StudiVZ – Irgendwann kommt mir ohne Sicherheit das Essen hoch.
StudiVZ ist angeblich sicher. Und weil sie so toll sicher haben, gibt es auch super verschlüsselte Profilnummernkombinationen. Das sieht dann so aus:
http://www.studivz.net/profile.php?ids=5fkwYc
Toll, was? Zahlen, Grossschreibung, Kleinschreibung, das sind 62 hoch 6 = über 56 Milliarden Möglichkeiten allein für die Profile. Super sicher, da sitzt einer beim Abgrasen, Entschlüsseln und Dubletten rausschmeissen wirklich lang dran.
Oder auch nicht:
http://www.studivz.net/profile.php?id=4 (Dennis Bemman, der Coder)
http://www.studivz.net/profile.php?id=5 (Ehssan Dariani, der Pusher)
http://www.studivz.net/profile.php?id=6 (Lukasz Gadowski, der Business Angel)
http://www.studivz.net/profile.php?id=7
Ihr seid Datensammler? Na prima. Einfach statt ids id schreiben, und die Zahl dahinter, und dann durchzählen – aber Achtung! Ab 1.000.000 gehtŽs in Zehnerschritten weiter.
UND ICH WILL LIEBER ERST GAR NICHT WISSEN, OB DIE TOLLEN, SICHEREN KOMBINATIONEN BEI BILDERN UND SONSTIGEN INFORMATIONEN NICHT GENAUSO GUT VERSCHLÃœSSELT SIND.
Obwohl…
ich habŽs doch ausprobiert… es geht:
http://www.studivz.net/showpeoplealbums.php?ids=w8V
http://www.studivz.net/showpeoplealbums.php?id=4
Von hier… Oh Mann, wo ist mein Kotzeimer…
EDIT: Mit einem recht simplen Rechentrick lassen sich die angeblich sicheren Codes von StudiVZ ganz simpel auflösen, bitte den Kommentar von Michi hier und das Folgende anschauen:
Projekt: Berechnung von verschluesselten IDs zurueck zu numerischen IDs
— REIN ZUR ANSCHAUUNG —
Aaaalso, fangen wir mal mit einem Zitat aus dem allzu vertrauenswuerdigen Blog an:
“Die Suche nach einem beliebigen Code, wie beispielsweise Ev4M21/Z3uP7KA-5819, der Zahlen und Buchstaben enthält, viele Millionen Jahre benötigen. Die Kombination des von uns verwendeten Codes ist bedeutend komplexer als die Kombination aus PIN und TAN beim Online Banking”
Ehrlich? Nein, denn dann sollten wir schleunigst zum Protest gegen die Banken aufrufen!
Erstmal der “Weg zum Glueck”, bzw. ein wenig Theorie, die sich auf Beobachtung der ID-Veraenderung von Benutzer zu Benutzer, von Bild zu Bild stuetzt:
Zunaechst ist erkennbar, dass sich die ID “von vorne nach hinten” und scheinbar aufsteigend aendert. Als naechstes stellte ich durch die Betrachtung einer groesseren Menge von IDs fest, dass es nur __32__ verschiedene Moeglichkeiten je Zeichen gibt: qVgT8z3L0Bnc2Rw7X19khS4Y56MjDpfx – nicht mehr und nicht weniger. Der Zeichenraum ist somit _MASSIV_ kleiner als behauptet, da nicht a-z A-Z 0-9 (62 Moeglichkeiten) verwendet werden. Somit sinken auch die “viele Millionen [benoetigten] Jahre” um die IDs ggf. durchzutesten. Im Vergleich:
5 Zeichen mit je 62 Moeglichkeiten (62^5): 916.132.832 Variationen (optimum)
5 Zeichen mit je 32 Moeglichkeiten (32^5): 33.554.432 Variationen (VZ)Jedes Zeichen muss also ein Zahlwert zwischen 0 und 31 zugeordnet werden koennen. Um das Rueckwaertszaehlen zu verstehen, lag es nahe, die IDs als Bitstream, also als Folge aus 0 und 1 zu betrachten. Nur so ist eine solche Zaehlweise logisch. Da sich die ersten beiden Ziffern jedoch stets massiv aenderten, musste ich bei dem “Herauskriegen” der Reihenfolge anders vorgehen: die hinteren Ziffern veraendern sich seltener (was widerum die von-Links-nach-Rechts Theroei manifestiert), wodurch ich darauf schloss hier die Reihenfolge ermitteln zu koennen. Und voila, es war tatsaechlich (durch _reine_ Betrachtung) moeglich. Somit ergab sich sich das von-links-nach-rechts gezaehltes Bitmuster wie folgt:
q => 00000
V => 10000
g => 01000
T => 11000
8 => 00100
z => 10100
3 => 01100
L => 11100
0 => 00010
B => 10010
n => 01010
c => 11010
2 => 00110
R => 10110
w => 01110
7 => 11110
X => 00001
1 => 10001
9 => 01001
k => 11001
h => 00101
S => 10101
4 => 01101
Y => 11101
5 => 00011
6 => 10011
M => 01011
j => 11011
D => 00111
p => 10111
f => 01111
x => 11111Kauderwelsch? Machen wir mal ein Beispiel!
Meine User-ID im StudiVZ (ja, ich bin trotz aller Debatte Mitglied und werde es bleiben) ist die SV1SVT, meine numerische ID die 361899 (leicht der Adresse des Profilbildes zu entnehmen http://217.188.35.147/pics/members/*/*/361899-*.jpg).
Wie komme ich nun von SV1SVT auf 361899?Wandeln wir zunaechst die einzelnen Ziffern in die durch die eben ermittelten 5-Bit-Werte um:
S = 10101 V = 10000 1 = 10001 S = 10101 V = 10000 T = 11000
Da wir von links nach rechts zaehlen dreh ich es einfach mal um (man liest von rechts nach links):
00011 00001 10101 10001 00001 10101
Geben wir es nun in den Windows-Taschenrechner (von rechts nach links lesend) im bin-Modus ein und wandeln es ins Dezimalsystem:
102417461Aber was nun? Toll Zahl, bringt insoweit nichts – aber wir wollen ja auf die 361889 kommen. Also teilen wir doch einfach mal!
102417461 / 361889 = 283.007941662Tja.. und nachdem ich das ganze mit ein paar weiteren IDs versuchte, machte ich die erstaunliche Erkenntnis, dass _grundsaetzlich_ eine Zahl 283.xxxxx dabei herauskommt.
Gegenprobe: (SV1SVT -> )102417461 / 283 = 361899.xxxx (meine numerische ID)– Das wars auch schon, Sache geloest! Es funktioniert bei jeder “verschluesselten” ids ^^
Zuerst wandelt man die ids wie oben beschrieben in eine Dezimalzahl, teilt anschliessend durch die ermittelte magische StudiVZ-Zahl 283 – und schneidet nur noch die Nachkommastellen ab.
Tada, schon ist das System, das “komplexer als die Kombination aus PIN und TAN beim Online Banking”… hmm.. als blankes Zahlenspiel enttarnt.Bei den Bildern wird uebrigens auf gleiche Weise gezaehlt, in den Alben ebenfalls. Versuchts mal selbst mit Eurer ID oder Alben/Bildern – es wird stimmen.
Ich fass mir echt an meinem Kopf wenn ich solch ein PR-Humbuck vom VZ lesen muss…..Mit bestem Gruss aus Regensburg,
MichiP.S.: es beruht _komplett_ auf Beobachtungen, ist also fuer jedermann nachvollziehbar.
Sorry, the comment form is closed at this time.
Also bei mir gehts?
Zweiter! Mist! Aber wer hat denn die Nummer 1 bei den?
Man möchte nur noch den Kopf gegen die Wand schlagen…
Das schlägt dem Fass wirklich den Boden aus – man kann zum StudiVZ stehen wie man will (Stichwort “was kostenloses muss doch nichts leisten”), aber wer ein System derart schlecht kopiert und nicht in der Lage ist die einfachsten Sicherheitsfunktionen zu etablieren disqualifiziert sich damit selbst – kostenlos hin- oder her.
Don, danke für Deine umfangreichen Recherchen, aus welcher Motivation heraus Du handelst ist mir dabei völlig egal, für mich ist wichtig was dadurch ans Licht kommt!
Das ist dann wohl endgültig der Todesstoß. Bescheuerter geht es nicht.
*sprachlos*
Hmm, OK.. dass die Zufallszahl ansich unsicher ist beweist das nicht. Würden die den ID-Code abschalten wäre das Problem schließlich sofort behoben.
Jetz frag ich mich allerdings, was zur Hölle soll das? Eine verschlüsselte ID und eine unverschlüsselte? Und beide funktionieren?
Hmm Kopf an die Wand ist eine gute Idee….
Ist eigentlich ganz witzig:
http://www.studivz.net/profile.php?id=12 von Spreadshirt
http://www.studivz.net/profile.php?id=17 von Spreadshirt
Das nächste Dutzend von der Uni St.Gallen…. die dunklen Anfänge von StudiVZ…
Kann mir schon vorstellen wie die Lösung jetzt dann aussehen wird:
Statt die von der “sicheren” id_S_=x13Efds auf die id=1234 weiterzuleiten… wird jetzt dann halt auf id_nichtsicher=1234 weitergeleitet…
–> Sicherheits-/Datensammelproblem gelöst ;)
Muhahahahaha,
ich dachte schon: Wow! Da ham sie mal die ID’s verschlüsselt damit da keiner Unfug mit macht – und dann? Ouh Mann…
Ha ha… Nein, das ist nicht dein Ernst oder? Sowas ist nicht zu glauben! Ich hatte das auch im Kommentar zum anderen Post gelesen, aber die Tragweite noch gar nicht begriffen.
Aber, wem es bisher egal war, was da veröffentlicht worden ist an Lücken, der wird auch jetzt wieder sagen “Selbst schuld… Wer Sicherheit will, lädt nirgendwo was hoch”.
Ist ja auch egal, denn Du und alle anderen Blogger und wir, die wir uns hier den Mund fusselig argumentieren, sind ja eh nur auf einem “Kreuzzug” und “Wollen das schöne StudiVZ kaputt machen”. Ich harre der dümmlichen Kommentare die jetzt wieder kommen werden und lehne mich entspannt zurück.
Hehe. Grats an Elli.
Habe wohl zu früh aufgegeben, als ich bei id=1 eine Fehlermeldung bekommen hatte … ;-)
Gute Arbeit. Und jetzt zählen wir mal die Nutzer, das Durchschnittsalter und so weiter – ich sag nur “gibt curl deine cookies und den refferrer ;-)”.
Ãœbrigens hat haben diverse(alle?) SQL Abfragen eine Schwäche für %. Aber warten wir erstmal einen Tag, dann gibt es einen neuen …
Arbeiten…blogbar aufrufen…kräftig schmunzeln über den täglichen StudiVZ-Gau….weiterarbeiten.
Worüber haben wir eigentlich gelacht als es StudiVZ noch nicht gab?
wer hat denn die 666?
Noch eine Frage: Müsste man jetzt nicht feststellen können wie viele Nutzer die tatsächlich haben? Oder sind die gelöschten Nutzer da noch mit dabei?
Ups, vertippt. Ich wollte sagen, dass dieser Trick bei mir nicht funktioniert. Ich werde auf die Startseite verwiesen.
Warte noch ein paar Stunden, dann ist das erste Skript durchgelaufen und ein User postet hier die Zahl der aktuellen Userzahl…
A feature, not a bug!
Eine fortlaufende Numerierung der User-ID ist natürlich notwendig, um anderen Useren ein “ich war da viel früher angemeldet als wie du” an den Kopf werfen zu können… ;)
Apropos ‘sprechende Variablen’: steht ids etwa für ‘ID, sicher’?
… oder auch nicht…
Hallo an die Mitlesenden StudiVZ-Mitarbeiter ;)
Schade eigentlich auch, dass ich jetzt, wo ich mein Profil dort leere, ich gar keine Möglichkeit habe, mein Profilbild zu löschen…
mmm http://img294.imageshack.us/img294/3826/idvn5.png
http://www.studivz.net/profile.php?id=31 Chef von myvideo.de
http://www.studivz.net/profile.php?id=40 Ein Campus-Captain
http://www.studivz.net/profile.php?id=42 Ein Campus-Captain
http://www.studivz.net/profile.php?id=45 Kolja Hebenstreit
Schon rum? Bei mir geht es jetzt nicht mehr… auch die oben genannten nicht?
Svantjie: Suchen kannst du nur nach Personen, die du kennst. Durch die fortlaufende Nummerierung kannst/konntest du aber durch einen einfachen durchlauf aller Nummern bis zu einer Obergrenze die Daten _jedes_ Benutzers abgreifen.
“Respekt” – zumindest haben sie schnell reagiert (wenn auch etwas spät, die Türe hätte niemals offenstehen dürfen)
http://www.studivz.net/profile.php?id=7 – xxxxxxx
funktioniert nicht mehr.
@Svantjie: Lies es alles einfach nochmal! Bitte!
@22 bei mir auch nicht mehr
Die Gründer sind unter uns. Der Fehler wurde wohl beseitigt.
Geht nicht mehr. Es werden eine Reihe von Fehlermeldungen angezeigt.
Naja, ich will nicht wissen, wer auf diesen wirklich naheliegenden “Trick” nicht schon früher gekommen ist…
Sie versuche es in den Griff zu bekommen :-)
Scheint das da die panik ausgebrochen ist…
Warnung Oops! Da ist wohl irgendwas schiefgegangen! Ein Fehler ist aufgetreten und der hat den schönen Namen: [5c47e1beee1df89c43ed2d211cde5dc4]
Zeit: 2006-11-28 15:48:43
Warnung Oops! Da ist wohl irgendwas schiefgegangen! Ein Fehler ist aufgetreten und der hat den schönen Namen: [61adaa035d387bf5b42a98f75e095d02]
Zeit: 2006-11-28 15:48:43
“GetPerson: Person nicht gefunden!”
Ja, sie arbeiten dran ;-)
Na sowas. Dann war es wohl doch kein Feature.
@20 danke
Das wäre doch ganz praktisch gewesen. So ganz ohne Anmeldung. Über diesen Weg hätte sogar ich die Daten automatisch auslesen können.
Nö, es war wohl die Funktion GetPerson, in der profile.php, wo wohl einfach ungepfügt ein Feld und ein Wert via GET übermittelt werden konnte. Erinnert ein bisschen an das Geraffel von PHP-Nuke in frühen Tagen, wo auch sowas á la index.php?file=/etc/passwd möglich war.
Offenbar haben die weder in D, noch in der Ukkraine fähige Leute sitzen, sondern wohl überall Praktikanten mit einem Gehalt nahe 0.
MfG
Daniel
also bei mir funktionierts noch, wenn auch nicht mit allen IDs
Das “Feature” war wohl nur “intern für potentielle Käufer” gedacht…
Dann musst Du die Seiten noch im Cache haben.
@65 Achso, dann hätte ich das gar nicht nutzen dürfen?
Jetzt geht es tatsächlich nicht mehr, und die IDs, mit denen ich es vorhin versucht habe, hatte ich definitiv nicht im Cache.
Kleiner Teaser zu “aktiven” Nutzern: http://www.studivz.net/search.php?all_fields=0&do_search=1&global_search=1&name=aa&uni_id=0
Bis morgen ;-)
es gab eben kurz fehlermeldungen beim klciken auf “meine Seite” und jetzt geht es nicht mehr …. 4inuten um es zu fixen … al gucken ob sie es im Blog zugeben
So, jetzt braucht sich keiner mehr die Mühe machen und das ‘s’ weglassen.
Nun geht es auch direkt mit der bekannten URL:
http://www.studivz.net/profile.php?ids=xxx
Scheint aber erst ab 102 loszugehen – die Gründer wollen wohl geschützt bleiben…
vielleicht sollten die auf der startseite statt “entdecke die möglichkeiten” lieber “entdecke die mitglieder” schreiben. dann wär’ das problem auch gelöst.
@Gregor:
So haben sich die Gründer das wohl gedacht… Bin nur froh, dass hier jetzt eins nach dem anderen ans Tageslicht kommt… So gehts ja echt nicht weiter!
Wobei mir die 1.Mio User Grenze nach dem Post 39 doch noch arg in weiter Ferne vorkommt!
@43: Wieviele sind’s denn? (hab grad keinen Account)
@41 die reihenfolge ist aber mit ids durcheinander – jedenfalls ist ?ids=666 nicht gleich ?id=666 (siehe #20)
R O T F L
LOL .. toller FIX
aber eine absolute Frechheit dass die Gründer DATENSCHUTZ für sich beanspruchen und alle User ab 102 KEINEN brauchen ….
UNGLAUBLICH
Verstehe ichs richtig? Wenn man sich jetzt die Mühe macht, den “Verschlüsselungs”algorithmus rauszufinden, dann hat man 1 Mio gültige Ids, denkt über die 56 Mrd. ungültigen gar nicht erst nach, findet noch schell raus, wie die Codes für die Foto-Alben gebildet werden und dann kann man das ganze VZ abgrasen? Wird mir schlecht.
Mach weiter so, Don. Deine Arbeit ist großartig und verdammt wichtig. Hoffen wir, dass es keinen Daten-GAU braucht, damit die VZler endlich aufwachen.
Halt… ich denke das mit den ids=xxx stimmt so nicht ganz… das werden ganz einfach Zufallstreffer sein bei denen der Code nur aus Zahlen besteht, das kann bei 1mio registrierten Benutzern wohl öfters vorkommen… dafür spricht auch das Phänomen ids=666 != id=666 und, dass es keine User mit einer ids mit mehr als 4 (sagen zumindest kurze Tests) Stellen gibt…
—-
Habe gerade im vorherigen Blogeintrag die Berechnung der ids -> id beschrieben, da dieser Eintrag noch nicht existierte
—
@44
kann keine genaue Zahl sagen:
Es tauchen nur unter der Suche nach “AA” 300 Ergebnisse auf, wobei viele ungefähr so aussehen:
Account
Name: aaa aaa
Mitglied seit: 24.08.2006
Letztes Update: 24.08.2006
oder auch so:
Account
Name: eee aaa
Mitglied seit: 24.09.2006
Letztes Update: 24.09.2006
@47: Von Mühe war keine Rede. Man zählt einfach hoch.
@48 den “verschlüsselungsalgorithmus” haben die meisten menschen schon im vorschulalter rausgefunden.
@45 Ich glaube der Knackpunkt an dem System ist, dass die keine Unique IDs benutzen sondern aus was immer man in die URL schreibt ne Checksumme berechnen. Und wie das so ist bei den meisten Checksummenalgorithmen (wenn man sich keinen ordentlichen Hash leisten kann oder will) führen ganz verschiedene Eingaben zur gleichen Checksumme und damit zum Profil.
Man wird damit nicht alle Profile abgreifen können, aber zumindest mit geringem Aufwand einen sehr großen Teil.
@50: Sag mir, wieviele von den 300 ein ‘aa’ im Nachnamen haben und wie ein echter Name klingen, ob Groß/Kleinschreibung eine Rolle spielt, und ich sag Dir, wieviele User StudiVZ hat.
Kinners, die Zeichenfolgen 102 bis 9999 sind Bestandteil des “verschlüsselten” Ursprungscodes, d.h. 10000 geht nicht, aber 1000aa z.B. Also kann man daraus keine Schlüsse auf eine Gesamtzahl von Accounts schliessen, wenn man einfach nur hochzählt.
Hihihi
Lustig, man braucht nur statt aa ein * einsetzen, eine Uni ID eintragen und schon hat man alle Lämmer einer Uni zusammen. Praktisch das :-)
Also http://www.studivz.net/profile.php?ids=112 ist gleich http://www.studivz.net/profile.php?id=45 Aber da kann man wohl nichts mehr mit anfangen…
wenn man bei den IDs, wie etwa dieser hier -> profile.php?ids=M2987B”
an den ziffern rumspielt, kommt auch über all hin.
etwa so…
M 2 9 8 7B: Axel
M 3 9 8 7B: Nadine
M 2 7 8 7B: Moremi
M 2 9 2 7B: Meike
M 2 9 8 5B: Timo
soll das so sein?
merkwürdig ist auch, dass unterschiedliche ids zur gleichen Person führen..
z.B. 7u7u ; 7b7b ; …
Also, wenn jemand sich die Mühe machen will, hier ein kleiner Tipp:
http://www.studivz.net/profile.php?ids=w8V (ID=4)
http://www.studivz.net/profile.php?ids=BRV (ID=5)
http://www.studivz.net/profile.php?ids=cDV (ID=6)
Mein ungeübtes ;-) Auge sieht da möglicherweise eine Reihenfolge und Gemeinsamkeiten. Wenn jemand noch ein paar alte ID (nicht IDs) hat und dazu die IDS (nicht id) liefern kann, ist die ganze Verschleierung im Eimer.
