, wenn eine Tochter wochenlang mit Toilettenvideos, Völkischem Beobachter und Sicherheitslücken in den Schlagzeilen ist. Irgendwann reißt dort der Geduldsfaden, und dann sind wir ganz rasch bei einem “Reset”…. könnte ich mir vorstellen.
Und: wir wissen ja nicht, was Don noch alles auf seiner weißglühenden Platte hat. Er hat auf jeden Fall eine geschickte Dramaturgie; und ich kann mir kaum vorstellen, dass er sich die Steilvorlage von gestern nehmen lässt…
wie würde es denn wirken, wenn man den laden zur reparatur vom netz nähme? ich selber finde es richtig, konsequent und nachvollziehbar. fehlermachen ist menschlich, es zuzugeben und zu heilen ehrenhaft. meint ihr nicht? ich denke nicht, dass eine längere downtime zu image-problemen führen wird. das das konzept der social community für studenten grds. gut und begrüßenswert ist, daran hat ja hier (wenn ich es richtig lese) keiner zweifel.
@Kajetan: Na entweder Nr. 1 oder Nr. 2, oder auch ein Kombination von beidem. Man muss die Trägheit der Masse berücksichtigen – die vielen Studenten kümmert es viel eher, dass der Server ausfällt, als dass jemand gerade Ihre Log-In Daten gestohlen haben könnte.
Solange die nicht persönlich auf der Toilette gefilmt wurden, gibt es
zwar öffentlich eine große Empörung, privat macht aber jeder weiter, denn “Der Idee finde ich ja an sich ganz toll!”.
Die Gründer wissen das, deshalb passt Ihre Unternehmenskommunikation auch sehr gut ins Bild. Das sind wohl nicht nur ukrainische Coder, sondern auch Altkommunisten als PR-Leute am Werk ;)
Ich glaube die werden es einfach aussitzen. Und das wird man ihnen letzten Endes auch abnehmen.
Deshalb meine Prognose – StudiVZ is here to stay.
@medved:
Ja, angesichts der Erfahrung der Samwer-Brüder mit der Unreife, Naivität und daher leichten Manipulierbarkeit Jugendlicher klingt Deine Prognose (leider) recht wahrscheinlich. Ich muss doch nur daran denken, wie jung, dumm und unerfahren ich früher selber war.
Sie können es nicht vom Netz nehmen, weil
a) es ein Eingeständnis der bisherigen Probleme wäre
b) es neue AGBs zur Folge haben müsste
c) es ihnen dabei hunderttausende Karteileichen verloren gingen
d) es jedem klar werden würde, dass etwas nicht stimmt
e) es das Wachstum in die Gegenrichtung treiben würde
f) der Wert der Firma damit drastisch fallen würde.
Ich vermute, sie werden versuchen, bis Weihnachten durchzukommen, denn dann ist der Traffic nicht mal 50% vom Normalen, und bis zum Ende der Ferien könnte man was tun. Wenn man Glück hat, und bis dahin nichts passiert.
Ich bin mir aber gar nicht so sicher, ob sie durchkommen. Es gibt deutliche Anzeichen dafür, dass die Geschichte über Foren und Mails verbreitet wird. Ich weiss nicht, wie gross das wird, aber da kommt etwas Virales mit hoher Geschwindigkeit, das man nicht sieht und hört, das keine Kommentare absondert und erst zu bemerken sein wird, wenn es längst eingeschlagen hat.
Hm…
wenn ich die Kommentare im StudiVZ-Blog lese, gönne ich es den Leuten irgendwie wirklich, dass irgendjemand deren Daten ausliest (aber so richtig massenweise) und dann bei eBay in deren Namen auf Einkaufstour geht.
Selbst in meinem Bekanntenkreis sind einige Leute immer mit gleichem Passwort unterwegs.
Konsequenzen sind in solchen Härtefällen wohl das einzige Argument.
