Hi Jojo, ich hätte jetzt gerne eine Fortsetzung hiervon, und zwar, wie ich durch eine Bresche in die von diversen Sicherheitslücken Belästigungs– und Nazipostillenskandalen erschütterten Startupburg StudiVZ reite, die Lanze eingelegt und sich der Junge aus dem Morgenland vor mir in den Turm zu retten versucht, wo das Kapital gerade bittere Tränen vergiesst. Denn StudiVZ hat mal wieder ein irrwitziges Sicherheitsproblem, das das weitestgehende Ausspähen anderer Leute erlaubt.

Also, stellen wir uns mal vor, wir sind so ein universitärer Stalker. Wir waren in der berüchtigten *****-Gruppe, wir haben mehrfach die Blogbar gespamt, wir sind der echte Abschaum des Netzes und finden es geil, wenn wir ganz einfach anderen was anhängen können. So wie unserer Mitstudentin Susi, die uns für einen stinkenden, versoffenen Schwachkopf hält und das auch deutlich zum Ausdruck brachte, als wir versucht haben, sie zu betatschen. Jetzt sitzen wir also im Projektraum, Susi ist an einem PC und grinst sich eines, kichert und hat offensichtlich Spass. Wir ärgern uns, wir würden ihr nur zu gern zeigen, was es heisst, uns anbetteln zu müssen, weil wir etwas über sie wissen, was keiner wissen darf. Du, Susi, sagen wir, ich müsste auch mal ans StudiVZ, sagen wir. Aber bitte, sagt Susi, logt sich aus und lässt uns ran. Und damit haben wir sie im Sack, wir können spielend leicht sehr viel über Susi herausfinden. Denn StudiVZ ist

SO BESCHISSEN PROGRAMMIERT, DASS WIR PROBLEMLOS AUF IHR VERHALTEN BEI STUDIVZ ZUGREIFEN KÖNNEN.

Und das ohne Hack, ohne Erraten von URLs, einfach mit einem einzigen Button und unserem Password. Denn zuerst loggen wir uns auf dem geöffneten Browser wieder mit unserem eigenen Benutzernamen ein – am besten mit einer Fakeidentität, deren Besuche nirgends angezeigt werden. Das sieht dann so aus.

Und jetzt brauchen wir nur noch ein Werkzeug, um Susis letzte Zeit bei StudiVZ zu durchschnüffeln. Es ist ganz einfach – der grüne Rückwärtsknopf links oben beim Firefox oder bei diesem anderen Browser, na, Internet Explorer, glaub ich heisst der. Den drücken wir einmal, kommen auf die Einlogseite, dann nochmal und Oooops:

“Aber Du kannst Dich nicht selbst gruscheln”, steht da. Nanu? Wir haben niemanden gegruschelt, das muss wohl ein Rest aus Susis betätigung sein, und das Programm denkt jetzt, wir würden das Gruscheln abbekommen. Nochmal auf Zurück clicken und, des Rätsels Lösung:

Susi wollte den – hier geschwärzten – Herrn gruscheln! Na sowas. Da schau an. Soso, gruschelt sie also. Das wird sicher spannend. Gehen wir noch einmel zurück und schauen wir, was da kommt:

Seine Profilseite. Interessanter Herr. Keine Freunde, aber Mitglied in zwei Gruppen. Einmal Analsex, und einmal eine Gruppe, die sich wohl intensiv mit der Beschaffenheit weiblicher Unterkörper auseinandersetzt, um das mal höflich zu sagen. Aber wir dreckige Stalker, wir lieben das; Susi hat diese Sau gegruschelt! Geil! Und weiter zurück!

Wohoo! Daher also hat sie ihn! Susi hat sich die Analsexgruppe angeschaut. Prima, dass wir es und mit diesem simplen Trick auch anschauen können. Jetzt ist es so gut wie sicher: Susi ist bei StudiVZ, weil sie Interesse an Analsex hat. Und nochmal weiter zurück.