(Sicher hätte ein Qualitätsprogrammierer mindestens so etwas wie Hashes oder Einpaar/Zig Zufallselemente dazu oder dazwischengehängt. Und damit grüße an die Updateprogrammierer :-D)
http://www.blogbar.de/archiv/2006/11/28/studivz-hell-in-the-making/#comment-88225
Sollen wir ein wenig Memory spielen:
Vergleiche:
http://www.studivz.net/profile.php?ids=110
mit:
http://www.studivz.net/profile.php?ids=120
Was zum Lachen?
StudiVZ: Verhaltenskodex für Mitglieder
http://www.heise.de/newsticker/meldung/81688
Damit es in diesem Diskussionsfaden nicht untergeht:
Schaut doch mal, was michi hier
http://www.blogbar.de/archiv/2006/11/28/studivz-hell-in-the-making/#commentlist
ab #43 vorrechnet !!!
also bei mir klappt das nicht. :-(
aber egal. meine Tage sind da eh gezählt.
komisch….
mit diesem link
http://www.studivz.net/profile.php?ids=4bh
oder diesem
http://www.studivz.net/profile.php?ids=4bhl
oder diesem
http://www.studivz.net/profile.php?ids=4bh
oder diesem
http://www.studivz.net/profile.php?ids=8pk
oder diesem
http://www.studivz.net/profile.php?ids=8pkj
oder
oder
oder
…kommt man auf ein und dasselbe profil…
ich hatte irgendwann keine lust mehr, das genauer auszuprobieren.
wo ist da bitte die verschlüsselung??
Michi du bist ein Held! ;-)
@61 Ich meine auch, jemand der davon Ahnung hat kann mit den paar Informationen die wir hier in kürzester Zeit sammeln konnten ohne Probleme Rückschlüsse auf den verwendeten Checksummenalgorithmus schließen. Und dann könnte er die Daten wieder ganz bequem hintereinanderweg abgreifen.
Warum die nicht nen ordentlichen Hash (MD5 oder SHA) aus zum Beispiel Name und Anmeldezeit gebaut haben ist mir schleierhaft. Wäre zwar etwas rechenaufwändiger, aber anmelden tut sich jeder ja schließlich nur einmal.
Das ganze zeigt einfach nur einmal mehr, dass da im Grunde ein System erstmal so hingewurschtelt wurde, dass es im Groben funktioniert und dann sind auf einmal die Nutzerzahlen explodiert. Und jetzt kommt man nicht mehr hinterher die Provisorien die man überall verbaut hat wieder loszuwerden.
Naja, dass StudiVZ den Datenschutz nicht ernst nimmt dürfte den Bloglesern ja bekannt sein (weitererzählen!). Aber das mit diesen ganzen aaa-Accounts bringt mich schon ins Grübeln. Was wohl die Investoren zu den ganzen Fake-Usern sagen?
Michi hat unter http://www.blogbar.de/archiv/2006/11/28/studivz-hell-in-the-making/#comment-88225 den “Code” geknackt, gratuliere! Womit man dann mit der magischen 283 auch schnell sich einen Zähler (oder Finder?) zu den Profilen wieder basteln kann.
Okay, das war es dann wohl ;-) . (Was die SQL Abfagen immer noch nicht absichtert *grins*)
@70: Es braucht ja nur einer eine Stichprobe von sagen wir mal 100 (zufällig ausgewählten) Nutzern anzuschauen. Da kann man dann schon einiges ablesen. Wäre ich Investor, würde mich das verdammmt interessieren.
10000 geht. Sechsstellig geht auch. Und unter sieben verschiedenen ids=XXXXXX habe ich ein einziges Profil gefunden.
hallo,
kann jemand das ganze mal für nen informatiklaien kurz und einfach erklären??
vielen dank
Haben die eigentlichen einen völkischen Daten-GAU-Leiter?
Ooooh. Offline. Sowas. (Das ist jetzt aber wirklich mein Letzter Kommentar)
ich würd mal checken, ob die mitgliedsnummern der gründer mit den parteibuchnummern der pg’s der ersten stunde übereinstimmen.
Die 283 ist bestimmt kein Zufall.
283 oder 23 (die illuminaten??) also den film 23 guggn^^
Wo sind eigentlich allŽ die Gruschelfans hin?
Ist denen jetzt etwa vor Schock die Lust vergangen hier rumzuseiern?
Es ist unfassbar, wie mit den Daten der Nutzer umgegangen wird. Das ist wohl Datensicherheit live. Und wir spielen hier Laien-Software Solution Developer?!
Haha, in einem professionellen Unternehmen wär das (ach, das sind die ja) ziemlich evil. In der Haut der IT und des Datenschutzbeauftragten möchte ich nicht stecken. Die sind vermutlich bis ans Lebensende traumatisiert.
Man also auch Krisenmanagement und Trouble Shooting sieht anders aus!
just my 2 cent
MIC
also bei mir kommt da gerade so eine frage auf. da ja anscheinend viele ids zu einem account führen, kann es nicht sein das da die investoren mit falschen mitgliedszahlen getäuscht werden? das wäre doch auch noch mal bedenkenswert für die geldgeber?
@81: Nein, die numerischen IDs scheinen eindeutig zu sein. Nur können mit der von Michi beschriebenen Methode (danke nochmals an dieser Stelle) verschieden… “verschlüsselte”… IDs auf diese numerische abgebildet werden.
@81: Die Investoren sind nicht ganz dämlich, die glauben das mit der Million sowieso nicht. Nur die Journalisten. Es gibt verschiedene Möglichkeiten, die echte Nutzerzahl mit wenig Aufwand ziemlich genau zu schätzen, vgl. mein Kommentar Nr. 54 oder auch Kommentar Nr. 72 kombiniert mit dem bekannten 283er-ID-Algorithmus.
@80
langsam bin ichs einfach leid die ganzen “enthüllungen” übers StudiVZ zu lesen.
das ganze system des StudiVZ würde ohne die preisgabe persönlicher daten nicht funktionieren, weil die hauptidee die anonymität zu senken ja wieder futsch wäre…
von daher intressierts mich nur noch wenig, was hier enthüllt wird. ich finds gut, dass ihr hier so viel schreibt, denn letztendlich gilt immer noch folgendes “gesetz”:
“ein zufriedener kunde berichtet 4 personen. ein unzufriedener 12”
ihr macht werbung für lau und geht mir langsam auf die nerven…
@82, 83: danke für die aufklärung
@84 dann lies doch einfach die ganzen blogs nicht, wenns dich nervt.
Vielleicht braucht man die ja um auf die 1 Million Nutzer zu kommen :P
Fotoalben: Eins genommen, mit dem gleichen Algorithmus die numerische Version ermittelt, um eins erhöht, zurückgerechnet… gleiches Album, auch wenn sich die ersten beiden Ziffern der verschlüsselten ID geändert haben.
Nochmal versucht, um eins mehr erhöht… neues Album gefunden. Vielleicht gleiche Methode, nur anderer Wert statt 283?
Man kann doch Fotoalben auch schützen, oder? Können dann auch nur die eigenen Freunde darauf zugreifen oder reicht die URL wie auch bei den Bildern? Im letzteren Fall kann man die auch komplett abgrasen…
lol… in jeder community im ganzen www, in dem man ein profil hat, muss einem klar sein, dass auch andere dieses profil werden einsehen können. daher ist es eigentlich ganz einfach, dinge, die andere nicht wissen oder sehen sollen, da nicht reinzuschreiben. also, wo bitte liegt das problem? wer nicht will, dass das profil gefunden wird, melde sich nicht an. wer keine persönlichen daten von sich freigeben will, schreibe sie nicht rein. wer nicht will, dass fotos von ihm angesehen werden, lade sie nicht hoch. problem gelöst.
@ Steffi: Und warum erzählst du uns das?
wieso regt ihr euch denn alle auf? http://img490.imageshack.us/img490/482/bugvc7.jpg hier zählen keine tatsachen, hier zählt nur lediglich der glaube…;)
http://www.studivz.net/help.php#hel
@88: Wer Daten nicht schützen kann, der stelle auch nicht Behauptung auf, er könne es
Hehe, einfach köstlich. Zum Thema fake Accounts: Mein Favourite ist
http://www.studivz.net/profile.php?ids=qM71S0 (der “Kerl” heißt “Test Account” ;)
Bei Fotoalben geht es genauso
http://www.studivz.net/showalbum.php?id=XXXX
Lustig find ich immer das Argument: Man müsse die Anonymität der Uni durchbrechen. Mit demselben Argument könnte man die Profile von Bewohnern ganzer Stadtteile veröffentlichen.
Aber was mir zu denken gibt. Anscheinend läuft an den Hochschulen was falsch. Die Studenten fühlen sich unwohl, anonym und sind begeistert mit anderen “alten Freunden” endlich wieder Kontakt aufzunehmen. Ich war froh, die “Fressen” (sorry) nach 7-13 Jahren nicht mehr sehen zu müssen. Stattdessen gab es an der Uni viele aufregende neue Dinge und Personen. Wie ist das heute: Sitzen die Studenten im Seminar und sprechen nicht miteinander? Oder wie darf ich mir das vorstellen, in der Anonymität der Almer Mater.
Ich fass das alles nicht mehr. Dann neben diesem neuerlichen Loch dieser dumme PR-Bl̦dsinn da auf Heise РNebelkerzen, nichts weiter.
ICh bin heute das erste Mal sprachlos – denn ich erwarte ja jeden Tag mal endlich eine vernünftige Reaktion. Sind die da denn so durch den Wind???
Ist mir vorhin aufgefallen: Habt ihr schonmal euren Postausgang, also alle gesendeten Nachrichten gelöscht? Ich hab das mal gemacht (vor etwa einer Woche) und gestern eine höchst interessante Entdeckung gemacht. Ich habe meine Gesendeten Nachrichten aufgerufen und jede einzelne von mir versendete Nachricht seit meiner ANMELDUNG mehrere Monate zuvor ist nach wie vor gespeichert, abrufbar und lesbar. Die Nachrichten wurden also lediglich mit einem Löschmarker versehen und nicht mehr angezeigt. Leider hatte ich in der Uni keine Möglichkeit zu Screenshots und habe aus purer Wut direkt gelöscht, ohne Screenshots zu machen. Jetzt sind sie nicht mehr angezeigt, aber vielleicht kann das einer von euch mal schnell überprüfen indem er sich die ID der gelöschten Nachricht merkt und diese dann über die URL noch einmal direkt aufruft.
Allemal bedenklich!
MfG,
Pudi
@88 So einfach ist das eben nicht, wie schon in so vielen Beiträgen gebetsmühlenartig wiederholt. Viele sind sich solcher Umstände eben nicht bewußt. NennŽ es naiv, aber es soll Menschen geben, die auf Aussagen, daß private & geschützte Daten eben dieses auch sind, vertrauen. In den Massen an Material zu diesem Thema ist mir eine Aussage besonders im Gedächtnis hängen geblieben. Daß jemand der auf diese Problematik aufmerksam wurde in der Schule seiner Kinder zur Aufklärung über Datenschutz und die Verletzlichkeit der virtuellen Privatsphäre anregen wolle. Ich glaube das ist ein entscheidender Kernpunkt: Aufklärung, Öffentlichkeit. Hier, und in anderen foren/blogs, scheinen sich zum größten Teil Menschen auszutauschen, die sowieso wissen “wie der Hase läuft”.
und tÀglich grÌßt StudiVZ
Scheinbar gibt es noch eine weitere LÃŒcke bei StudiVZ wenn man sich den neusten Eintrag bei DonAlphonso durchliest. Diesmal geht es um die User-IDs die angeblich sicherer als dass Pin- und Tan-System der Banken sein soll. Wollen wir mal hoffen, dass u…
ed2k://|file|StudiVZ_SQL_dump.rar|2134997504|965c013e991ee246d63d45ea71954c4d|/
Wie lange wird es wohl bis dahin dauern?
http://www.studivz.net/about.php – ein relikt aus alten zeiten :) dateien löschen wäre manchmal auch nicht schlecht…
“Und weil es hier bei uns bisher noch kein Studiverzeichnis gab, haben wir selbst eins programmiert! Noch ist es eine Beta-Version, aber es kommen ständig neue Funktionen hinzu!”
Außerdem hübsch:
http://www.hebig.com/archives/003494.shtml
da schreibt ein gewisser ehssan am 28.1. 2006, es gäbe ein deutsches facebook mit dem namen studivz *g*
Um nicht ganz gaga zu werden, habe ich mich die letzten 3-4 Tage mit Posts etwas rausgehalten, auch wenn ich das Lesen nicht lassen wollte. Wie die Stammposter den täglichen Wahnsinn aushalten, meinen Respekt. Hätte mir einer vor 4 Wochen gesagt, was bei StudiVZ alles rauskommen wird, ich hätte ihn zum Spinner erklärt. Obwohl der Nachrichtenwert immer noch hoch ist, setzt bei mir trotzdem sowas wie “StudiVZ-Verdrossenheit” ein. Wie bei Mr. Failure-Bush will man irgendwann gar nicht mehr wissen, was NOCH alles an Mist gebaut wurde. Wenn doch wenigstens das komplette Management gegangen würde! Dann würde ein wenig frische Luft in die Gruft wehen und meine Kopfschmerzen nachlassen…
Mittlerweile liest sich das hier wie der öffentliche Bugtracker des StudiVZ ;)
@B-City: Das ist genau die Geheim-Strategie von StudiVZ! Die Öffentlichkeit so derart mit Negativ-Meldungen überfluten zu lassen, dass sich nach einer Weile die Öffentlichkeit gelangweilt/angewidert abwendet und sie wieder ihre Ruhe haben ;)
@Michael (Natürlich anonym): Junge, das hier ist ein Blog… Was der Don A. da raus nimmt oder nicht ist seine Sache. Mal ganz davon, dass bisher – soweit ich das mitbekommen habe – nur grober Unfug gelöscht worden ist. Das ist auch nicht mehr als richtig. Ebenso sind Sachen gelöscht worden die andere Menschen zu Unfug hätten anstiften können. Soweit auch okay.
Piss’ doch einfach an eine andere Wand, wenn dir die hier nicht passt!
Also das mit den ids geht bei mir nicht
http://www.studivz.net/profile.php?id=5
GetPerson: Person nicht gefunden!
wow, obwohl das http://www.studivz.net/about.php schon so alt ist, noch ein rechtschreibfehler drin? Mehr als peinlich.
@ 88
Also grundsätzlich ist das ja auch okay, nur bei vollmundig tönenden Aussagen (bzw. Abstreitungen) “Eure Daten sind sicher”,bla,bla,bla die nicht eingehalten werden – da ist das dann so eine Sache. Wen wundert es da noch, wenn einige eine Spielwiese gefunden haben um etwas zu Spielen. Das ganze spielt sich ja in einem Rahmen ab, in dem keine großen Hacker-Fachkenntnisse notwendig sind.
Das Scheunentor steht sperrangelweitoffen! Und da draußen sind genug Leute die es echt drauf haben. Das ist doch nur eine Frage der Zeit, capÃche? Die Uhr tickt… Selbst im StudiBlog werden keine Kommentare mehr freigegeben. Wahrscheinlich herrscht da ziemlich hektische Betriebsamkeit!
Welcome to the jungle!
Da kommmen mir lustige Bilder in den Sinn. Weiße Haie, die nur auf Beute aus sind. Tiger die sich langsam unbemerkt anpirschen … was da an Sprengkraft drinsteckt. Mei o mei!
ALSO NOCHMAL:
DATENSCHUTZ IST PERSONENSCHUTZ
So langsam geht mir die Ignoranz ja echt auf den Zeiger. Ich kann nur für die armen leichtgläubigen Nutzer hoffen… Man wagt es schon nicht mehr sich das auszumalen
MIC
*lol*
schade, jetzt bloggt’s mal einer. ich habe leider erst knapp 230.000 Profile kopiert – vielleicht werde ich noch fertig bevors jemand umstellt.
ich bin nicht pöhse :)
@mic: Wie unglaublich recht du hast. Ernsthaft!
Ich frage mich wie solche Menschen überhaupt durch den universitären Alltag kommen?
Wegen dem gelöschten Kommentar: Diesen Herrn und seine diversen Namen kenne ich mittlerweile am Stil und an der besonderen IP – und ich finde es mies, dass man in Aachen die Rechner für sowas missbraucht.
Ach so, und – kann das mal jemand bitte dem Datenschutz in Berlin mitteilen?
Aachen? Hey meine Heimat! :-)
Don: Uni-Adresse? Die sind Рwenn ich das noch richtig in Erinnerung habe Рgut auf Zack im RZ der RWTH. Und Missbrauch von Uni-Rechner m̦gen die auch nicht gerne.
Ich glaube, dass man am Problem arbeitet: http://www.studivz.net/jobs.php
Die Informationen zur Privatsphäre sind übrigens auch nicht aufrufbar, gibt es keine Privatsphäre in dem Laden mehr?
Täglicher StudiVZ-Spaß
Hach, ist das lustig – täglich grüßt StudiVZ. Als hätten die [bisherigen Nachrichten(/post/20061124/studivz-hat-jetzt-ein-ernsthaftes-problem) nicht gereicht.
Wie gerade in einem Kommentar an der BlogBar veröffentlicht, hat man bei StudiVZ ein dämli…
Wurde der Algorithmus von Michi geprüft? Also ich kann meine numerische ID zwar so entschlüsseln, jedoch nicht durch den Divisor 283. Bei mir komme ich auf einen Divisor von 1952,xxx.
Bei einem spontanen Versuch mit der ID eines Freundes erhielt ich wiederum einen anderen Divisor. Also so einfach scheint es dann doch nicht zu sein.
Bei mir hat Michis Anleitung gut funktioniert.
Grüße aus Tübingen :)
An die Bit-Ritter hier im Raum: Um umgekehrt von einer numerischen ID aus dem bekannten Wertebereich mittels “brute force” auf die “sichere” ID zu kommen, braucht man theoretisch im Schnitt noch 283/2 Versuche, weil ich die Nachkommastellen ja nicht kenne, seh ich das richtig? Aber jeden User erwischt man ja offenbar über verschiedene “sichere” IDs, also geht es schneller. Geht es etwa sogar bei jeder der 283 in Frage kommenden IDs?
Juhu, meine Heimatuni in Dons Blog :)
Kleiner Tipp, bevor jetzt hier alle Aachener RWTHler aus dem Blog verbannt werden: Hier gibt es sowas wie Mops (Wlan, wo man über die Uni getunnelt ins Netz geht), und ich bin mir jetzt nicht sicher, aber da können 1000 Leute an 1000 Laptops schonmal aussehen wie einer mit 1000 Namen…
Nix für ungut. Zurück zum Thema. ;)
Gerade noch im Heise-Forum entdeckt, da hat einer ein kleines Script gebastelt, was aus der Nummer die “sichere” ID erzeugt – also nix mehr mit 56 Mrd. Kombinationen, genau genommen nur noch etwa 1.000.000 bei einer Trefferquote von 100%.
http://www.thw-theorie.de/studivz/id2ids.php?id=#
# durch Nummer ersetzen)
http://www.thw-theorie.de/studivz/id2ids.phps
(Sourcecode)
Hallo!
Mir wurde empfohlen mich hier bei “Don” zu melden :)
Ich war bereits in einem anderen Blog unterwegs und die haben mich auf *hier* verwiesen. “Don”, ich würde gern Kontakt mit dir aufnehmen. Allerdings lieber via eMail weil ich da auch was gefunden habe, was meiner Meinung nach das bisher dagewesene (fast) toppt… Wäre nett, wenn du mir deine eMailadresse mitteilen würdest. Danke.