Ich werfe mal die Frage auf, ob die aktuellen Ereignisse und das, was gerade “viral wächst” (Don in #119) nicht auch handfeste wirtschaftliche Einbußen bedeuten könnte – Stichwort “Weihnachten”.
StudiVZ ist nutzermäßig (angeblich) über Plan gewachsen, im August steigt ein großer Investor ein und im Spätsommer kündigt man “dezente Werbung” im Portal an, testet das schonmal mit ner Juli-Promonummer und einer ZEIT-Abo-Nachricht…
Die Vorweihnachtszeit ist für Werbemedien tatsächlich wie Weihnachten: da gehen die Umsätze nämlich nochmal schön nach oben.
Ich kann mir nur schwer vorstellen, dass die Investoren im August nicht schon darauf geschielt haben, erste “Umsatz-Feldversuche” bereits im Dezember 2006 zu machen.
Ohne alles zu hoch hängen zu wollen, aber Leute, die professionell Werbung im Netz vertickern und/oder buchen, lesen durchaus einschlägige Online-Magazine und Blogs, die werden inzwischen schon mitbekommen haben, was da läuft. Denen könnte es ja egal sein – Hauptsache, die Zahl der Kontakte stimmt… aber nun besteht die Gefahr, dass ihnen der ganze Laden um die Ohren fliegt… Vertrauen in eine Werbeplattform sieht anders aus…
hm, nun – ich würde dennoch durchrechnen, in wieweit eine abschaltung und generalüberholung sinn machte. die andere alternative, don, den laden online über die nächsten wochen zu “retten” ist ja eigentlich keine. möglicherweise geht es eben doch: laden dicht machen – reparieren – laden online stellen – netzwerkeffekt abwarten – fertig. a) bis f) sind sicherlich alle richtig, wirken sich aber möglicherweise auch nur kurzfristig aus. das konzept, kopiert hin oder her, ist ja nicht doof…
zu mails/foren etc: an meiner uni gibt es schon die ersten kettenmailings, wo auf das, was studivz nicht im eigenen blog hinweist, bezug genommen wird. ich denke, dass in diesen mailings noch eine menge “wertvernichtendes” potential drinsteckt. gerade auch deswegen würde ich aus investorensicht eine downttime-lösung bevorzugen.
das invest ist doch letztlich nur eine wette auf veräusserungserlöse > einstandszahlung. ob ein schlechtes projekt bald verkauft wird, oder ein gutes, nöglicherweise revitalisertes projekt zu einem späteren zeitpunkt, ist mit downtime-wertvernichtenden faktoren eine reine rechenaufgabe.
@121: habe gerade wegen einer anderen sache mit HR-mann von einem Industrieunternehmen gesprochen. der kennt die vorgänge im StudiVZ übrigens auch. Interessante Aussage: “Wir kommen auch so an die guten Leute ran, und umgekehrt”.
Das gleiche gilt möglicherweise auch fürs Produktmarketing. Mal ehrlich: ich kann mir zum jetzigen Zeitpunkt nicht vorstellen, dass irgendeine Firma StudiVZ als zusätzlichen Kommunikationskanal nutzen wird.
Und was dabei dann rauskommen kann bei der hemmungslosen Offenheit.
http://news.bbc.co.uk/2/hi/uk_news/england/london/6157190.stm
StudiVZ – quo vadis?
Ich verfolge die Storys um StudiVZ jetzt schon eine Weile. Am Anfang sah alles noch nach “bashing” aus, soll heißen den Machern von StudiVZ blies ein eisiger Wind aus der Blogosphäre entgegen. Ich dachte, man müsse mit den Gründern Rücksicht haben, d…
[…] Wer zur Zeit StudiVZ ansurfen will, hat ein Problem. Die Seite ist nicht erreichbar. Es mehren sich die Gerüchte, dass dies durch einen XSS-Wurm verursacht wurde. In den Kommentaren bei DonAlphonso (zur Zeit aufgrund der SPIEGEL-Verlinkung schlecht erreichbar) und Jörg-Olaf schreibt ein gewisser Juergen Kuester: […]