Aha! Susi hat gezielt nach Analsex-Gruppen gesucht! Klar, sie hat keine Lust, als Mitglied bekannt zu werden, aber sie geht einfach in die Gruppen und sucht sich über die Mitgliederliste einen Kerl raus. Und sie denkt, das würde keiner merken. Hähä. Morgen ziehen wir wieder eine Stalkergruppe auf, (sowas ist ja nie ganz auszuschliessen, vermute ich, solange die führendne Köpfe der alten Gruppe bei StudiVZ sind) und dann erzählen wir es ALLEN. Und nochmal etwas zurück.

Prima – da kommen wir auf die Seite eines Albums, das wir uns nicht ansehen können. Ansehen nicht – aber dafür die Album-ID aus fünf Zeichen eindeutig Susi zuordnen. Was sie da drin wohl für Bilder versteckt haben wird? Nachdem die Bilder ja trotzdem frei auf dem Server liegen, wird man halt etwas rumprobieren müssen, aber wir wissen, dass Susi hier geheime Bilder hat. Den Inhalt können wir uns lebhaft vorstellen. Und nochmal zurück:

Ha! Ihre Profilseite! damit schliesst sich der Kreis. Susi glaubt, ihre Daten bei StudiVZ sind sicher. Fakt ist aber: Nichts ist sicher. Man kann ihren Weg im angeblich geschützten StudiVZ problemlos mit dem eigenen Passwort und einem offenen Browser nachvollziehen, sich ihr Verhalten anschauen, ihre privaten Beziehungen ausspionieren und Informationen über ihre Inhalte sammeln – und das, obwohl sie ihr Profil scheinbar ideal abgesichert hat.

Kurz: StudiVZ hat ein enormes Datenschutzproblem, und es ist so gross, dass ich vermute: Sie kennen es. Es gibt einfach keinen Mechanismus, der eine Session abschliesst. Da hilft übrigens auch kein Leeren des Browsercaches. Und das Problem besteht seit Wochen, vermutlich sogar von Anbeginn. Es ist unfassbar, es ist kinderleicht, und wie dann einer von denen behaupten kann, dass ihnen die Sicherheit der Nutzer am Herzen liegt – muss reiner Zynismus sein.

Dass Unister übrigens auch Probleme hat, weil sie Session-IDs vergeben, die, so die URL irgendwo die Runde macht, jedem erlauben, auf die Profile der betroffenen Nutzer unbegrenzt zuzugreifen, ist auch nicht schön. Eher eine Katastrophe. Aber wenigstens hat man sich um etwas mehr Sicherheit der Sessions bemüht. StudiVZ hat absolut nichts getan, sie sind meines Erachtens ein Fall für den Datenschutzbeauftragten in Berlin, und, falls jemand durch so eine Aktion wie auch immer zu schaden kommt, ein guter Grund, mal mit dem Rechtsanwalt zu sprechen. Susi ist zum Glück nur ein Fake – hunderttausende Leute, die StudiVZ von öffentlichen Computern in der Uni nutzen, dagegen nicht. Ich habe nit einem Projekt zu tun, bei dem 250 sich nicht immer grüne Leute auf 30 frei nutzbare Internetrechner verteilen – und ich werde jetzt gleich mal mit dem Leiter sprechen. StudiVZ dagegen sollte das Teil schleunigst vom Netz nehmen.

[Edit]: Weil die Frage aufkam: Es geht auch,
– wenn sich der Nutzer ausgeloggt hat
– man sich anders einloggt
– zurückgeht
– und dann zu den internen Mails kommt
Das sieht dann Schritt für Schritt zurück so aus – Susi hat sich auf ihrer eigenen Seite ausgeloggt, dann beim nächsten Zurück kommt:

Man drückt auf OK, und es erscheint:

und nochmal zurück, viola:

Man wird ironischerweise selbst als Absender für die Mail von Susi sichtbar, erkennt aber, an wen die Mailvon Susi ging. Der Text ist glücklicherweise nicht sichtbar.