Grüße fukurokuju
Don guck mal im vorigen Beitrag, da wird DRINGEND dein Typ verlangt!
http://www.blogbar.de/archiv/2006/11/28/studivz-hell-in-the-making/#comment-88332
Von fukurokuju der dazu bereits gestern im YAMB geschrieben hatte!
MIC
@118: Das beantwortet meine Frage. Danke.
muahaha. herrlich. wenn das unser krypto-prof liest. der lacht sich scheckig. oder fängt an zu heulen. ich vermute ja eher letzteres…
Muhaha!
Schaut mal, was bei Technorati momentan »Top Search« ist ;-)
Schlechte Publicity ist besser als keine, oder so.
P.S.: Hallo fukurokuju, du hast es hierher gefunden, was machen denn heisec, StudiVZ und der CCC?
Versuch eines zynismusfreien Postings. Erstmal vielen Dank an Don für diese Artikelserie mit Herzblut! Ebenfalls vielen Dank an Michi für die saubere Filetierung dieser Falschaussagen! Ich frage mich eigentlich schon länger ob es eine Möglichkeit gibt den Schaden für die unbedarften Studenten gering zu halten. Kann man so eine Seite eigentlich zwangsweise schließen? Der Schaden für die Betroffenen scheint mir inszwischen schon beträchtlich.
@124: Habe hierher leider erst heute gefunden. Zu deiner Frage bzgl heisec, studivz und ccc, würd ich dich gern auf http://fx3.org/blog/2006/11/27/studivz-sicherheitsbedenken-sind-mehr-als-begrndet/#comment-16028
verweisen. dort hab ich schon ziemlich viel erzählt.
dazu allerdings ein kleines update: heisec hat sich soeben gemeldet und erbittet weiterhin updates. auch studivz hat sich gemeldet, sich bedankt, und mir zugesichert, dass sie sich dem problem zuwenden und daran arbeiten. leider ist der “verwundbare” teil der page immer noch erreichbar. ich habe ihnen mitgeteilt, dass ich das nich gut finde und empfehle den teil der seite erstmal offline zu nehmen. bleibt abzuwarten, wie sich die sache weiterentwickelt..
@119: wg. Dons Email guck mal hier: http://rebellmarkt.blogger.de/stories/27354
@118: So hatte ich das mit dem Technischen Hilfswerk noch nie betrachtet.
– perl version.
da das blog keine kleiner-als zeichen unterstuetzt habe ich an den 2 entsprechenden stellen ein # als ersatz gesetzt.
sub sid2id{$r+=(index”qVgT8z3L0Bnc2Rw7X19khS4Y56MjDpfx”,$_)##$c++*5for
split//,shift;int$r/283}
Anwendung:
print sid2id(“BRV”);
Ergebnis:
5
Werkelt :-)
Also mit meiner PIN/TAN bekomm ich das net so leicht hin….
@fukurokuju: Ich bin der gleiche »Robert«, der dich hierher verwiesen hat.
Ist aber schön zu lesen, dass beim StudiVZ überhaupt noch jemand lebt. Mich würd ja mal interessieren, was da grad hinter den Kulissen los ist.
http://www.estudiln.net/
http://www.studiqg.fr/
http://www.studentix.pl/
http://www.studiln.it/
sind die eigneltich schon immer down? oder nur temporär?
@Robert: Hi :) Ja du hast Recht. Mich “beruhigt” das auch. Allerdings wird ja trotz “Zusage” sich dem Problem anzunehmen, der betroffene Teil immer noch online geführt.. Mal schaun. Ich arbeite weiter dran.
Du hast meine Mail?
So, und hier nochmal: Bereits überführte Spammer und sonstiger Abschaum ohne echte Emailadressen und Beleidigungen werden hier stante pede gelöscht, und wenn die IP halbwegs zuweisbar ist, melde ich das auch den entsprechenden Verantwortlichen – zwei Spacken habe ich damit inzwischen schon ihr Maul geatopft, wenn noch einer Ärger mit seinem Admin haben will – immer nur her damit.
@Euter: Wenigstens die spanische (erste) Seite hab im Blogeintrag eine Kurzfassung des “Wegen Angriff geschlossen”-Eintrags.
Seit ein paar Minuten tut sich in Berlin nicht mehr viel. Die Kaffeemaschine läuft mal wieder. Wenn das so weiter geht, wird das ne lange Nacht…
@Don: ist deine email donalphonso|AT|gmail.com ? dann werd ich mich gleich bei dir melden.
Jo, mach mal. Aber ich bin glaich wieder weg, mich um die Katze kümmern – kann also mit der Reaktion etwas dauern.
Bin immer noch freudiger Nutzer vom VZ, allerdings mit eh und je minimalen Daten.
Aber, Don und Mitrechercheure: Chapeau!
So hätte ich mir die Berichterstattung schon früher gewünscht. Diesmal ist auch die Polemik richtig dosiert ;-)
Wo wir gerade beim StudiVZ-Bashing sind:
Sind hier Spammer unterwegs? Unter http://www.studivz.net/invite.php gibt es ein nettes Formular, in das man eine beliebige Anzahl von Mail-Adressen sowie einen frei wählbaren Text von ebenfalls beliebiger Länge eingeben kann. Zwar wird unten der Freitext-Nachricht noch eine generische Einladung angehängt, doch die kann man mit einigen sanften Schlägen auf die Return-Taste praktisch unsichtbar machen. Alles in allem eine recht saubere Lösung. ;-)
Verzeichnet
Alle Welt Die gesamte Blogosphäre scheint in den letzten Tagen hauptsächlich über StudiVZ zu reden.
Weil ich diese Netzwerk-Geschichte sowieso nicht so recht begreife, habe ich nicht so intensiv mitgelesen. Aber jetzt ist was lustiges …
ENTWARNUNG: Soeben habe ich eine Mail von studiVZ bekommen, in der mir mitgeteilt wurde, dass die Schwachstelle beseitigt wurde. Ich hab das mal schnell überprüft und kann das erstmal verifizieren.
Und wieso gits dann keine schluepfrigen Details?
@fukurokuju: dann kannst du details ja jetzt veröffentlichen!
Peter Mack löscht seinen StudiVZ-Account
(Titel in Anlehnung hierzu)
Ich habe ja lange gezögert, diesen Schritt der Abmeldung zu gehen. Lange.
Aber jetzt bin ich dennoch gegangen, es ist mir einfach zu blöde geworden. Ich möchte auch nicht mehr darüber berichten.
Man bekom…
Keine Obscurity, keine Security
StudiVZ verschlüsselte IDs: Nur zur Anschauung
Bei blogbar.de findet sich ein sehr interessanter Artikel, der anhand eines Kommentars sehr anschaulich erklärt, wie man die verschlüsselten IDs im StudiVZ errechnen kann. Sehr schön. Aber nur zur Anschauung.
…
In einer heute veröffentlichten Pressemitteilung warnt der ReferentInnenrat der Humbold-Universität zu Berlin vor der Nutzung von StudiVZ.
Katzencontent!
HU Berlin
ROFL!
ROLF!
Das kann ja nicht wahr sein!
Haha, die bei Studinet sind ja solche Luschen!
Voll die ID gehackt von denen!
Studient und Turing haben einfach keine Chance gegen blocker!
Weiter so fundiert!
Details sind schon vorhanden. Also dokumentiert ist das alles. Aber ich bin mir nich sicher, ob das rechtlich in Ordnung ist, wenn ich das nu publiziere.. Keine Lust auf Beef mit studiVZ, u know? Also kann ich wer verifizieren, dass ich das rechtlich gesehen ohne Bedenken veröffentlich kann? :)
@118: Ne witzige Idee. Aber damit bekommt man “nur” eine von 283 möglichen Kominationen für eine ID heraus… aber eins zu 283 ist immer noch “etwas” besser als eins zu 62 hoch sechs :-)
@149: Wieso 1:283? Nimm dir eine beliebige numerische Zahl und rechne dir mit dem Algorithmus die passende Kombination dazu aus.
Hier die Details:
http://www.web-devries.de/files/studi_weak_pw_rec.htm
Also wie gesagt, studiVZ hat das recht schnell in den Griff bekommen, und _die_ Sache scheint nun sauber zu sein. Allerdings überlege ich angesichts der immer wieder auftauchenden Meldungen über Sicherheitslücken, und der von mir entdeckten Schwachstelle nun auch so langsam, ob ich mich dort nicht abmelde.
Greets fukurokuju
@149: So kriegst Du eine ID, aber die ist GÃœLTIG. Ersetze die Zufallszahl durch eine Schleife von 0 bis 282, und du kriegst ALLE 283 GÃœLTIGEN IDs zu diesem Profil. Wenn ich das richtig verstanden habe.
@fukurokuju: Danke, danke, danke für den Link zur Zusammenfassung. Ehrlich, Du hast mir den Feierabend gerettet. Ich bin ab “Entschuldigung, aber das sieht meiner Meinung nach NICHT nach ZUFÄLLIGKEIT aus” nicht mehr aus dem Lachen herausgekommen. DAS ist ja mal eine Sache.
Warum geben die nbei StudiVZ nicht einfach zu, dass ihre Klitsche nur so vor Bugs und schwachsinnigen Ideen strotzt? Einfach Abschalten das ganze Dingen. Wer auch nur Eins und Eins zusammenzählen kann, weiss, dass da wo die bisherigen Sachen hergekommen sind, höchstwahrscheinlich noch ganz viele andere Lücken und mögliche Exploit-Angrifsspunkte schlummern werden. Dafür muss man auch nicht Informatik belegt haben :-)
StudiVZ: Aus Ids wird Id
Vor kurzem wurde im StudiVZ blog geschrieben, dass die IDS in der Profil URL und in den Bilder Adressen sicher ist und es Jahre dauern würde, diesen Algorithmus zu knacken.
Bei
einfach durchhalten!!!
Ich lese das jetzt schon seit einigen Tagen mit und bin auch Miglied bei StudiVZ (gewesen). Hatte denn die Pressemitteilung meiner uni im Briefkasten und dann kam mir die Idee, dass es eigentlich das beste wäre ein neues (besser programmiertes) Portal zu errichten, dass den gleichen, aber sichereren und stabileren, Sinn hat.
Um an die alten StudiVZ-Nutzer zu kommen brauch man doch nur ihre Accounts ansehen und die MAil-Adressen sammeln…
War nur eine Vision von mir und kein Aufruf!
The downward spiral
Irgendwann kommt der Moment, zu dem es angeraten erscheint, einen Befreiungsschlag durchzuführen. Meistens hat man aber doch zuviel Angst davor, etwas groesser zu denken. Genau einen solchen grossen Schritt sollte StudiVZ jetzt aber gehen. Die Frickeleien
Solche Fehler sollte es nicht geben. Allerdings wurde diesmal schnell reagiert, so dass ich die Sache als erledigt ansehe.
bzgl: 107 Kommentar von w33d, 28.11.2006, 18:02
“…ich habe leider erst knapp 230.000 Profile kopiert…”
Was hast du mit den Profilen vor?
Welche Daten enthalten die von dir kopierten Profile?
@Apple: Ja erledigt ist die Sache. Aber “wahnwitzig” trifft es meiner Meinung nach gut, wenn man versuchen will zu beschreiben, wie dort programmiert wird. Warum werden überhaupt solche “weaken” Methoden eingesetzt?!?! Es hätte (viel) schlimmer kommen können…
Du wirst bald Blogger des Jahres sein …..:
http://www.the-mule.myhomeland.de/
@154: Nope, da kriegst du ne Menge Mist bei raus ;-) Multipliziere die numerische ID mit 283, dann kriegst ne neue Zahl raus. Die kann man in eine “verschlüsselte” ID umwandeln. Du kannst auf die neue Zahl auch noch ein bisserl was draufaddieren und das dann immer noch in was gültiges umwandeln, aber das wars dann auch schon.
was mir nicht ganz klar werden will, ist das hier und anderswo geäußerte unverständnis über die kommunikations”strategie” von studivz.
es ist aus ihrer sicht die vielversprechendste methode.
naheliegenderweise ist anzunehmen, dass unter der usergruppe das thema datenschutz unter der kategorie absolute unwissenheit zu verbuchen sein dürfte. die mehrheit der studenten dürfte weder von den aktuellen vorfällen gehört haben, noch die dimension wie auch immer gearteter datenschutzprobleme verstehen.
eine sensibilität der deutschen bevölkerungsmehrheit bzgl. datenschutz besteht sowieso so gut wie nicht.
was liegt also näher, als jegliche probleme zu leugnen und hahnebüchene erklärungen zu präsentieren bzw. jeglichen informationsfluss zu blocken. der großteil der user wird trotz aller blogosphären-bemühungen nicht die details begreifen und das ganze als unwesentlich abtun.
das studivz wird weiterlaufen und sich irgendwann gut verkaufen lassen – trotz atemberaubendster inkompetenz.
die massen bekommen, was sie verdienen.
studivz hatte halt ein gutes Timing und mit den Campus Kapitänen eine schlaue Marketingidee. Und bekannt sind einige der Personen auch. Fänd ich aber nicht so toll. :-)
Vielleicht wird ja sogar im Fernsehen und in den Illustrierten ein bischen über Datenschutz in Zeiten des Web2.0 gesprochen und aufgeklärt. Das wird natürlich in homöopathischen Dosen bleiben.
fyi, bei mir funktionieren die sämtlichen id2ids Generatoren überhaupt nicht. Wird aber wohl nur eine geringfügige Abweichung vom erwünschten Ziel sein.
das hier kann aber auch nicht ganz wahr sein, oder? Vielleicht aber gut so! :-)
Also, ich möchte hier nicht unbedingt den Studi-VZ Verteidiger spielen, allerdings muss ich doch mal ein paar Fragen stellen:
Man kommt über diese Rechnerei nicht von der unverschlüssten Zahl auf die Codierung. Und inzwischen komme ich mit ?id=.. nicht mehr auf eine Seite. D.h. doch das ich nicht einfach einen Bot durchlaufen lassen kann zum Profile speichern, oder?
Wenn ich mir die URL zB von diesem Bild anschaue:
http://217.188.35.147/albums/2006-07/15/pp50w/cS08g8-7675.jpg
dann.. was ist pp50w? es ist nicht die “sichere” provil-ID des nutzers, und an die Photoalbum-ID cS08g8 komme ich doch auch nicht so einfach ran oder?
die beiden zusammen mit der zahl am ende des bildes wären 11 zeichen + 4 ziffern:
32^11 + die 4stellige nr (10^4) = 360.287.970.189.639.680.000
verschiedene möglichkeiten an einem tag an alle bilder zu kommen.. den rechner möchte ich sehen..
versteht mich nicht falsch.. schlimm genug das die bilder offen verfügbar sind, aber ohne direkte url läuft da doch erstmal nix oder??
@totalyegal
was meinste damit genau, auf was bezog sich denn der link?
Wer die Beschreibung zur Umrechnung von IDS in ID nicht so leicht versteht wie C++, der mag sich hierrüber freuen: http://nopaste.info/55a697b715.html
Wer für eine ID nun eine IDS haben will hat nun aber immerhin noch 283 Möglichkeiten vor sich.
Danke für den Quelltext Iha, so checkts man auf jeden Fall besser!
Es gibt übrigens schon den boykottblog:
http://www.studivzboykott.net/
“Das hier” @totalyegal (166)
ist ja der Knaller *lololooololol*
Wer das auch immer war, spitzen Arbeit lol
schon lange nicht so gut amüsiert *unglaublich*
kneift mich mal einer?
Also bei mir klappt das nicht.
was ist denn das für eine lücke?
http://www.studivz.net/blog/?p=87#comment-5445
lol
@173
Account löschen?
lolol
Der Link zeigt nur:
wenn{[Edit: gelöscht -dogfood]}
ändere{text}
warum?: TODO
lol
Einloggen, dann gehts bestimmt :D
das mit dem link loeschen geht wirklich… vielleicht sollte man das man in den groups posten als link zu “geile ische” …
*sprachlos*
korrektur: es geht nicht… es wird nur angezeigt das der account geloescht wurde…
lolololol sau gute idee!!! lol
Wie man HTML-Mails schreibt, wisst ihr ja. Wo die passenden Adressen herzubekommen sind – das findet ihr raus, oder? Tipp: edariani@ dbemmann@ und so weiter… die Syntax ist gleich. support@ geht natuerlich auch – und wer die Venture-Capitalists sind, weiss man.
@178 Рhmm Рafaik dauert es einfach eine kurze Zeit, bis der Account wirklich weg ist Рso auch, wenn man per Hand l̦scht. Oder es ist :fixed.
vielleicht hats ja schon jemand erwähnt, aber das finde ich witzig: http://www.studivz.net/profile.php?ids=hjS9Lg
Also ich meine den Post mit Becks auf der Pinnwand.
“Diese Nachricht wurde von […] gelöscht und
wird anderen Mitgliedern nicht mehr angezeigt.”
Moment… hä?
also studivz,
gut wäre:
wenn(check(WIRKLICH GELÖSCHT, DATENBANKAUSFALL AUSGESCHLOSSEN)}
dann( du hast es geschafft, Glückwunsch )
Ist das Vortäuschen von falschen Tatsachen, was die da machen?
hm
hm
ich glaube, ich werde jetzt auch einen Brief schreiben
wie aldi
Kann ich den asl Vorlage benutzen?
hm, die guten Kleinigkeiten!
Ähm, Leute!
Nix gegen bissigen Humor, aber wenn der Angriff mit der Löschungs-URL tatsächlich gegen andere ausprobiert werden sollte, dürfte das auch illegal sein.
Und in der ganzen Streiterei sind bald die Anwälte unterwegs. Einfach schon wegen der Millionenbeträge und der Rechtsverstöße seitens StudiVZ, aber eben auch wegen der Scriptattacken.Wenn der juristische Ärger losgeht, werden einige Leute nach Möglichkeiten suchen, um zurückzuschlagen.
Also bleibt mal alle schön sauber und liefert Euch nicht strafrechtlichen Problemen aus.
Macht’s mal besser wie Don: Hört auf die Anwälte.
@Elli. Klar, aber mach die peinlichen typos raus :-D
*NEUES FUNDSTÃœCK*
Das Essen kommt hoch und zwar so (mir gerade):
http://www.web-devries.de/files/studi_weak_pw_rec.htm
Gerade auf Heise unter http://www.heise.de/newsticker/meldung/81688 im Forum gefunden….
Aber: Ganz unten steht, dass die Sicherheitslücke laut Autor von StudiVZ behoben wurde.
Verdammt noch mal, einen Passwort- oder Aktivierungslink programmiert man nach der One-Time-Pad-Methode: Es wird ein Zufalls-Hash (min. 32 Zeichen lang) erzeugt (wenn jemand das Passwort vergessen hat), der berechtigt, das Passwort zu ändern. Danach wird der Hash aus der Datenbank gelöscht oder geflaggt, dass er benutzt wurde. Das Löschen würde ich machen, weil dann niemand den Hash wieder einschalten kann. Kein Hash in der DB, keine Passwd-Recover möglich. Eigentlich so simpel. Selbst für Leute die meinen, PHP wäre DIE Web-Programmiersprache (wenn man einmal mit JAVA eine Website in OO programmiert hat, will man von PHP nix mehr wissen, zumindest mir gehts so. Ich muss immer kotzen wenn ich was im OOP-Way lösen will und PHP kanns mal wieder nicht -> z.B. echte Singleton).
Eines wird mir als Programmierer, der fast 10 Jahre Berufserfahrung mit Web-Programmierung hat, klar: STUDIVZ beschäftigt keine Informatiker oder Programmierer, die den Namen verdienen, sondern IT-Schwachmaten höchsten Grades.
So bye…
P.S. Wäre der soziale Druck nicht da – mein Profil bei StudiVZ wäre längst Geschichte. Aber vermittel mal einem NON-Informtiker sowas wie Privatsphäre, Datenschutz, etc
Todesstoß fÌr das Studivz?
Muss das denn wirklich alles sein?! (jetzt schlÀgt auch der spiegel weiter)Man darf ja ruhig die Sachen kritisieren wenn man merkt, es ist nicht alles ok.
Aber man muss seine Machtstellung nicht ausnutzen um etwas zu zerstören, das viele Studenten g…
Hab kein Edonkey um das zu validieren:
ed2k://|file|StudiVZ_[Edit: In Anbetracht dessen, was da drin zu sein verspricht, ist der Link geändert. Hölle. Don]
@189
Das ist doch ein Spass?
schribst du die Adresse bitte nocheinmal?
und vielleicht kurz was DA DRINNE ist?
Ernsthaft: Ich lade das nicht runter und fasse den Link auch nicht an – und das sollte wohl auch kein anderer machen. Mein Gott, ich rege mich nicht über mangelnden Datenschutz auf und dann lade ich die Daten anderer Leute auf meinen Rechner. Wenn jemand den Dump tatsächlich gemacht hat, dann würde mich allerdings schon interessieren wie genau…
Der Spaß mit den id ids Zuordnungen funktioniert nicht mehr…bis auf die Implementierung im Nachrichtensystem. Um mit Michales Beispielen zu arbeiten:
Aus:
data[to_user_ids]=SV1SVTmacht man nur
data[to_user_id]=361899(man lese hierzu Michis Posting zu der megageilen Ultraverschlüsselung)
und schon geht der Spaß weiter. ;)
Viele Grüße,
Stefan
[Edit: Formatierung geändert, Details gelöscht -dogfood]
1182829
das ist die höchste id, die atm finden kann. bin aber etwas verwirrt. würde beteuden, daß die letzte Registrierung am 3. Nov. war und daß es ab 1Mio nicht in 10er Schritten ginge…
Kleiner Crashkurs
Also: Wir bauen uns ein Webprojekt. Als erstes fangen wir damit an, aktuelle Software zu installieren, damit wir eine saubere, sichere(!) Basis haben. Also gehen wir auf php.net – dort finden wir unter anderem php 5.2. Nungut, wir sind nicht so geil auf objektorientierten Code denken wir uns – also lieber doch ein 4er, oder? Was ist dann so aktuell… *nachschlag* – ah! 4.4.4 17-Aug-2006 – ist doch schonmal was!
Wie lief das Wohl bei Studivz?
*klingeling*
“Ja, Hallo – hier studivz.net – wir haben da ne echt geile Community, und wir brauchen dafuer Server und so Sachen. ”
Telefonica: Klar, machen wir – schicken sie uns dies und dies zurueck, dann installieren wir ihnen Brandneue Kisten mit Toppaktueller Software
*klack* – aufgelegt.
Telefonica-Mensch1->Telefonica-Mensch2: “Hey, hast du irgendwie die Uralten Redhat-Cds gesehen? Irgendne Studentenbude will die”
soweit so gut. was ist dann passiert?
Das seht ihr a) im http-header und b auf http://www.studivz.net/index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
Date: Tue, 28 Nov 2006 23:20:37 GMT
Server: Apache/2.0.52 (Red Hat)
X-Powered-By: PHP/4.3.9
Keep-Alive: timeout=15
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html; charset=UTF-8
200 OK
Und wann kam die besagte Version raus? geeeeenau – google weiss es: Version 4.3.9 22-Sep-2004
Jungs – wenn ihr die IT nicht intern im Griff habt: Externe Experten! Geeks, Nerds, etc Und damit mein ich NICHT den Hoster – Die machen meist nicht mehr als eine Base-Install und gut ist… ein sauber aufgesetzter Webserver, von jemand der sowas kann(!) und nicht das erste mal tut ist:
– viel schneller
– viel sicherer
– viel Wartbarer
Und ich mein nicht jemand, der schonmal auf seinem Rootserver ein Debian installiert hat.
Ich bin mir 100%(!) sicher, ihr habt fitte Leute im Haus – aber eventuell seht ihr einfach nicht mehr den Wald vor lauter Baeumen!
zum Thema “wieviele User haben die wirklich?”: Man könnte sich doch einfach einen Account neuen Account anlegen und schauen, was der für eien ID hat. Ich bin aber auch umständlich heute abend..
Bei der group.php kann man übrigens immer noch die id statt der ids übergeben.
@192, Stefan: Es ist über deinen Link möglich, Nachrichten zu lesen, wenn man die message_id kennt und die data[action] auf read setzt und die andern Parameter weglässt. Die message_id steht im Quelltext zu der jeweiligen Nachricht. Wenn man die Systematik hinter der message_id erkennt (falls auch diese nicht sicher ist), sollte das für weiteren Wahnsinn sorgen. Dann braucht man noch nicht mal mehr die [to_user_id], die muss gar nich im Link stehen.
Kann das jemand nachvollziehen? Ich komm da nicht weiter, sehe aber das Prinzip glaube ich.
Auch recht witzig: Wenn man eine (eigene?) alte Message-ID hat, in diesem Fall 1234567, kann man so neue Nachrichten mit dem selben Sender-Empfänger-Paar generieren.
Angenommen, Paul hat an mich eine Nachricht gesendet, die die message_id 1234567 bekommen hat. Dann mache ich folgendes:
http://www.studivz.net/ [edit: Sorry, aber das ist Hölle, das muss nicht jeder lesen. Don]
Was passiert? Ich bekomme eine neue Nachricht mit Paul als Absender zugesandt. Witz an der Sache: Wenn man eine schon benutzte message_ide noch einmal zum verschicken verwendet, muss man weder Absender noch Adressat kennen. Sollte das auch mit fremden Message-IDs gehen, könnte man allerhand damit anstellen, denn dann bekommen plötzlich Leute Nachrichten, die der angegebene Kommunikationspartner nie versendet hat.
also bei mir funktioniert das noch immer mit der id ohne s. manchmal gehn ein paar nicht (gelöschte profile?) aber wenn ich da irgendwelche zahlen eingebe lande ich fast immer auf einem profil.
@Ojemine: Telefonica in Gütersloh (also Ex-Bertelsmann-mediaways) hat das Zeuch von StudiVZ in einem eigenen Netz *vor* der DMZ stehen. Denen geht die ganze Diskussion sowas am Arsch vorbei, was ich auch soweit verstehe.
!!! Das Loch mit der direkten ID-Angabe ist definitiv wieder offen !!!
Was zum Henker machen die Jungs vom VZ bitte?
Lasst mich raten: es wurde schnell im Livesystem gefixt, ein anderer Entwickler hat etwas anderes verändert und seine Version anschliessend hochgeladen – und die “Hot-Fixed”-Variante somit wieder mit der “anfälligen” Version überschrieben.
unglaublich…
Lieber mitlesende Mitarbeiter vom StudiVZ… schaut Euch mal das Prinzip eines CVS an. Somit könntet ihr wenigstens solche massiven Patzer vermeiden…
http://de.wikipedia.org/wiki/Concurrent_Versions_System
also 199 ist bestätigt… entweder es geht wieder oder ging die ganze Zeit schon… Ob da vielleicht jemand ein paar alte versionen hochgeladen hat? oder nutzen sie kein CVS bzw subversion?!?
@ #195, Fritz
Hab gerade einen Account angelegt und den zugewiesenen Code dechiffriert. Damit konnte man (wie geplant) recht einfach ans aktuelle hintere Ende der Nutzernummerierung springen. Just in diesem Moment ist id=1474531 das letzte Profil aufrufbare. Allerdings gibt es scheinbar eine große Lücke von ca. 31630 bis 185500, von solchen “Lücken” scheint es noch mehrere zu geben.
Wenn ich mir Ãœberlege wie lange dieses ID-Loch schon offen ist, wird es von Sekunde zu Sekunde wahrscheinlicher das irgendjemand alle oder zumindest einen großteil der Profile gegrabbt hat, ggf. mit den zugehörigen Freunden (wo das mit der ID-Angabe auch funktioniert). Verbunden mit einem beliebigen Adressdatensatz (eines Versandhandels, Mobilfunkbetreiber, …) könnte schon nächste Woche wunderbar personalisierte Werbung im Briefkasten einiger Studis liegen…
Und nochmal was aus den AGB’s des StudiVZ:
(4) Der Betreiber haftet nicht für die unbefugte Kenntniserlangung von persönlichen Nutzerdaten durch Dritte (z. B. durch einen unbefugten Zugriff von “Hackern” auf die Datenbank)…
Dann ist ja noch alles im Lot.
Just my two cents
hey!
kann mir mal einer die gefahr erklären, die von dem prob ausgeht???
nic
pop@traum.ms –> gerne auch mailen
Hmm, scheint so als wäre StudiVZ.net offline.
Ja kann ich bestätigen. Sind seit ca. 5 Minuten offline.
Ja, seit 4.20h.
nic: Ich habe es nicht ausprobiert, aber du könntest dir
wohl ein kleines Shellscript schreiben, dass dir alle frei zugänglichen Profile/Kontaktlisten (wobei, die Kontaktlisten sind ja auch bei geschützten Profilen frei zugänglich) herunterläd.
Ok, Script ist übertrieben, es ist ein Einzeiler: wget mit validem cookie, schleife drum und los. Wenn es durchläuft, hast du anschließend deine persönliche StudiVZ-Sicherheitskopie. Vielleicht noch ein HTML-Parser dazu, dann hält sich auch der Datenmüll in Grenzen.
Kann ebenfalls bestätigen, dass man (wieder) mit Hilfe von ‘id’ die Profile auslesen kann.
http://www.studivz.net/profile.php?id=1234567
Die studivz-Datenbank steht offen.
Nachtrag:
auch niedrige Profilnummern (unter 10) sind einsehbar.
Einfach alles…
Man könnte meinen, dass ich jetzt anfange zu überlegen, ob die Kritik am StudiVZ gerechtfertigt ist. Die Beweislast ist schließlich ziemlich erdrückend. Vielleicht sollte ich meinen Account kündigen. Aber ehrlich gesagt, verfliegt der Inhalt dieses Blogs, nachdem meine Augen vom Monitor abwende. Ich habe ein Studium, einen Beruf, eine lieve Freundin und gute Freunde. Und irgendwie weiß ich auch, wie sich ernsthafte Probleme anfühlen. Die dafür zuständige Hirnregion regt sich derzeit aber überhaupt nicht, sei es drum. Wenn ich gleich rausgehe, die frische Luft ateme und die ersten Sonnenstrahlen beobachte, geht es mir gut und all diese Dons und sonstigen Blogger sind aus meinem Kopf verschwunden. Nur einmal überkommt mich ein Lächeln, wenn ich mir vorstelle, wie jemand Nachtschicht vorm Rechner einlegt, Zeichenkombinationen entschlüsselt und einen Aufsatz darüber schreibt. Die Leben ist schön.
Studium, Beruf, Freundin, Freunde. Wahrscheinlich auch Handy, E-Mail, InstantMessaging, usw.
Warum braucht man dann noch einen Account bei einem fragwürdigen Dienst, mit Folgen, die nicht überschaubar sind?
chapeau! super erklärt! ich bin begeistert!
Na, für jeden Spammer sind das erstklassige Profile, der setzt da ein kleines Programm dran und schwupps haben die “solo”-Jungs die ganze Bandbreite an Angeboten im Postfach, die die Sexbranche so auf Lager hat – oder vielleicht zieht auch eine Firma den Datensatz zwecks negativem Headhunting – was der X hat sich beworben? Uh oh, na ich weiss nicht hat 14 Freunde aus dem linkslinken Millieu, geht saufen und zitiert Marx, also ich würde ja lieber einen anderen nehmen…
So Zeug halt. Hauptsache, das Leben ist schön.
@214
Ich brauche StudiVZ nicht. Es würde mir nicht wehtun, wenn es sofort seine Pforten schließen würde. Andererseits beeinträchtigt es mein Leben auch nicht negativ. Und es gibt im Übrigen Leute mit unstetigen Kontaktdaten (wechselnde Handynummer etc.), von denen man längere Zeit nichts gehört hat. In der Hinsicht hat StudiVZ wirklich schon einigen geholfen, den Kontakt aufzubauen. Nicht, weil es StudiVZ ist, nicht weil gruscheln so eine tolle Sache ist, sondern einfach aus dem Grund, dass sich über 50% aller Menschen, mit denen man jemals etwas zu tun hatte, dort angemeldet haben. Und das Gleiche auf die schnelle mit einer kostenlosen, studentischen, sicheren Alternative erneut aufzubauen, scheint mir nicht möglich.
Zum negativen Headhunting: Jemand säuft und kommt aus der linken Ecke? Eine Firma mag keine saufenden Leute aus der linken Ecke? Da können beide Parteien dankbar sein, dass es dank StudiVZ gar nicht erst zu einer Zusammenarbeit kommt. Die beiden hätten eh nicht zusammengepasst. Mal im Ernst. Jeder präsentiert sich so, wie er ist oder gerne wäre. Und wenn sich jemand nichts vorzuwerfen hat, muss er auch keine Angst haben, seine Daten preiszugegen. Wenn doch, gibt er sie einfach nicht Preis.
Guten Morgen zusammen!
Schön zu lesen, dass sich hier noch etwas getan hat.
Wie ich schonmal erwähnt habe, trat ich vor knapp zwei Monaten an die Betreiber heran und machte sich per Mail auf das Gröbste aufmerksam und als keine Reaktion kam, waren mir einige Dinge klar.
Ich habe weder die Zeit, noch den Elan, mich damit intensiver zu befassen. Aber die Welt ist groß und es leben auch noch ein paar Leute mit Prinzipien.
Meine kurze Sicht der Dinge: Dieses komplette Webportal stinkt.
Es wurde nicht ein Kardinalsfehler ausgelassen, über den man stolpert, wenn man gerade lernt, ernsthaft Webanwendungen zu bauen die SICHER sein soll. Die Seite ist unprofessionel und definitv “overrated”, wie man so schön in der Geschäftswelt sagt. Die Leute haben aktuell das Problem, welches sich bei scheiß Konzepten immer ergibt:
Wenn ich etwas baue, sollte ich vorher an Sicherheit denken. Hinterher die Sicherheit reinpatchen ist immer extrem unschön und der Garant für böse Überraschungen.
Sollte die Bude wirklich Geld haben, dann sollte man einen Security Consultant anheuern, der ein Code- und Konzeptreview macht. Mit der aktuellen Besetzung ist es einfach nicht machbar.
Und noch ein Tip, sollte das hier von StudiVZ Mitarbeitern gelesen werde (und davon gehe ich aus): Der Datenschutzbeauftragte möge bitte einen Blick in das BDSG werfen. Sollte ein Jurist anfangen, sich für Technik zu interessieren, dann _wird_ es unangenehm für die Betreiber. Einige Paragraphen sind bei dieser Sache von Belang.
So, euch noch einen schönen Morgen!
Viele grüße,
Stefan
@ albinko: Leider, leider, leider ist es nun mal so, dass Du für einen Profiler nicht nur das bist, was Du bist, sondern auch das, was Deine Freunde über Dich sagen. Du musst gar nichts preisgeben, kannst Dein Profil verrammeln und Dich in Gruppen unsichtbar machen – aber wenn die 14 sichtbaren Mitglieder der Gruppe “Bewaffneter Widerstand Kleinmehring” Dich als Freund benennen, bist Du trotzdem fällig.
Solche Profile sehen ja nicht so aus, dass man “ja” oder “nein” sagt, sondern es sind so eine Art “Chart”. Stell Dir mal vor, Du bewirbst Dich auf ein Praktikum, auf das sich 100 andere auch bewerben, 60 davon haben ihr abgegrastes Profil bei StudiVZ. Dann bekommt der HR-Mensch von der Firma mit den Daten eine Liste, auf der alle Namen stehen, und dazu die Bewertung. Albinko hat dann vielleicht die genau gleiche Qualifikation im Studium, aber wegen Wohnheim einen etwas schlechteren Sozialwert als der Blbinko, der eine eigene Wohnung hat, ausserdem ist sein Freundeskreis mit 3 Linken durchsetzt, während Blbinko einige Leute einer Elitehochschule kennt. Albinko hat vielleicht etwas bessere Scheine gemacht, aber die ungünstige Sozialprognose – man will den Prakti ja auch mal zum Kunden mitlassen – lässt Blbinko das Rennen machen.
Bei eingeschränkten Profilen bekommt man nicht alles zu sehen. Der direkte Aufruf der URL zeigt nicht mehr, als über die Suche / Links möglich ist.
Profile abgrasen kann man auch, indem man Freunde von Frunden von Freunden … nachläuft und deren Gruppen durchläuft.
Hochzählen der ID macht es etwas einfacher, liefert aber nicht mehr Informationen. (Von ein paar Test-Account, die keine Freunde und Gruppen haben mal abgesehen.)
Kritisch ist es aber bei den Fotos, da dort die Zuriffsrechte offenbar nicht geprüft werden.
ed2k://|file| [Edit: gelöscht -dogfood]
ich konnte leider noch nicht reingucken, die datei hat wohl 1,99 gb könnte also unterumständen den profilen entsprechen.
würde die datei ja saugen, allerdings ist mein downloadvolumen auf 3 gb pro monat beschränkt.
da ich an einer unileitung hänge bekomme ich leider auch nicht gegen aufpreis ein paar mehr gb, der wäre es mir nämlich in dem fall wert.
kann sein, dass in der datei nur müll steht, kann aber auch sein, dass es wirklich dein datenbank dump ist.
Ich glaube ja, dass nur ein freies Netzwerk (also ein Facebook-StudiVZ-Klon), welches etwa von einem Verein erschaffen wird, den Untergang von StudiVZ bewirken kann.
Die Studenten kennen jetzt diesen Service und möchten ihn eigentlich nicht verlieren. Hier versammeln sich gerade einige Programmierer.
Wenn Don als Kopf der ganzen Geschichte einen Verein gründet und etwas für die Organisation sorgt, könnte ein Ersatz geschaffen werden, um die Lücke, die jetzt entstanden ist, zu schließen.
Es geht nur um das Design (könnte ich gestalten) und um grundsätzliche Funktionen wie Profile (Daten wie von “Meine Seite” bei StudiVZ), Gruppen, Nachrichtensystem, Fotoalben und einer einfachen Suchfunktion.
Bietet dieser StudiVZ-Ersatz die gleichen Funktionen, jedoch ein eigenes Design, keinen kommerziellen Hintergrund (außer dem Sponsoring von Servern) und Sicherheit(!), wäre StudiVZ weg vom Fenster.
Das Problem: Die Menschen brauchen einen Führer, der dominant genug ist, um das alles zu organisieren. Don? Nicht arbeiten, nur leiten (ok, das kostet Zeit, wäre aber gut für dein Seelenheil *zwinker*).
NIE WIEDER STARTUP
Im Ernst, das Zeug hier ist hart genug, für das grosse Spiel bin ich zu alt. Ich bereite grad was Kleines vor, aber wer will, soll sich bei Jörg-Olaf “Posterboy” Schäfers http://fx3.org melden, der hat auch keine Lust, aber der wird das schon machen.
@222 und das beste ist – dieses “neue” STudiNetDings könnte sogar anbieten die “alten” StuiVZ Daten per Mausklick zu “importieren”… Dem Esel sei Dank.
Over, Y.
Weise gesprochen, Don, weise Gesprochen.
Es dürfte hier einigen so gehen.
Und eine Anmerkung: Es gibt keine Lücke, die geschlossen werden muss, zumindest nicht in den Köpfen der Menschen, die StudiVZ einfach nur benutzen, ohne sich mal den Seitenquelltext anzusehen, oder das Webfrontend an diverse Fuzzing-Tools zu verfüttern.
Wie schon geschrieben wurde, die kritische Masse wurde, auch meiner Meinung nach, schon lange erreicht, die Sache hat nun die Dynamik eines Tankers, der auf See eben mal ne Vollbremsung hinlegen soll.
Für die “normalen” Benutzer ist doch alles klar. Der Service, also die Verfügbarkeit ist deutlich verbessert worden und damit stimmt doch alles.
Was im Hintergrund passiert, ist lediglich für die wenigen Geeks und Gutmenschen hier interessant, nicht für den “Normalo”.
Wie im Leben: Eine Minderheit warnt die ignorante Masse und kaum einer hört hin.
Gruß,
Stefan
Kinners, lasst doch mal den Blödsinn mit den komischen Esel-Links, egal ob die nun gefaked sind oder nicht… ich finds eigentich viel interessanter, mich nur über die Sicherheitslücken zu unterhalten als sie auch wirklich aktiv auszunutzen. Man *kann* vieles machen, aber *muss* deshalb nicht gleich.
ysbtsn, bitte bestätigen, bitte bestätigen.
Over, Don
Stefan, es gibt da den alten Maldolm-X-Spruch “Freedom is a road seldom travelled by the multitude”. Aber ich denke, man kann durchau Wegschilder anbringen und klarmachen, dass der neue Weg schöner und besser ist. Und StudiVZ ist längst nicht mehr auf hoher See, sondern bereits dran am Eisberg. Sie wissen es nur noch nicht so richtig.
Sie nicht.
Ich schon.
@Kolkrabe. Ich will den Esel-Link nicht ausprobioeren, ich will nur wissen, ob der Dump echt ist. Dafür habe ich noch nirgends eine Bestätigung gelesen.
Falls er es ist, muss ja mehr dahinter stecken, als das was bisher dokumentiert wurde, oder?
@228
du müsstest doch wissen wo der esel link zu finden ist…
nämlich auf einer seite auf der man dich nach deiner fleghaftigkeit fragte. :)
@Dave: Wieso, was muss denn mehr dahinterstecken? Will man wirklich DataMining beim DatenschleuderVZ betreiben, stehen einem bereits jetzt alle Möglichkeiten offen. Ob das nun per wget ist oder mittels was schnell zusammengehackten ist dabei recht egal. Eigentlich ist der letzte Schritt in Richtung “Jetzt sammel ich aber auch mal alle Daten” ziemlich trivial und m.E. eher langweilig.
PS: Eigentlich will ich ja in Wirklichkeit nur meine eigenen Daten schützen, die vielleicht auch in dem Paket dabei sind. Wer mich dort sucht… einfach nach dem besonders gut aussehenden Jüngling die Augen offen halten… aber pssst… ;-)
“Bietet dieser StudiVZ-Ersatz die gleichen Funktionen, jedoch ein eigenes Design, keinen kommerziellen Hintergrund (außer dem Sponsoring von Servern) und Sicherheit(!), wäre StudiVZ weg vom Fenster.”
Dann wünsche ich mal viel Erfolg, mehr als eine Millionen User “rüberzuziehen”. Ein StudiVZ-Ersatz hätte in meinen Augen keinen Erfolg. Und den Eisberg für StudiVZ sehe ich noch nicht kommen. Ãœberlegt doch mal, wie lange und wie intensiv Microsoft schon mit Vorwürfen bombadiert wird? Und, ist die Firma untergangen? Oder Ebay? Klar, Microsoft ist ein paar Milliarden Nummern größer und mächtiger als StudiVZ. Aber das Gleiche gilt auch für die Kritik am Unternehmen, wogegen die Skandale um StudiVZ wie ein Witz erscheinen.
Für jede Werbeagentur ist die Möglichkeit, die Profile automatisiert abzugrasen, Gold wert. Ich wette darauf, dass alle Agenturen mit Web-Hintergrund bereits ‘Screen-Scraper’ auf StudiVZ angesetzt haben.
Dabei sind noch nicht einmal die Einzeldaten interessant, sondern die Masse, denn Studis gehören zur einer stark beworbenen Zielgruppe.
Für die Infos, welche man mit einem halbwegs vernünftigen Statistik-Tool aus den Daten ziehen kann, müssten Meinungs- und Werbeforscher sonst zig Millionen ausgeben. Wäre es nicht interessant zu wissen, wieviele Studenten an der Uni Hamburg sich politisch als ‘kronloyal’ einordnen. Wie ist das Zahlenverhältnis von Männern und Frauen an dieser Uni, welche Studiengänge werden belegt. Woher kommen die Leute ursprünglich? Wer kennt wen wo? Warum sind so viele Leute im Piranha-Club?
Mit den Antworten darauf kann man Wählerwanderungen vorhersagen, Berufschancen ausrechnen, Nachfrageplanung betreiben, Werbekampagnen optimieren. Für so etwas werden normalerweise sehr teure Studien auf Basis einer kleinen Stichprobe angefertig. Mit den Daten aus StudiVZ ist man ja schon eher an der Grundgesamtheit dran…;)…
gibt es inzwischen wieder was neues?
Dann wünsche ich mal viel Erfolg, mehr als eine Millionen User “rüberzuziehen”. Ein StudiVZ-Ersatz hätte in meinen Augen keinen Erfolg. Und den Eisberg für StudiVZ sehe ich noch nicht kommen.
Dank Studivz kein Problem, kannst ja alle deine Freunde gleich mit einladen… also von daher, Studivz bietet dir doch die beste Möglichkeit das Ding gleich zu promoten.
Der Eisberg ist schon da, die Frage ist nur wie lange es dauert bis das Schiff sinkt, oder ob sie genug Zeit haben das Leck zu flicken. Ich befürchte nur es sind schon wieder einige Torpedos im Wasser und die werden neue Lücken reißen. Etliche meiner Freunde haben ihre Profile schon angepasst, es steht nicht mehr wirklich viel drin – auch wenn dies nicht die Lösung ist.
Und so wie ich es sehe, haben schon Freunde von Freunden ihre Daten zusammen geschrumpft und wenn noch ein Torpedo kommt, dann ist mein Account ganz schnell gelöscht und dann werden mehrere folgen.
Ich konnte vor StudiVz leben, ich kann es nach StudiVz!
Alblinko, Firmen haben Stärken und Schwächen. StudiVZ hat fraglos Stärken, die Zahl von 1 Million etwa. Aber auch Schwächen.
Wenn Du mal die älteren Accounts anschaust, so von etwa Mai, Juni, wirst Du feststellen, dass bei der Mehrheit die Aktivität erlahmt ist. Nachhaltigkeit schaut anders aus. Das kernproblem bei StudiVZ ist aber nicht die Userzahl und gar nicht so sehr die Skalierung, sondern die Frage, wie man damit Geld verdient, und wenn es Probleme gibt und man nicht wie versprochen voran kommt, wer einem dann nochmal Geld gibt.
StudiVZ hatte vermmutlich eine Burnrate am unteren Rand von 100.000 pro Monat, und 4 Monate sind rum. Jetzt sind sie gezwungen, Leute einzustellen, die was können. Mehrkosten von 20.000 kommen da schnell zusammen. Dazu möglicherweise Sonderaufwendungen für die Jungs, die auf dem Boden schlafen und diediversen Löcher und andere Probleme mit dem Gesetz – sprich, da kommen Anwaltskosten auf sie zu. Wahrscheinlich brauchen sie auch noch ein paar Manager, einen Verkäufer, da kommt man schnell auf 200.000 pro Monat. Wenn jetzt noch 1,5 da sind, ist das Ende in 8 Monaten erreicht, vielleicht auch etwas schneller. 8 Monate bedeutet: In 4 Monaten müssen sie sich auf die Suche nach frischem Geld machen. Das wird lustig.
Das Esel-Link ist wohl ein Scherz von einem Heise-Spassvogel was jeder IT’ler auch versteht.
Hat aber leider einen sehr realen und ernsten Hintergrund.
Ein Dump der Daten ist wohl möglich, siehe #210, halt nicht per SQL-Dump sonder per Shellscript. Klingt plausibel und trivial und ist auch nur die logische Konsequenz aller offenen Scheunentore die bis jetzt gefunden wurden.
Wenn die Daten dann wirklich beim Esel sind und sie dich fragen, wie konnte das geschehen, kannst du dann sagen, du hast es nicht gewusst?
Die Daten werden gerade abgegrast. Und wenn ich es weiss, muss es StudiVZ auch wissen.
Sie tun einfach nichts.
Was sind die Daten (und die Firma) dann eigentlich noch wert, wenn die Daten von jedem Interessierten für lau abgegriffen werden können?
So gesehen ist Datenschutz ja auch Investitionsschutz! :)
@Don
Das würde voraussetzen, dass sie in Echtzeit in ihre Logfiles reingucken und analysieren, was für welche Daten von wem in welchen Zeitabständen abgegrast werden. Darauf aufbauend müsste eine entsprechende Abwehrreaktion kommen.
Für das Erkennen und das Abwehren braucht man die technischen Mittel und das kompetente Personal mit der nötigen Zeit.
Ich glaube kaum, dass StudiVZ das hat.
Du wirst recht haben: sie wissen es.
Aber sie schauen ohnmächtig zu.
Ach, das sind in ihren Augen Kinkerlitzchen, und auch die Getreuen Studis werden es mit einem Achselzucken hinnehmen. Man hat ja nichts zu verbergen – man ist ja glücklich und zufrieden, die alten Schulkollegen wieder zu treffen (was bin ich froh, den Großteil der Hackfressen nicht mehr zu sehen – die, die ich sehen will, man mag es kaum glauben, sehe und treffe ich so richtig im Reallife da draußen).
Interessant wirds, wenn ein SQL-Dump auftaucht, obiges ist ein Fake. Und bisher sind *immer* solche Dumps aufgetaucht, von “Projekten”, bei denen manche Leute gedacht haben, sie sind nicht koscher – eines der bekanntesten,welches mir gerade einfällt, wäre FTP Welt. Wobei ich die beiden Unternehmen nicht miteinander verglichen haben wollte.
Hallo, hat eingentlich schon einmal jemand diese ganze Exploits und Lücken versucht bei dem grossen Original nachzutesten? Vielleicht geht das ja da auch? Ich weiss nicht, hab keine FB Account. Fragezeichen.
Wenn man Ahnung von Data-Mining und Co hat, ist das leider alles nicht mehr so wirklich lustig…
Die Uhr tickt, denke ich mal.
Jungs von StudiVZ!
Schnell nen Hotfix auf den Produktionsserver einspielen und wieder 10 alte Security-Updates zerschiessen.
zwischenfrage: werden die daten tatsächlich gerade abgegrast as we speak?
Davon ist auszugehen felix. Du glaubst doch nicht, dass sich sowas diverse Leute entgehen lassen, oder?
chris, ist das wirklich tatsächlich möglich? d.h. die jungs verstoßen nicht nur gegen geltendes recht, sie zerschiesen sich auf ihr “betriebsvermögen”?
Ich habe eine Mail erhalten, die das sehr wahrscheinlich macht, und der Inhalt lässt darauf schliessen, dass sie wissen, was sie tun.
Ich weiss nicht, wer sie sind. Keine Bösen. Aber wenn Du wegen sowas die Nummer1 bei Technorati bist, weiss es die Welt.
Und jetzt bin ich es wirklih leid, dem Bemman noch eine Mail zu schicken oder das hier auf die 1 zu klatschen. Sollen sie sich mit den Klagen rumärgern. Noch nicht mal geschützte Profile sind sicher.
Das Business-Konzept von StudiVZ hat eine grundsätzliche Schwäche: Student sein ist keine Lebensaufgabe, sondern eine transitorische Lebensphase. Da passiert eine Menge, Interessen ändern sich, Freunde, man probiert Sachen aus. Irgendwann ist jedes Studentenleben beendet, mittlerweile mit der Bachelor manchmal schon nach 2-3 Jahren. Jedes Semester müssen die “freshmen” wieder überzeugt werden, ihre Daten bei studivz abzuladen, und nicht bei einem Konkurrenten. Nicht gerade eine stabile Einnahmequelle. Das ist bei XING/OpenBC anders, wo nur das Profil den neuen Arbeitsbedingungen angepasst wird.
Auf der content-Seite sind die Studenten unberechenbar. Von Bildung einer kriminellen Vereinigung bis gewerbliche Sexkontaktbörse ist alles möglich in so einem Netzwerk. Eigentlich unkontrollierbar. Dagegen ist XING eine beschauliche übersichtliche Veranstaltung.
Wenn dann noch diese handwerklichen Fehler und mangelnde unternehmerische Reife dazu kommen, ist das Ende absehbar.
@237: Ein wget schafft ohne Probleme 100 Profile/Minute, wenn man sie nicht parallel laufen lässt. Mit einer guten Anbindung und ein paar parallel laufenden Scripten sind es sicherlich mindestens 1000 Profile/Minute. Da kann sich jeder ausrechnen, wie lange es dauert, bis StudiVZ leer gesaut ist.
leer gesaut – der war gut, 249!
DumDiDum
http://www.studivz.net/profile.php?id=1467476
kann ja mal passieren :)
hm .. hätte es nicht einfach ein simples SHA1- oder MD5-hash getan? ansonsten gibt es ja noch eine ganze menge anderer hash-methoden, nicht die billige pseudo-variante vom VergnügungsZentrum.
cu, w0lf.
sch̦n Рdie blogbar ist wieder da!!
Ich bin ja mal gespannt, wann ein Mitbewerber auf die Idee kommt den Laden wegen unlauteren Wettbewerbs abzumahnen ;)
Und wegen den Profilen … da kann man nur hoffen, dass die Herren eine anständige Betriebshaftpflicht abgeschlossen haben.
Oooch Рund ich hatte so ein sch̦nes Ersatzquartier er̦ffnet!
Just joking – Danke an Meister Kai Pahl!
“Nur der Böse erkennt das Böse”
Ein Geständnis? ;) *scnr*
Ein koreanisches Sprichwort, das mir mal eine sehr kluge Frau im Rahmen dieser Geschichte gesagt hat.
@251: GetPerson: Person nicht gefunden!
z.Z. kommt für jede ID nur noch das “GetPerson: Person nicht gefunden” … scheint so, als ob sie es gefixt hätten.
Dass es wer versucht hat merkt man an der schlechten Performance heute, oder ist das immer so lahm?
Lahm ist es ohnehin, aber sie stricken immer noch mit heisser Nadel. Hört man.
Arbeiten jetzt dort 200 BWL-Studenten, die jeden http-Request per MessageBox abnicken?
Vermutet man…
:O)
comment in sebbis blog
Uh-oh, in der Uni Jena hat wohl gerade der Blitz eingeschlagen, der dortige Campus Captain Ronny E., früher auch Mitglied in der berüchtigtens Stalkergruppe der 700, dessen näheres Umfeld zumindest für den heutigen Kommentarspamangriff gegen die Blogbar geritten hat, hat sein angeberisches Profil auf Privat geschaltet.
Ts, ts.
Da Fragen aufkamen zu
“ed2k://|file|StudiVZ_SQL_dump.rar|blablabla/
Wie lange wird es wohl bis dahin dauern?”
1.) Hashwert ergoogeln
oder
2.) Verstehend lesen
Es wird ewig dauern. Ich habe das mal exemplarisch ausprobiert und man konnte ca. 2-3 Profile pro Sekunde abklappern (apache bench). Damit brauchst du bei angenommenen 1500000 ids (viele leer) ca 6-9 Tage zum Download und nunja … so lange wird die Lücke wohl nicht offen bleiben (bzw. sie ist ja jetzt schon zu, wie es scheint)
Hi,
wollte gerade mal meine Daten aus dem StudiVZ entfernen (also nicht das Profil löschen, aber alle persönlichen Daten ausser meinem Name rausnehmen). Das scheint überhaupt nicht zu funktionieren, die Änderungen werden zwar übernommen, aber nach ca. 1min sind meine alten Daten wieder da. Kann jemand das bestätigen?
Grüße,
Stefan
Kann ich nicht bestätigen. Ich hab meine Daten gestern rausgenommen und das hat problemlos funktioniert…
Nachtrag: Insbesondere passiert dieses, wenn ich meine Beziehungsstatus (oder ähnliches, evtl. alle Drop-Down Felder) auf ‘Nichts’ setze.
Dann errechnet man halt aus den numerischen Werten die ids und gräbt damit ab. Oder haben sie diese Lücke tatsächlich geschlossen?
Den Rest der benötigten Performance kriegt man durch Distributed Absauging analog zu Distributed DOS. :)
Entsprechende Clients zu verteilen fällt Spammern und Scriptkiddies nach wie vor nicht sonderlich schwer. Oder hat sich da mittlerweile tatsächlich was gebessert?
Würde dann aber auch nix helfen: So eine Datensammlung holt die Kosten für ein paar gefüllte PC-Racks mit dicker Leitung locker wieder rein.
@266
du kannst aber über http://www.studivz.net:port (8020, 8021, 8022 usw) anscheinend die server hinter dem load balancer einzeln ansprechen
das dürfte das ganze etwas beschleunigen
@269: Das sind altbekannte Synchronisationsprobleme mit der Datenbank. Die Änderungen werden scheinbar nicht direkt auf dem DB-Server gespeichert, sondern kommen in eine Art Warteschlange/Puffer.
Sebbi: Tja, und wenn du nun ein kleines Botnetz hättest, sagen wir mit 1000 Rechnern, geht es halt ein wenig schneller ,(
Stefan: Evtl. ein Problem mit der Syncronisierung der Datenbankserver. Du bekommst bei jedem Aufruf deine Daten von einem anderen Server (Sonst wären die vielen parallelen Zugriffe der Mitglieder gar nicht abzuarbeiten).
Wenn die Datenbank sich nun nicht, oder nur mit Verzögerung syncronisieren, kann es zu solchen Effekten kommen. Ist nun aber auch nur eine Spekulation.
@232:
Letzlich könnte das StudiVZ ja auch gut diese Daten verkaufen. Stichwort: Frisches Geld.
Mal schaun wie das weitergeht.
Schönen Tag noch.
@272 + @273:
Das ist die Lösung, jetzt habe ich lustigerweise auf den servern 8020-8023 unterschiedliche Profile. Mal schaun was das dann im Endeffekt bei der Synchronisierung ergibt. Vielen Dank!
Im Artikel http://blog.happyarts.de/2006/11/29/492/studivz-profile-frei-einsehbar bin ich nochmal ausführlich auf die Thematik eingegangen. Die Lücke ist so groß, das eigentlich ein sofortiges Abschalten der Server nötig wäre.
jo, es liegt nicht an einer Beschränkung der Bandbreite meinerseits, sondern an einer Beschränkung der Auslieferungsrate auf Seiten von StudiVZ. Da helfen auch mehrere Rechner nicht. Der Vorschlag mit dem Zugriff auf die Maschinen ohne Loadbalancer dürfte aber ein gangbarer Weg zu Beschleunigung sein. Trotzdem dauert es vermutlich einige Zeit, allerdings wäre so eine Datenbank mit allen Beziehungen zwischen den 1. Mio Studenten schon mehr als interessant. Alleine zum Herumspielen …
Bin ich doof… Natürlich wird nicht das Schreiben der Daten gepuffert, sondern der Abruf.
Eieiei, ich brauch ‘nen Kaffee. :)
naja das thema studivz hat anscheinend schon bis zum radio geschafft:-) ein kollege sagt mir das heute morgen ein bericht bei eins live lief zu themas studivz. von wegen studenten verzeichnis mit 1 mio studenten und so!! aber auch das es dort stalker gruppen und sonst noch probleme gibt!! solangsam muss der druck doch wachsen oder!! nicht jeder student liest in einem blog aber radio hören doch schon paar mehr….
Hmm. Hallo. Wieder da? Schön. Lest mal BuHa und dann achtet bitte auf das Datum. Hat auch sein Gutes so eine Freundschaftsabfrage.
@DonAlphonso: Wie kommst Du eigentlich zu dieser Schätzung von 100.000 € /Monat Fixkosten für StudiVZ?
Ich meine Hardware und Traffic kosten heute ja nicht die Welt (es sei denn man stellt sich sehr ungeschickt an) und so wie es aussieht, arbeiten dort ja eh nicht die teuersten Profis, vermutlich ist das Gros der dort Beschäftigten irgendwelche Praktikanten denen man mit Wachstumsaussichten den Mund wässrig gemacht hat…
Hast Du da evtl. mehr infos dazu? ;)
Via GoogleNews:
>>Ich kenne Tilmann E. nicht. Dafür weiß ich, dass er gerne masturbiert. Woher ich das weiß? Nun, Tilman ist Mitglied der StudiVZ-Gruppe “Sex ist nur schmutzig, wenn er richtig gemacht wird”. Rund 7400 Studenten beantworten dort mit ihrem richtigen Namen und ihrem Bild für alle Mitglieder des StudiVZ öffentlich sichtbar (!) einen Fragebogen zu ihren sexuellen Vorlieben, reden über ihre Perversionen und verabreden sich zu “Aktiventreffen”.>Die Person, die den Fragebogen entworfen hat, hat ihn übrigens nie beantwortet und ist nicht mehr im StudiVZ.
Hmmmpf, miserabler HTML-Filter. Ganz miserabel.
Also nochmal so:
Dabei sind noch nichtmal die Dreilochstuten, Analverkehrer, Natursektspritzer und Frauen-ins-Gesicht-Ejakulierer :)
Mannomann, das könnte dazu führen, daß ich mir zum ersten mal seit Jahren eine BILD kaufe.
Ich seh’s schon mir – DAS SOLLEN UNSERE LEHRER WERDEN!!!
Via GoogleNews gefunden:
‘Ich kenne Tilmann E. nicht. Dafür weiß ich, dass er gerne masturbiert. Woher ich das weiß? Nun, Tilman ist Mitglied der StudiVZ-Gruppe “Sex ist nur schmutzig, wenn er richtig gemacht wird”. Rund 7400 Studenten beantworten dort mit ihrem richtigen Namen und ihrem Bild für alle Mitglieder des StudiVZ öffentlich sichtbar (!) einen Fragebogen zu ihren sexuellen Vorlieben, reden über ihre Perversionen und verabreden sich zu “Aktiventreffen”.’
…
‘Die Person, die den Fragebogen entworfen hat, hat ihn übrigens nie beantwortet und ist nicht mehr im StudiVZ.’
Quelle: http://www.readers-edition.de/2006/11/29/striptease-im-studivz-kommentar/
Auch nicht schlecht:
http://www.readers-edition.de/2006/11/29/striptease-im-studivz-kommentar/
Die Gruppe dürfte für die Analysten von Beate Uhse GmbH & Co. KG doch die Datequelle schlechthin sein. 6.000 Mitglieder, die Auswertung reicht doch locker für eine Diss. in Sexualwissenschaft oder Psychologie.
*hrmpf* etwas zu spät
@280: die arbeiteten bis gestern dran und haben tatsächlich daten ausgelesen…
@ 282 möchte ich noch die Quelle ergänzen….
http://www.readers-edition.de/2006/11/29/striptease-im-studivz-kommentar/
so so für die immer noch meinen die Daten im Studivz sind ja nicht interessant …
Mfg
ähhh was macht ihr hier alle?! habt ihr nix besseres zu tun als den ganzen Tag ids durchzuprobieren :-D
@287: Ist der verunglückte 1. Versuch von 283.
Müsste mal jemand bei Gelegenheit wegräumen. ;)
@288: Dafür haben wir doch Computer … 8->
Aber offensichtlich kein Leben…
Hallo!!
Ich bin absolut besorgt!!
Kann mir jemand einen Tipp geben wie ich mich als Laie aus dem Studivz aus der SQL-Datenbank rausloeschen kann????
Bitte helft mir!
aus der studivz hilfe:
Och nö, ist nicht dein Ernst, oder? Wir haben uns doch sooo viel Mühe gegeben…. Wirklich! Sieh’ halt mal unter [ „Mein Account“ ] nach…
UND JETZT PACK DICH! NIMM DEINE SACHEN UND RAUS HIER!!! ( und wenn du wiederkommen willst, herzlich willkommen ;) )
jaja lol….aber in echt wie kann ich das denn machen??
fax hinterher schicken und dir bestätigen lassen, dass alle deine daten gelöscht wurden. darauf hast du einen anspruch.
mein Anliegen bezieht sich auf @267+@268
Das Problem taucht realtiv häufig auf, ein Problem der Synchonisierung der Server, sagt StudiVZ. Da hilft nur warten – die Zeit kann man ja nutzen, um sich zu überlegen, warum es bei anderen geht, nur nicht eben bei denen.
Neues von der Hobbybastlerfront:
Hab gerade ein Anruf von Dennis Bemmann (Mitbegründer von Studivz?) bekommen mit der Bitte den Source-Code nicht zu veröffentlichen. Begründet hat er das mit der aktuell recht schlechen Presse und der Kritik am Datenschutz bei Studivz. So ein Tool würde nur weitere Gerüchte schüren.
Ich verstoße zwar meiner Meinung nach (und auch nach Meinung von Herrn Bemmann) nicht gegen die AGB, hab aber auch keine Lust auf Ärger *G*. Also lass ich das mal lieber. Ob das jetzt der richtige Weg ist, für bessere Presse zu Sorgen sei mal dahingestellt.
Der Dennis ist aber auch ein richtig Netter.
Aber den Account haben sie dem armen Mann trotzdem gesperrt.
Die merken doch die Einschläge nicht mehr.
Also wenn die Bugrate der letzten Tage nicht abbricht, dann sollten wir ja demnächst wieder mit einer neuen Horrormeldung beglückt werden. Gibts vielleicht etwas von den Datenminern?
Sebbi: Ja, so meinte ich das. Und Zeit war bis zur Schließung der Lücke mehr als genug. Durch eine zielgruppenorientierten “Supersuche” konnte man zudem einen Vorfilter bauern, wenn einem halt nur BWLer von der LMU interessieren.
ysbstn: Anfang Oktober schon? Na, herzlichen Glückwunsch. Ist aber auch kein Hexenwerk, was dort beschrieben ist, sondern nur eine etwas elegantere Form der (bzw. der oben skizzierten) “Fernabfrage” (im Vergleich zum Selberklicken).
Zusammen mit den Ansätzen, die allein heute Nacht in den Kommentaren zu diesem Beitrag diskutiert wurden, hat man eine schöne Remote-Schnittstelle. Allerdings nur für freigegebene Daten, was als Offline-Datenbank/einer Massierung problematisch genug ist.
Wenn ich Don richtig verstanden haben, soll es inzwischen einen Ansatz geben, mit dem auch auf die Daten in geschützen Profile zugreifen kann.
Sie hätten das Ding gestern vom Netz nehmen müssen. Ich erkläre morgen mal, wie Data Miner im Bereich HR mit sowas umgehen.
Ich würde als Chef auch so einer Klitsche ja eher in die Ukraine auswandern, als dass ich als Coder irgendwelche Foren, die ich über die Blogbar gefunden habe, in Sachen Code anbetteln würde. würde, Würde, Schmürde.
Vielleicht kurz zur Erläuterung: Das fragliche Tool nutzt keine echte Sicherheitslücke aus, sondern setzt auf die Kernfunktionalität von StudiVZ. Es klappert einfach nach und nach die Freunde, die Freunde der Freunde, die Freunde der Freunde der Freunde usw. einer Person ab, sehr naheliegend und auch bei Facebook schon so passiert. Genau so, wie Google das mit den Links auch macht. So hat man vermutlich mit einer Handvoll Ausgangspersonen schnell 90 Prozent aller Profile in einer handlichen Datei.
@ 301: Es gibt die Behauptung, dass jemand da kann/konnte. Ich kenne mich mit sowas nicht aus und will es eigentlich gar nicht wissen, es ist nicht meine Sache, aber was die behauptet haben, klang einleuchtend. Nachdem ich früher schon schlechte Erfahungen mit Bemman gemacht habe – zum Thema Bild-URLs habe ich rechtzeitig gewarnt – ging die Warnung diesmal an einen Investor, aber das bringt bei denen auch nix, habe ich den Eindruck.
@298 *smile*
Ich behaupte mal, dass es keine 10 Zeilen Code sind, um etwaige Dataminer einigermaßen sicher zu erkennen und denen ne kleine Bedenkpause einzuräumen.
Warten wir einfach mal, wann sich die erste einstweilige Verfügung in Richtung Berlin auf den Weg macht. Als Ausgangsort würde ich spontan auf Hamburg oder Köln tippen.
@306: Bis dahin hilft vielleicht eine robots.txt-Datei mit
User-agent: *
Disallow: Meine Seite
auf der Pinnwand.
Don: Sorry, für die Verwirrung, 301 bin ich, der “Posterboy”, der immer noch keiner sein will.
Einigen wir uns doch auf “Posterboy”, dann ist alles klar ;-)
StudiVZ generiert (angeblich) bereits Abfallumsatz:
http://groups.google.de/groups?q=studivz&start=0&scoring=d&ie=UTF-8&oe=UTF-8&
Mir fällt zum Wert der Daten noch ein, dass sie natürlich eine schöne Grundlage für virales Marketing darstellen. Man ist da ja immer auf der Suche nach den Trendsettern, den Multiplikatoren, die einen möglichst großen Bekanntenkreis haben, also gut vernetzt sind.
Und wer als Studi gut vernetzt ist, wird es aller Voraussicht nach auch in seinem späteren (Berufs)leben sein. Da kann man dann schön den Schwerpunkt der Marketingmaßnahmen auf die Multplikatoren legen und sich den Aufwand für die ‘Loser’ sparen.
Neues von der StudiVZ-Startseite: zur Geisterstunde wird wegen Wartungsarbeiten “der Stecker” gezogen, bis morgen früh soll das gehen.
Und beim Ausloggen hatte ich eben folgende Fehlermeldung:
“Wegen eines Fehlers in Firefox und verwandten Browsern (“CSS caching bug”) wird diese Seite auf deinem Computer gerade nicht korrekt dargestellt. Um dies zu korrigieren, drücke bitte die Tasten
[Strg] + [Umschalt] und klicke gleichzeitig auf den
[Aktualisieren] Button deines Browsers.
Auf dem Mac: [Option] + [Umschalt] + [Aktualisieren]
Please press [Ctrl] + [Shift] + [Reload] ”
Die kannte ich noch gar nicht, weil sie nix mit Koffein zu tun hat…
@312: Nix Neues. War nur ‘ne Zeitlang verschwunden.
http://www.readers-edition.de/2006/11/29/striptease-im-studivz-kommentar/
ARTIKEL IM READERS EDITION
Hobbybastlerfront am 16.11.2006, 19:50:
—————————-
ToDo:
– Das ganze Teil nochmal neuschreiben und ordentlich Dokumentieren (ist halt nur schnell zusammengehackt)
– Beliebige Tiefe soll einstellbar sein
– Im Moment werden nur die Freunde auf der ersten Seite geparst. Also nicht mehr als 10 oder so.
– JpowerGraph benutzen
—————————–
Am 16.11.2006 wohlgemerkt…
Es wurde nette Screenshots von der Anwendung angefertigt, in denen die Beziehungen zwischen den Freundeslisten zu erkennen sind. Ich denke die Screenshots sollten hier veröffentlich werden, eine vorherige Fake/Hoax Überprüfung vorausgesetzt.
Wenn man dann den netten Beziehungsgraphen sieht, stellt man sich dann noch eine Suchmaske vor, in der man einstellen kann, dass man nur noch Profile mit einer bestimmten politischen Einstellung, Uni, Beziehungsstatus, Zugehörigkeit zur ****-Gruppe, Beziehung zu einer bestimmten Person usw, usw, sehen möchte.
Natürlich mit Foto zu dem Namen und allen Detaildaten des Profils bei Bedarf.
Ich hoffe jetzt hat es auch der letzte Investor verstanden…
Schönes neues Web 2.0 in Deutschland 2006.
Aber es gibt ja noch andere Gruppen, die sich dem Thema verschrieben haben, etwa den unsympathischen Verein: “Sich gegenseitig im StudiVZ geile Ischen zeigen”. Zwar distanziert sich die Gruppe von ihren Stalker-Verwandten, doch wie in den Beiträgen deutlich wird handelt es sich auch hier um eine Sexisten-Gruppe. So werden die Frauen nicht um ihr Einverständnis gefragt, es gibt eine überhebliche Wahl zur “fiesesten Fresse”, die vor unglaublichstem Sexismus trieft:
Sind hier Leute aus Berlin, die mal in der Saarbrücker Str. 38 vorbeischauen könnten? Vielleicht gibt es in diesem Altbau/Loft aktuell geschäftiges Treiben – oder es ist „Totenstille“ eingekehrt. Ist ja schon merkwürdig, dass auf einmal keine StudiVZ-Öffentlichkeitsarbeit mehr gemacht wird. Ist wirklich alles gut?
Ist der Artikel schon bekannt?
http://www.taz.de/pt/2006/11/30/a0145.1/text
“Wichsen und Wachsen”
@karl:
Warum sollten gerade Investoren damit ein Problem haben? Mit diesen Funktionen lässt sich doch sehr viel Geld verdienen. Und die User, so hört man, haben alle die AGBs abgenickt und haben kein Problem damit.
Ich glaube auch dass der Geist längst aus der Flasche ist, sprich wir werden in sehr absehbarer Zeit mehr oder weniger amerikanische Verhältnisse haben, einfach weil diese ganze Dienste so super bequem und nützlich und auch gut für die Wirtschaft sind. Ja, und Händyortung macht unsere Gesellschaft viel sicherer!
Es bringt auch kaum was, sich dem Ganzen zu verweigern – es sei denn man will schiefe Blicke seitens der Gesellschaft riskieren (siehe StudiVZ-Blog).
@318 – TAZ-Artikel
Es ist interessant zu sehen, was nun mit den Informationen in den Medien passiert. Es erinnert an das Kinderspiel “Stille Post”.
Zitat aus dem Artikel:
“Die ahnungslose Gewinnerin wurde daraufhin von allen Gruppenmitgliedern – um die 700 sollen es gewesen sein – gegruschelt.”
Dieser Satz vermittelt einen anderen Eindruck als die ursprüngliche Information vom Originalbeitrag von Don.
Bin gespannt, was “am Ende” herauskommt…
Wie der obige Google-Groopslink zeigt, scheint sich die Fachschaft Jura Rostock pudelwohl zu fuehlen, bei StasiVZ. Ein Schelm wer boeses dabei denkt.
310 wars
@Medved
Ist nur schlecht, wenn die Daten, wie das hier scheinbar der Fall ist, der Allgemeinheit zur Verfügung stehen.
Wird schwierig mit Open-Source Daten noch Geld zu verdienen.
Meiner Meinung nach wird es so enden, dass in absehbarer Zeit das ganze SV wie ein Phoenix aus der Asche steigt. Beseitigt sind die größten Sicherheitslücken, die Daten werden (hoffentlich besser) geschützt und man feiert sich. Jetzt wird gewartet bis die Abgesprungenen zurück kehren und das ganze teuer verkauft…
Man will sich dies bestimmt nicht mit vorschnellen Äußerungen zunichte machen bzw. noch mehr Öl ins Feuer gießen. Auch wenn man sich damit noch mehr Kritik (auch der eigenen User) aussetzt.
Natürlich nur, wenn das ganze nicht schon zuvor von Oben (Gesetzesvetreter, Geldgeber oder wer auch immer) eingestampft wird.
Für genug PR dürfte ja nun auch gesorgt sein ;-)
aber abwarten und weiter schmunzeln bzw. teilweise auch Angst um/vor der zukünftigen “Elite” haben.
basti: ich vermute das das VZ derzeit mächtig in der Klemme steckt.
sie dürften mit den neuen Mitarbeitern (die nicht vom Praktikantenwühltisch kommen) ihre Burnrate signifikant erhöht haben.
Der Ruf ist im Keller, jetzt verkaufen wäre wohl eher ‘Weg mit Schaden’, als der vermutete geplante Exit.
Jetzt darauf warten, das alles gut wird, das VZ performant und sicher läuft und die Bloggerkarawane weiterzieht, führt sehr schnell zu dem Punkt an dem die 2.5Mio alle sind. Und ob die VCs jetzt nochmal bereit sind in die Portokasse zu fassen und diese Wartezeit zu finanzieren, wobei man noch nicht weiss welche Dinge noch aus dem Giftschrank gezogen werden… (nach meiner Zählung dürfte der Don immer noch mindestens vier Kugeln im Lauf haben)
Ich denke das zumindest Holtzbrinck sehen wird aus der Nummer bald rauszukommen.
hmmm… ich habe mir gerade mal den neuen Blogeintrag vom StudiVZ angeguckt und auch die dahinter verlinkten Dinge…
mein Gefühl: man spielt auf Zeit. Man hat eine Diskussion, die im ersten Teil schonmal bis zum 3.12. laufen soll, dann soll (mindestens) ein zweiter Teil folgen, oder man ‘findet heraus’ das die Diskusssion für den ersten Teil noch zu kurz war, und hängt nochmal ne Woche dran…
Spiel auf Zeit…
Hi!
Ich hab heute einen Anruf vom Herrn Bemmann bekommen mit der freundlichen Bitte mein Programm,(Tool für die Analyse Sozialer Netzwerke, parst den Freundeskreis und erstellt daraus Graphen) nicht zu veröffentlichen. Die Presse könnte das sonst in den falschen Hals bekommen und eine Sicherheitslücke vermuten, so die Argumentation. Da ich kein Ärger mit dem Verein haben will, hab ich zugestimmt. Allerdings habe ich gerade festgestellt, dass mein Account gelöscht wurde, bzw ich mich nicht mehr einloggen kann. Davon wurde am Telefon natürlich nichts berichtet. So kann man sich natürlich auch nach und nach seinen Ruf zerstören. Obwohl der is ja eh schon im A****.
Quellcode werd ich jetzt offenlegen (die Argumentation eh sehr komisch weil alle Daten öffentlich zugänglich sind) und vielleicht noch ne kleine Anpassung schreiben mit der man Benutzerprofile auslesen kan ;) Nach der neusten Erkenntnis mit den Id-Nummerns sollte das ja kein Problem sein.
Hier mehr Infos zum Tool:
http://www.buha.info/board/showthread.php?t=52744
@IcePic:
LOL! Someone has pissed the wrong coder! ;)
Sehr fein, IcePic. :-)
Gibt es den Code auch am Stück, oder muss man sich den aus dem Thread zusammenpuzzeln?
Vllt. mal bei http://pastebin.com/ reinhauen?
Irgendwie funktioniert der Trackback bei mir gerade nicht richtig, deshalb hier ein Link zu einem kurzen Artikel über Probleme beim StudiVZ-Nachrichtendienst, der es teilweise ermöglicht, gefälschte Nachrichten zu versenden:
http://tdsotm.blogspot.com/2006/11/neue-hobbys-braucht-das-land-studivz.html
Ich denke ja, daß bis zum Nikolaus der erste SQL Dump bei meinem P2P-Händler des Vertrauens verfügbar sein wird.
Eure Einschätzung?
zur Klarstellen: Das ist _kein_ Aufruf irgendetwas zu machen
IcePic: Der Trick mit dem Direktzugriff auf die fortlaufende ID funktioniert allerdings nicht mehr.
@332: Der Algorithmus für id2ids() existiert. Ich werde es jetzt aber nicht aus den Kommentaren hier raussuchen. Der Rest ist dann
for( int i=0; i
Ich möchte zwar keinem den Wind aus den Segeln nehmen, aber ich sehe das mit den IDs nun nicht so schlimm. Bei MySpace kann man schließlich auch Zahlen anhängen und kommt so sogar öffentlich an viele Profildaten – und da habe ich bisher noch keine Datenschutz-Diskussion mitbekommen..
http://www.myspace.com/23466545 http://www.myspace.com/23466546 http://www.myspace.com/23466547 usw.
Das Problem beim Studivz ist natürlich, dass dort fälschlicherweise der Eindruck erweckt wird, es wäre sicher. Wären die Profile gleich öffentlich aufrufbar, dann wäre auch jedem klar, dass die Daten bei Studivz unsicher sind.
Allerdings sind ja solche für fachlich versierte Benutzer komplett unwirksame Schutzmechanismen durchaus nicht immer sinnlos – “Skriptkiddies” werden so zum Teil schon abgehalten, und so spart auch ein eigentlich unwirksamer Schutzmechanismus Geld, Zeit und Nerven (auch, wenn das mit dem id statt ids schon sehr schlampig ist).
du schreibst doch so gerne über das studivz.
das hier finde ich auch lustig^^ -> http://dmay.net/blog/?p=113
der verhaltenskodex des studivz
Zu 333:
Herrjemineh, die spitze Klammer wieder…
Also eben so:
for(int = 0; i !=MAX; ++i)
getProfile(id2ids(i));
Das dürfte IcePic aber vor echt unüberwindbare Probleme stelllen, ne? :)
Stephan: Sorry, übersehen. Das in #119 verlinkte Script liefert zu meiner ID allerdings eine falsche IDS. Sollte es funktionierende id2ids-Alorithmen geben, sind wir wieder auf dem Stand von vorgestern Vormittag. Übel.
@IcePic: deinen Thread hatte ich schon verfolgt, definitiv gute Arbeit… auch wenn der öffentliche Code eher zeigt, dass du eine Connection herstellen und daten auslesen kannst. Aber anhand der Infos ist es wahrscheinlich, dass du einen Graphen gebaut hast, was sicherlich möglich ist (an deiner Stelle würde ich aber nicht konkrete Personen als SVG/XML lesbar machen).
Und für alle, die sich nicht für FOAF und Graphentheorie interessieren: das Szenario, das Don Alphonso hier beschreiben hat, ist seit spätestens zwei Tagen sicherlich machbar. Und zwar anhand von Daten, die beim StudiVZ öffentlich verfügbar sind.
Solche Geschichten sind natürlich mehr als bedenklich, aber das ist nicht unbedingt etwas StudiVZ-spezifisches. Mir gefällt der Gedanke auch nicht, dass durch das Bashing gerade diverse StudiVZ Konkurrenten Oberwasser gewinnen, die mindestens genauso eklig sind. Aber es hängt wohl eher vom StudiVz ab, dass endlich etwas aufgrund der Kritik passiert.
@337: Dann lass uns mal hoffen, daß das daran liegt, daß man inzwischen einen brauchbaren Verteilungsalgorithmus genommen hat, der die Menge der möglichen ids pro id wirklich sicher aufbläst.
Sowas gibt’s übrigens zum Abtippen in Lehrbüchern…
Stephan:
Das würde bestehende IDs ja nicht tangieren. Schaust du dir das Script an, liefert es aber auch bei (gleicher) Eingabe unterschiedliche Ergebnisse.
Im Grunde ist die ganze Rechnerei unsinnig, wenn man nur eine sichere IDs generieren will.
@340: Dann sollte man, wenn man die Sache endgültig brechen will, nochmal ids2id() mit möglichst vielen Daten überprüfen und anschließend einem Mathematikstudenten (oder einem an Kryptographie interessiertem Informatik-Hauptsemester) einen Kasten Bier bieten. ;)
Not my job. Interessiert mich auch nicht genug, um dran zu grübeln. Ich finde die bisherige Trefferrate schlimm genug. Durch Kombination mit einem Graphendurchlauf (der IcePic so fasziniert hat) kriegt man mehr als genug Profile.
@341
habe mene berechnungen automatisiert mit ~42.000 ids/id kombinationen durchprobiert – in 100% der faelle erfolgreich. die zusaetzlich addierte zahl kleiner 283 kann ich noch nicht herleiten (wodurch eine id -> sid umwandlung derzeit auch noch nicht moeglich ist). jedoch kann ich sagen, dass die abweichung in der masse gleichverteilt ist – also auch nur von irgendeinem algo berechnet wird.
die “verschleierung” der IDs ist nur wirklich sinnvoll, wenn sie nicht berechnet, sondern einmalig und zufaellig generiert wird. alles andere ist nur eine frage der zeit, eine frage der logik.
@342
Im Klartext:
Du kannst dich jetzt durch alle Profile hängeln und die privaten Detailinformationen, z.B. incl. Foto, direkt mitparsen?
Wenn ja…
Die geparsten Daten noch in eine relationale Datenbank abspeichern und dann zeigen ein paar freiwillige Data-Miner/Profiler der “Ich habe nix zu verbergen, meine privaten Daten kann ruhig jeder sehen”-Fraktion/Generation welches Missbrauchspotential sich eröffnet.
Sage nur:Die Box des Pandora
Pandora ist ein Mädchen und ihre Büchse geht dich garnix an.
die frage ist ja: wofür haben die überhaupt id und ids?
die werden die id als key benutzen und die ids immer hin und her rechnen.
da kann man natürlich nix zufälliges nehmen…
@342: Wie sieht die Gleichverteilung denn aus? Werden von 0-283 alle gleich häufig gezogen? Könnte eine Art 283*random() dahinter stecken oder doch eher ein manuelles Breitschmeißen?
Wie lange dauert es wohl noch?
http://img222.imageshack.us/my.php?image=studivzrx5.png
Das ist natürlich eine Fake,Satire usw..Und noch kein Data-Ming…!
[quote]
Im Klartext:
Du kannst dich jetzt durch alle Profile hängeln und die privaten Detailinformationen, z.B. incl. Foto, direkt mitparsen?
[/quote]
Durch die Profile hangeln ist eingetlich nicht das Problem. Das Parsen find ich aber nicht ganz einfach. Kenn mich aber auf dem Gebiet nicht wirklich gut aus!
@348
Dann speichere erstmal nur den Stream mit den Profilen als HTML-Files ab. Natürlich nur wenn nicht das nicht illegal ist und so…
Ein Parser für die HTML-Files wird schon noch auftauchen.
z.B.
http://htmlcleaner.sourceforge.net/
Michi/342: ja, dein Ansatz funktioniert prima. Nur der umgekehrte Weg halt noch nicht.
karl/343: Der Weg über die ID wurde vorgestern blockiert. Zumindest bei den Profilen. Daher wäre ein zuverlässiger Algorithmus, der eine ID in eine IDs umwandelt nun ein Ansatzpunkt.
Oder eben das Durchhangeln über Kontaktlisten, wie damals bei Facebook, für das es auch bei StudiVZ inzwischen gleich mehrere Lösungen gibt (Das ist strenggenommen aber ein Feature, kein Bug).
IcePic/349: Damals, als viele Webseiten noch keine RSS-Feeds anboten, wurde das Parsen (und die Umwandlung in entsprechende Feeds) in Klein-Bloggersdorf zur weit verbreiteten Kulturform. Beim HTML-Output des StudiVZ ist es durch die “label” auch vergleichsweise einfach.
PS: [Quote] geht hier ganz klassisch mit [blockquote](…) [/blockquote] in spitzen Klammern. HTML halt.
id2ids ist doch über die bug liste möglich.
wie oben von stefan in #194 beschrieben.
in der adresszeile schön durchnummeriert die id (data[to_user_id]) durchlaufen lassen und im quelltext in zeile 240 die ids abgreifen (name=”data[to_user_ids]” value=”w8V”). arg schwierig ist das ja nicht…
StudiVZ – Der neuste BUG!
————————-
Ihr wolltet schon immer einer geschlossenen Gruppe beitreten? Hier das How-To:
0) Besorge dir deine USERID, über deine Profilseite bei Meine Seite:
http://www.studivz.net/profile.php?ids=USERID
1) Sucht euch eine geschlossene Gruppe, zB. die Total private StudiVZ-Gruppe:
http://www.studivz.net/group.php?ids=fB0x4T
Hier die GruppenId, zB. fB0x4T notieren oder in die Zwischenablage kopieren. Hier weiter als GRUPPENID bezeichnet…
2) Der Trick ist, sich selbst in die geschlossene Gruppe einzuladen…
Das funktioniert mit folgender URL:
http://www.studivz.net/groupinvite.php?ids=DEINE_USERID&&gids=GRUPPENID&save=1
In den Browser, Enter drücken, und du hast dich selbst in eine geschlossene Gruppe eingeladen und kannst beitreten…
Oh mann! Das war viel zu einfach!
Elias
@353
schon gaaanz lange offen, das loch :)
retour – ich kannte es bisher nur in dem kontext, dass auch ein nicht-moderator einladungen verschicken kann. bei geschuetzten gruppen war es mir neu.
“nett”! sehr “nett”!
oh man..
@ 353 …. das ist ja der HIT …
Nachtrag:
Zum Ausprobieren empfiehlt sich auch die Campus-Captains-Gruppe:
http://www.studivz.net/group.php?ids=L7n0T
Gruss,
Elias
oder die Gruppe WEBPRENEURE mit Lukasz, Kolja, Ehssan und weiteren 2 Mitgliedern :)))
Den Link habe ich leider nicht, bin nicht bei (mehr) bei Studivz
OMG, ich zitiere mich mal selbst aus dem StudiVZ-Blog:
Ich mein, obiges Leck ist zwar wieder fein, aber mittlerweile schon wieder alltäglich. Es wird bei dem Chaos nicht mehr lange dauern, und ein Dump derer Daten ist zu haben – wenn nicht diverse Kreise diese schon haben… ;-)
und schon ist kaffeepause….
O Mann…. ! Jeden Tag ne neue Nettigkeit….
Ich bin wohl leider zu spät. Was gabs denn bei den Campus Captains Interessantes ? ;-) Oder bekommen wir das demnächst in einem neuen Blogartikel zu lesen ? ;-)
Schade, eigentlich…
12:52 – StudiVZ ist wieder down
(Koffeinschock / Wartungsarbeiten)
naja, ihr muesst es so sehen:
jeder hier berichtete fehler oder sicherheitsloch fuehrt inzwischen _direkt_ zu einer reaktion – und das, muss ich mal sagen – ist wirklich vorbildlich. in der hinsicht haben sie wirklich massiv dazu gelernt, zudem ihnen die analyse von x-“experten” massiv zu gute kommt: das system wird mit jedem gestopften loch sicherer, zudem ist es besser fuer die pr wenn sie alle in einem kleinen zeitraum direkt hintereinander kommen, alswenn die meldungen ueber ein jahr verteilt immer und immer wieder das unsicherheits-bewusstsein in den koepfen der studenten/leuten hervorruft.
insofern helfen wir derzeit alle mit, dass das vz irgendwann (…. irgendwann…) ein sicheres system sein wird, welches eben durch diesen massiven oeffentlichen pruefstand den es gerade durchlaeuft – schlicht und einfach seinen marktkonkurrenten ueberlegen sein wird.
don, schreib in nem monat mal ne rechnung wegen beratungstaetigkeiten :_)
Ob das wirklich an der oben genannten Lücke liegt?
Kommentar im blog sieht anderst aus:
http://www.studivz.net/blog/?p=89
… Außer sie halten das für nen “XSS-Angriff”
..und diesmal sogar mit einer “zeitnahen Information”…
Lasst mich raten: bitte, bitte nicht veröffentlichen, an uns schicken, dafür gibbet
nen Acount bei uns2,50 Euro – was ja für die Leute gar nicht schlecht ist, für die Leute bei StudiVZ aber ein Offenbarungseid…Was es da wohl für “Neuigkeiten” gibt?
Ich könnte mir auch vorstellen, dass die die oben angegebene Lücke für als XSS-Angriff bezeichnen, der letzte war ja auch Phishing…
Ob die überhaupt noch Schlaf bekommen? Ich hätt ja gern ne Webcam von deren Räumlichkeiten…
Ja, irgendwie ist es hier ja echt wie ein kostenloser Bugtracker für StudiVZ.
Letzten Endes stehen die Kritiker dann auch noch dumm da, denn “die Löcher werden ja gestopft, und jetzt ist alles viel, viel sicherer.”
Vielleicht lieber die Bugs zuerst an Don Alponso schicken, damit er sie erst medienwirksam aufbereiten kann. :)
Und mit dem Wissen aus den geschlossenen Gruppen kann man ja anscheinend Einiges anfangen ;)
@StudiVZ:
You can run, but you can’t hide…
Ihr rennt wie ein Hamster im Laufrad, die Architektur der Anwendung ist komplett vermurkst. Ihr macht alles nur noch schlimmer.
Siehe #349
Das war’s dann…
Das mit dem Parsen wird IcePic raushaben, sobald ihr wieder online seit.
@IcePic:
Mit den Daten könnt ihr dann ein sicheres J2EE-basiertes Open-Source StudiVZ bauen. Geht auf jeden Fall schneller als ein Code-Review bei dem aktuellen Schrott. Das wäre doch mal wieder ein schönes Beispiel für deutsche Ingenieurskunst.;-)
Bin raus… Letzter Post…
Hole mir jetzt das Popcorn und lasse den Dingen ihren Lauf….
Ich finde es ehrlich gesagt unmöglich das hier in den Kommentaren öffentlich dazu aufgerufen wird die Daten per Skripts einzusammeln. Man kann doch das Sammeln der Daten nicht damit rechtfertigen dass man zeigen will wie einfach es ist die Daten einzusammeln. Ich bin natürlich froh das jemand die Sicherheitslücken aufdeckt, wird ja Zeit das sich StudiVZ mehr mit der Sicherheit des Systems beschäftigt. Aber die Art und Weise in der das hier mittlerweile diskutiert wird trägt doch eher dazu bei dass die Daten tatsächlich misbraucht werden anstatt zur Schließung der Lücken. Wenn ich irgendwo ein Auto sehe in dem der Schlüssel steckt klaue ich das doch auch nicht mit der Rechtfertigung der Fahrer sei selbst Schuld…
@Andre
Das stimmt so nicht. Die Ver̦ffentlichung eines Bugs HIER gleicht im Prinizip einer direkten Meldung an das StudiVZ Рdu siehst es doch selbst.
StudiVZ fordert aber die Geduld der Leute m.E. ziemlich heraus, indem es einerseits still und leise an den hier aufgezeigten Problemen werkelt, offiziell aber alle Kritiker als dämliche, neidische Egozentriker mit einer Tendenz zur Panikmache darstellt.
Das offizielle Blog lebt im Prinzip davon, dass dort alle zwei Minuten ein Student mit einem Mitteilungsbedürfnis aber ohne Zeit zum Lesen von Kommentaren oder gar Nachdenken auftaucht.
@Andre: es wird hier nicht zu irgendwelchen skripts aufgerufen. aber die bugs und löcher bei studiVZ sind auch nach zwei wochen hektischem herumflicken an studiVZ von so erschreckend geringer fallhöhe, das jedwede umschreibung der bugs im grunde genommen schon eine quasi-anleitung zum script-schreiben darstellen.
beschwer dich bei studivz, dass sie immer noch keine adäquaten projektstrukturen einrichten konnten. und nach studiVZ-lesart, hat es ja sowieso keine “bugs” gegeben, sondern nur zwei “XSS-angriffe”.
immernoch….
Ich kann Andre nur zustimmen.
Das die Daten öffentlich sind, ist noch keine Grundlage diese zu kopieren und auszuwerten (Graphdarstellung). Die in der *****-Gruppe vorgestellten Frauen hatten ihre Bilder und Daten auch öffentlich zugänglich.
Davonabgesehen fallen sind Datenbanken, auch wenn sie öffentlich sind, durch das Uhrheberrecht geschützt. (§4 UrhG)
@372 (Andre):
“Wenn ich irgendwo ein Auto sehe in dem der Schlüssel steckt klaue ich das doch auch nicht mit der Rechtfertigung der Fahrer sei selbst Schuld…”
Nur zur Info: Wenn der Fahrer eines Auto’s den Schlüssel stecken lässt, riskiert er ein Knöllchen und seinen Versicherungsschutz. Natürlich klaue ich in so einem Fall nicht das Auto: Entweder ich gebe den Besitzer bescheid (wenn ich ihn kenne oder meine zu kennen) oder die Grün-Weisen (neuerdings Blau-Grauen) kümmern sich darum.
@Hampomat: Wo liegt das Problem, ich werde doch von mir und meinen Freunden einen Graph erstellen dürfen??? Es ist doch schließlich ein Feature von sVZ, auf alle Daten zugreifen zu können! Und das mit “öffentlichen Daten” ist nich so einfach mit dem UrhG: Suchmaschinen wären nach der Definition nicht legal. Ob die Daten in einer DB liegen oder nicht: Auf die Darstellung (View) kommt es an.
Wer ist interessiert an VZ Alternative?
Habe Code (m)einer bereits produktiven Plattform.
Kein Witz, kein Fake.
Denke da an “krush” und co, meldet Euch.
ich hab interesse. bitte mail schreiben.
sorry. mail ist zhongshan88 at googlemail
@378: Ich habe auch schon mal darüber nachgedacht…
…aber nie wirklich Zeit dafür gefunden (an den Ideen & KnowHow mangelt es nicht). Der Code ist nicht das Problem (coden können wir allemal besser als sVZ’lis) – das Konzept muss stimmen (80% Planung, 20% Programmierung).
Let’s discuss privately ;)
.com ist die Endung von googlemail Adressen, oder? Hab gerade was geschrieben
Irgendwie sehe ich das rechtliche Problem nicht im automatisierten Datensammeln. Datenschutzgesetz §sonstwas ist doch völlig irrelevant, weil die Daten nunmal öffentlich zugänglich sind und es ein Feature ist Profile anderer Leute ansehen zu können und damit ja auch auf den Rechner zu übertragen/kopieren. Also wo soll das Problem sein das ganze per script erledigen zu lassen?
Ich denke mal, dass Du damit sicherlich gegen die AGBs des Betreibers verstößt (ohne diese gelesen zu haben). Der Betreiber sollte in seinen AGBs den Sinn und Zweck der Seite bekanntgeben und Zweckfremde Handlungen ausschließen.
Öffentlich zugängliche Daten kann jeder anschauen, denn dazu sind sie ja da. Und ob mir nen Computer dabei hilft ist imho noch nicht weiter schlimm. Ist doch keine geschützte Datenbank, sondern frei abrufbare Informationen.
Und alle “Features”, die man sich durch ändern der url erschleichen kann sind einfach nur Unfähigkeit vom studivz und absolut nicht böse. siehe Einladen in “geschützte” Gruppen.
Real-Life-Cheating
In den allermeisten Computerspielen gibt es Cheats, geheime Kommandos, die der Spielfigur Unverwundbarkeit oder unendlich viel Munition verleihen. Neuerdings gibt es jetzt auch ein paar solcher Codes fÃŒr unser echtes sozialen Leben. Naja, zumindest fÃ…
Da musst du schon selbst drauf’ kommen!
@ 378
Ich hab Interesse!!
Bitte um Mail: facebook at gmx de
@349: Die StudiVZ-Profile zu Parsen ist ein Kinderspiel. Das Stichwort hierbei ist “Regular Expression”. Einfach mal den Quellcode der Seite anschauen. Tabellenzelle auf, Beschreibung, Tabellenzelle zu & auf, Inhalt, Tabellenzelle wird zu: /(relationship&q=)(.+)(\”>)(.+)()/
Ich schreibe gerade an einer Seminararbeit zu Sicherheit und Datenschutz in sozialen Netzwerken, dafür habe ich die Nutzerdaten zweier Hochschulen meiner Heimatstadt gesammelt und werde diese nach amüsanten Auffälligkeiten untersuchen, beispielsweise wieviel Prozent aller angemeldeten Informatiker der Uni single sind.
In der letzten Klammer fehlt ein Tag zum schließen eines Links. Das Prinzip dürfte aber trotzdem klar sein.
Don, dogfood, wer auch immer: Hier gibts eine kleine Aufwandsentschädigung: http://www.presseportal.de/story.htx?nr=908577
oh, ist wohl schon im naechsten Eintrag erwähnt :)
Grade bei der recherche was super niedliches gefunden:
“It turns out that Studivz is the German version of Facebook! It looks similar to Facebook, only everything is red.”
http://www.matei.org/currants/2006/11/29/studivz/
———–
könnte mensch sich auch in facebook auf käfersuche machen oder m8 das wenig sinn, weil das doch sehr verschieden ist?
@manuel/390: Und was steht dann unter »Danksagungen« in deiner Arbeit: „Ich danke StudiVZ als Anschauungsbeispiel“ ;-)
@atari: Der Blogeintrag hat gerade meinen Abend gerettet
@377, 384, 386, 389 und alle anderen “sind ja öffentliche Daten”-Argumentierer
Nur weil etwas öffentlich zugänglich ist, heißt das noch nicht, daß es nicht rechtlich geschützt ist. Vergleiche z.B. Bücher in einer öffentlichen Bibliothek, Komplettübernahme von Websites, Fotos, etc. Und speziell auch Datenbankwerke.
Zu dem Beispiel mit dem steckengelassenen Zündschlüssel im Auto: natürlich ist das fahrlässig, trotzdem ist reinsetzen und wegfahren Diebstahl.
Was habt ihr euch so über die *****-Gruppe aufgeregt? Speziell über das Posten der Profilbilder und die Namens- und Adressnennung? War doch alles öffentlich zugänglich.
Ach des ist jetzt doch wirklich Unfug. Warum Bücherei? In ner ordinären Buchhandlung stehen auch die Bücher rum und ich kann reinschauen, wenn sie nicht grad verschweißt sind. Nur hat die auch jemand geschrieben und ist somit der Urheber. Ich glaub aber kaum, dass ich der Urheber bspw. meiner Adresse oder Handynummer bin.. Datenschutz ist ja nochmal was anderes als Urheberrecht.
nabend auch!
mal ne frage offtopic:
gibbet noch mehr seiten die derart unverschämte lücken aufweisen?
ich denke da z.b. an liebesalarm.de o.ä.
bei dem studi-ding fühl ich mich auf jeden fall net sicher genug, auch wenn meine kollegen alle da sind. musst halt icq reichen
gruß
@398: …kleiner hinweis: http://bytebreaker.by.funpic.de/icq.html
StudiVZ macht Pause – Fuer immer?
Na sind denn nun bereits Semesterferien? Oder warum ist StudiVZ derzeit offline?
Pause
Ene mene meck, die Seite die ist weg!
Mit ein bisschen Glück kommt sie bald zurück!
Ernsthaft Leute, wir hauen rein -auch ohne Kaffee- und sind bald wieder…
@396: Noch mal zur Klarstellung: Wenn die Profile öffentlich erreichbar sind, hat JEDER das Recht, sich diese Profile anzusehen. Dass es dabei zu Missbrauch kommt, indem die Daten automatisert gesammelt werden dürfte auf der Hand liegen – das ist das Tagesgeschäft der Adressensammler, möglichst aktuelle, realistische und detaillierte Profile zu sammeln, um sie dann gewinnbringend zu verkaufen. Bei diesen eklatanten Lücken drehen sich bei diesen Miesen Geschäftemachern die Dollarzeichen. Nun verdient eben nicht nur sVZ an den Daten :) Es dürfte klar sein, dass dieses Profilesammeln nicht legal ist – schließlich hat der Datensammler keine Einverständniserklärung des “ausspionierten” Nutzers (eben jener Nutzer hat das Recht, seine eigenen Profile selber kontrollieren zu dürfen -> Grundrechtprinzip)! Natürlich interessiert das diesen Spam’merabschaum nicht im geringsten.
Du versuchst etwas zu verteidigen, wo es nichts zu verteidigen gibt. Das Datenschutzkonzept von sVZ ist bislang für die Tonne (es ist nach alledem, was bislang ans Licht kam fraglich, ob sich das ernsthaft ändert – warten wirs mal ab, wenn sVZ keinen Kaffeé mehr drinkt). Es kann und darf nicht sein, das standardmäßig das Profil offenliegt wie ein Scheunentor. 80% der sVZ-Nutzer haben keine Ahnung davon, dass ihr Profil so öffentlich ist, dass man alles auch direkt bloggen könnte. Das wäre eine Sache, die zu Bemängeln wäre. Die andere Sache ist Grundlage dieses Threads: Die vorgegaukelte Sicherheit. Da werden Sicherheitsmechanismen angepriesen, die KEINE sind. Und davon wissen wirklich nur die Wenigsten sVZ’ler etwas: Man wiegt sich in Sicherheit, die garnicht existiert. Es kann aber auch keiner kommen und argumentieren: “Wer das macht ist selber schuld.” Die Rechtslage ist diesbezüglich ziemlich eindeutig, was die Verantwortung eines Betreibers eines solchen Portals angeht. Es dürfte nur eine Frage der Zeit sein, wann ein (fähiger UND sachkundiger) Staatsanwalt zuschlägt…
sVZ hat bereits fahrlässig gehandelt, weil nachweislich KEIN Schutz vor dem automatisiertem und anonymisierten Datensammeln implementiert wurde (daran wird wohl gerade gebastelt). So ein Skript zu schreiben kann (fasT) jeder: Ein paar Zeilen in Perl, ein wenig RegEx und ein Bot ist fertig. Und das Ganze am Rande der Legalität (Webseiten Crawling ist ja nicht verboten).
sVZ hat GROB fahrlässig gehandelt, weil bewusst Sicherheitsfeatures eingebaut wurden, die sich in kurzer Zeit als Witz herausstellten (id-ids-Problematik; Sessionid’s, welche aus timestamps generiert werden u.s.w). Da machen PHP-Anfänger schon mehr Gedanken über ein vernünftiges Sessionmanagement.
Meine Meinung: Wer es nicht drauf’ hat, der sollte es sein lassen.
Wer es nicht sein lassen will, der soll wenigstens darauf hinweisen (auf jeder Seite), dass alle Türen und Tore offen stehen und jeder den Service auf eigene Gefahr benuzt.
Wer dass aber nicht macht, sollte abgestraft werden.
@398 Mir sind übrigens etliche weitere Portale bekannt, die ebenfalls RIESSIGE Lücken aufweisen – selbst solche, wo man dachte, dass es sie nicht mehr gibt (SQL-Injection, PHP Globals etc). Bei liebesOblubO kenne ich mich nicht aus (ich brauche es nicht :o)))
@400 sVz macht Pause für immer? Hoffentlich!
Langsam habe ich das Gefühl, dass sich eine “HabAchtWelle” im sVZ verbreitet. Ich konnte schon über 30 Leute dazu bewegen, sich Ihren Status im sVZ zu überdenken – mehr als die Hälfte hat den Account aufgekündigt (auch wenn das nicht viel bringt- die Daten bleiben ja erhalten – aber ein guter Protest denke ich).
Die studiVZ Chroniken
Dies soll ein Versuch sein, die Geschehnisse um das StudiVZ nochmal chronologisch zusammenzufassen. So etwas wurde schon von Michael hier und von Karsten hier (auf englisch) getan. Ich versuche das aber noch etwas ausfÃŒhrlicher (und auf deutsch) zu sc…
denn dieses allg. bekannte und beliebte studenten-ficktreff-nichtstudenten-abschlepp-verzeichnis ist ein billiger abklatsch des amerikanischen Facebook !die ähnlichkeit ist mehr als verblüffend. der gründer vom studiVZ Ehssan Dariani hat dies bereits zugegeben und sich auch dafür entschuldigt. falls die das noch nicht geändert haben, dann sollte man mal auf die ordnerstruktur des servers achten. da liegt das ganze nämlich unter dem pfad: usr/www/users/fakebook/…php
das amerikanische facebook soll wohl auch verkauft werden. für einen riesen batzen geld. wenn das studiVZ da mitziehen sollte, dann haben Dariani und seine zwei kompanen gut ausgesorgt.
ich bin wohl auch bei weitem nicht der 1. der sich darüber gedanken gemacht hat und ich mache das auch nicht erst seit heute. ich find das studiVZ an sich nicht übel. darüberhinaus haben die “macher” auch noch weitere funktionen geadded, die das FB nicht aufweist. ok, wem gehen die ständigen ausfälle, ewige ladezeiten der seiten und folgende meldungen
Big brother is watching you
Habe nur ich das GefÃŒhl oder geht es wirklich so rasant mit dem Datenschutz in Deutschland bergab?
Aufgeschreckt durch diese Meldung und den begleitenden UmstÀnden rund um das Social network StudiVZ und anderer Communities ÃŒberkommt mich so langsam …
Security – 1 – StudiVZ
I was quite a bit less active the week before this one. For one I was really a bit tired and a second reason was, that I was looking for advise on security meassures. I already knew OWASP and think it is a great resource.One of the things I followed was
Hi.
Ich verstehe nicht was ihr für ein Problem habt!
Wenn euch die mangelnde Sicherheit bei studivz.de stört, warum meldet ihr euch dann nicht einfach ab?Dann kann keiner eure so wertvollen Daten einsehen und die Leute die es nicht stört sowie die Macher von studivz.de haben ihre Ruhe.
Ich habe manchmal das Gefühl dass es dabei einfach darum geht irgendwie alles schlecht zu machen.Auch wenn die Idee aus den USA geklaut ist, haben die Jungs mit studivz.de echt was cooles auf die Beine gestellt, warum muss man denn jetzt wegen dieser Sicherheitslücken solchen Terror machen?
Also damit kein falsches Bild aufkommt, ich bin nicht naiv und habe keine Ahnung von Datenschutz, sondern finde es einfach falsch dauerhaft “dagegen wettern” zu müssen. Wenn ihr es so drauf habt, dann helft doch den Leuten von studivz.de die Sicherheit zu verbessern, ist doch wesentlich produktiver als hier nur einen Blog nach dem anderen zu eröffnen und zu meckern.
Ich hoffe ihr versteht das nicht falsch, es ist wirklich nicht böse gemeint, sondern ich versuche einfach das mal aus einer anderen Perspektive zu betrachten.
Mit freundlichen Grüßen,
Alex
StudiVZ gehackt???
“Sicherheitsmassnahme – bitte neues Passwort erstellen:
Wir haben den begründeten Verdacht, dass Unbefugte heute versucht haben, sich Zugriff zu studiVZ zu verschaffen.
Zu Deiner Sicherheit ist Dein bisheriges Passwort nicht mehr gültig.
Um Dir ein neues Passwort zu erstellen, gib bitte Deine Emailadresse unten an. Du bekommst dann eine Email von uns mit einem Link, um Dir ein neues Passwort zu erstellen.
Wir entschuldigen uns für das Problem und danken für Dein Verständnis!”
“Sicherheit geht vor!
Wir werden in wenigen Augenblicken für ca. 3 Stunden offline gehen.
Danke für Dein Verständnis.
VG
Ehssan Dariani.
(Tip für die Wartezeit: Besser Lernen!)”
DAS MIT DEM NEUEN PASSWORT ANLEGEN KLAPPT ABER LEIDER NICHT!!
BEKOMME DIE FEHLERMELDUNG “Fehlerhafter Reset-Link”!!
UND NUN?? ABWARTEN UND TEE TRINKEN …
Meldet euch einfach ab? Guter Witz.
Ich komme seit ein paar Tagen in das Mistding gar nicht mehr rein… wenn ich versuche mich anzumelden oder ein neues Passwort anzufordern lande ich automatisch auf der logout-seite; wenn ich eine Beschwerdemail abschicken möchte passiert schlicht gar nichts.
Ich dachte erst, das hat etwas mit der Passwort-Aktion zu tun, aber nachdem sich dort nicht, aber auch gar nichts getan hat..
Ich würde mich wohl durchaus abmelden, wenn ich denn die Möglichkeit hätte.
@Stif
Ich glaub nicht, daß studivz gehackt ist, das ist bestimmt irgendwas Abgesprochenes mit dem Verfassungsschutz.
Was dein Profil betrifft: Vielleicht ist es einfach gelöscht?
Das coole ist, daß all meine Freunde noch drin sind. Hab meinen Account gelöscht, aber trotzdem: Hast du solche Freunde, brauchst du keine Feinde mehr. Die labern ja weiter unter ihrem Realnamen über die, die sie kennen, setzen Fotos in ihr Profil, wo du auch drauf bist etc.
Wie gefährlich das alles sein kann checken ja viele gar nicht: Da war ein Mädel (schätze nicht älter als 16, 17, die wollte sich mit einem da treffen.
Hab mir das Profil von dem Typ angschaut und mir nur gedacht – *urgs*. Ein Fake halt, wahrscheinlich irgendein alter, pädophiler Sack, und das Mädel war ganz auf dem Trip “Endlich geht ein Traum in Erfüllung. Ganz übel …
[…] Lustig: StudiVZ lud die Hacker sogar ein. Für jedes Loch gabs 256€. Dass da vorher schon Hacker aktiv gewesen sein müssen, die nicht nur 256€ im Sinn hatten, liegt sehr nahe. Würmer gab’s vorher schon und auch die Möglichkeit, automatisiert Profile abzugrasen und alle Benutzerdaten auszulesen. Was damit alles hätte gemacht werden, darf sich an dieser Stelle jeder selbst ausmalen. […]
Einmal Beta, immer Beta?
Nachdem sich alles etwas beruhigt hat, dachte ich mir, schaun wir doch mal nach, was sich in den letzten Monaten dort so entwickelt hat, und siehe da:
“Sicherheitsmassnahme – bitte neues Passwort erstellen:
Wir haben den begründeten Verdacht, dass Unbefugte heute versucht haben, sich Zugriff zu studiVZ zu verschaffen.
Zu Deiner Sicherheit ist Dein bisheriges Passwort nicht mehr gültig.
Um Dir ein neues Passwort zu erstellen, gib bitte Deine Emailadresse unten an. Du bekommst dann eine Email von uns mit einem Link, um Dir ein neues Passwort zu erstellen. Bitte habe etwas Geduld. Es kann bis zu 24 Stunden dauern, bis die Email dich erreicht hat.
Wir entschuldigen uns für das Problem und danken für Dein Verständnis!
Dein studiVZ-Team”
@Dirk
gähn … das ist jetzt aber wirklich SO ein alter Hut.
[…] Blogbar: Sicherheitslücke […]
ich finde es grandios. was für ein missgeschick, da schreibt das studivz heute middag noch:
Studivz präsentiert: blabla Rom in Rot
in diesem Film wird gezeigt wie studis rom mit studivz zeug bombadieren…
anscheinend ist den jungs jetzt aufgefallen das es zwar nicht schlimm ist was da passiert, nur eine offensichtliche verbindung zu dem viedo vielleicht nicht das beste ist
jetzt sind es nur noch studenten in rom, tja aber so was kennt man ja
[…] So sehr sich Herr Schaar doch um die Privatssphäre seiner Bürger kümmert, um so weniger kümmern sich die Bürger um ihre eigene. Schon seit langem, genaugenommen seit dem ersten erscheinen, ist das Payback-Kartensystem in der Kritik der Datenschützer. Doch noch immer laufen Leute mit diesen Karten in den Supermarkt und verscherbeln ihre Datenprofile für einen Bruchteil dessen, was sie Wert sind. Nach dem StudieVZ-Debakel, den Kommentaren, die manch ein vernarrter fanatischer Anhänger dieser Community selbst, in den Blogs die sich der Sicherheit und dem Datenschutz verschriehen haben, ist nicht der geringste Funken im Bereich Schutz der Privatssphäre übergesprungen – statt dessen macht sich, so muss ich gestehen, bei mir eine Resignation breit. Da redet man sich den Mund fusselig (andere sind da kreativer, oder auch direkter: StudiVZ – Irgendwann kommt mir ohne Sicherheit das Essen hoch.), erklärt Freunden, wie schlimm die Ausmaße des Ganzen sind, und dass nicht alle, die die Daten abgegrast haben, so bewußt damit umgehen und die Daten lediglich für Sicherheitsvorträge aufbereiten, sondern mit Sicherheit sehr viel Schandluder damit getrieben werden wird. Selbst die kritischen Berichte der Presse wurden gnadenlos ignoriert. […]
[…] Schauen wir uns doch mal schnell um, was es Neues gibt. Die nächste Sicherheitslücke beim Don: Profilnummern, die nicht wirklich verschlüsselt sind. Unglaublich aber wahr: Es wurde anscheinend gefixt, kurze Zeit später der Fix aber wieder geknackt (siehe Comments – no Comment by me). Die Coder, die die Würmer eingeschleust haben, haben sich bei Jörg-Olaf gemeldet, der findet das aber gar nicht so toll. Heise ist auch weiter dabei und berichtet von einem Verhaltenscodex, der eingeführt werden soll, wie ein Gründer mitteilte. IMHO übliches PR-Blabla, Nebelkerzen um abzulenken. Der interessanteste Link geht an die Humboldt-Universität in Berlin, dort warnt der ReferentInnenrat mittlerweile vor StudiVZ. Was soll ich dazu sagen? Alles ist gut. *rolleyes* […]
[…] Ich hab mir sowas schon länger gedacht. Die ganze Sozialisierung vom Web2.0 ist zwar schön und gut. Aber das kann natürlich auch nach hinten losgehen. Es gab ja nicht nur einen S k a n d a l um StudiVZ. Dennoch wird diesem jungen (oder inzwischen altem?) Web2.0 Start-Up viel Vertrauen entgegen gebracht und die deutschen Studenten gruscheln munter weiter. Nur: Wo soll das denn hinführen? […]
[…] Dass Blogger die darauffolgenden Tage weitere massive Datenlücken entdeckten, StudiVZ weiter schönredete, von Phishing sprach, obwohl es ein Wurm war und nach wie vor an Kartoffelbrei mit Sahnesoße glaubt, brauche ich hier nicht weiter zu erwähnen. Na, vielleicht den diese Lücke hier noch. […]
[…] Hier […]
Für alle, die glauben, daß studivz per se sicher ist, sollten mal einen Blick auf http://www.sqlexikon.de werfen. Ist zwar ein bißchen technisch, erklärt aber ziemlich gut das Szenario von sql injections, wie sie auf vielen Websites / Datenbanken möglich ist. Ich hab meinen studivz account gelöscht.
Ist dat scheiss Studivz jetzt eigentlich sicherer oder kommt man immernoch mit billigen Tricks rein? Der trick mit dem “SELBST-EiNLADEN” funktioniert doch wohl nicht mehr, oder etwa doch?
Geil auch, dass TYPEN ne Gruppe bilden: NACKTFOTOS von Frauen und dann nur mädels reinlassn… DER GRÃœNDER BEKOMMT SO MASSIG AMATEUR-PORNO-WARE..
Grüsse
aber immerhin geht die Gier auch manchmal zu weit
http://faz-community.faz.net/blogs/netzkonom/archive/2007/11/23/wie-studivz-750-millionen-dollar-vergeigte.aspx
[…] Insofern hab ich vollstes Verständnis für StudiVZ, wenn sie ihren Werbekunden künftig ebenfalls eine zielgerichtete Bannerauslieferung ermöglichen wollen. Von darüber hinaus geplanter SMS- und Instant-Messenger-Werbung wurde inzwischen ja wieder Abstand genommen. Und auch die Bannerauslieferung an Nutzer auf Basis ihrer Gruppenmitgliedschaften ist (zumindest im 1. Schritt) lt. Auskunft von StudiVZ noch nicht vorgesehen: Wir können ab Januar zunächst nach Geschlecht, Wohnort, Hochschule und Studienrichtung targetieren. Passend dazu auch ein Brief des Berliner Datenschutzbeauftragten. Ich wandte mich mit einer Anfrage an ihn, nachdem im letzten Jahr gravierende Sicherheitslücken bekannt wurden. Auch hier scheint Besserung in Sicht: […]
[…] StudiVZ, bekannt durch ihre netten Gimmicks, damals etwas suboptimaler Verschlüsselung und netten Datenschutzbestimmungen, hat es auf die Kiffer abgesehen. Taucht ein Bild auf, das einen solchen oder gar mehrere dieser zeigt, dann kann man deren Daten nun O-Ton “gottseidank endlich bei Ermittlungsersuchen an die Polizei weitergeben”. Aber nicht nur deren Daten, sondern die der kommentierenden Menschen gleich noch mit dazu und das im Schnitt zehnmal pro Woche. Daß sich schon zuvor 65% der User dort im Klaren darüber waren, daß ihre Daten dort keinesfalls sicher sind, das erwähne ich mal so nebenbei, ebenso wie daß ca 70 Studenten extra dafür da sind, um die Inhalte nach illegalen Dingen zu durchsuchen, ebenso wie daß über 5% der Profile dort sowieso gefälscht sind und daß die Polizei, Anwälte und StudiVZ-Betreiber halt mal so davon ausgehen, daß das schon so stimmen wird, wenn so ein Bild da bei einem Profil mit eingebaut wurde. Klar doch. Immer. Zumindest immer öfter, oder so. […]
[…] Weil ich diese Netzwerk-Geschichte sowieso nicht so recht begreife, habe ich nicht so intensiv mitgelesen. Aber jetzt ist was lustiges passiert: bei DonAlphonso hat Michi erklärt, daß die verschlüsselten IDs, die von StudiVZ verwendet werden, doch nicht so sicher sind: er berechnet zu jeder verschlüsselten ID die laufende Nutzer-Nummer. […]
Hihi – es gibt also tatsächlich irgendwo da draußen Windows User mit Hirn – hat mich ehrlich überzeugt (auch wenn es nichts Neues war – seinen wir uns einmal ehrlich – solche Dienste sind ohnehin für den Allerwertesten), aber sehr informativ und überzeugend – mein Lob welches euch ohnehin nichts nützt, aber es geht mehr um den moralischen Aspekt ;o)
lg
[…] Oder aber regt euch darüber auf das StudiVZ früher massenhaft Sicherheitslücken hatte, Hacker das komplette System sogar lahmlegen, bzw. Mitgliederdaten “abgrasen” konnten! Eure Daten deswegen unsicher waren bzw. sind, weil StudiVZ sehr lange auch ein unsicheres System mit vielen Macken und Fehlern hatte und streckenweise sogar noch immer hat! […]
ob das auch mit svz funktioniert..?
wäre mal interessant zu wissen. ;)