blogbar

1. Fieses Programm schreiben, das gemeinerweise alle Daten eines Studentenportals ausliest, sobald es auf deren Server ist, an einen schickt und dann alles löscht.

2. Fieses Programm irgendwo leicht klaubar auf eine Studentenwebsite stellen und aussenrum irgendeine Beschreibung “Supi tolles endgeiles knorke überzeugendes Datenschutz-Feature für jede Studi-Community passend die wo den Marktwert beim Börsengang verdoppelt und alle User zum Striptease in Klo und U-Bahn bringt” dot Endung schreiben und online stellen.

3. Dann nur noch warten, dass es einer klaut und auf den eigenen Server legt, mit allen Fehlern, beginnend bei der Rechtschreibung.

Nur-Studenten gibt es seit 2004, Studi-VZ seit 2005. Willkommen im Web2.0, wo alles so schön billig ist.

Hi Jojo, ich hätte jetzt gerne eine Fortsetzung hiervon, und zwar, wie ich durch eine Bresche in die von diversen Sicherheitslücken Belästigungs– und Nazipostillenskandalen erschütterten Startupburg StudiVZ reite, die Lanze eingelegt und sich der Junge aus dem Morgenland vor mir in den Turm zu retten versucht, wo das Kapital gerade bittere Tränen vergiesst. Denn StudiVZ hat mal wieder ein irrwitziges Sicherheitsproblem, das das weitestgehende Ausspähen anderer Leute erlaubt.

Also, stellen wir uns mal vor, wir sind so ein universitärer Stalker. Wir waren in der berüchtigten *****-Gruppe, wir haben mehrfach die Blogbar gespamt, wir sind der echte Abschaum des Netzes und finden es geil, wenn wir ganz einfach anderen was anhängen können. So wie unserer Mitstudentin Susi, die uns für einen stinkenden, versoffenen Schwachkopf hält und das auch deutlich zum Ausdruck brachte, als wir versucht haben, sie zu betatschen. Jetzt sitzen wir also im Projektraum, Susi ist an einem PC und grinst sich eines, kichert und hat offensichtlich Spass. Wir ärgern uns, wir würden ihr nur zu gern zeigen, was es heisst, uns anbetteln zu müssen, weil wir etwas über sie wissen, was keiner wissen darf. Du, Susi, sagen wir, ich müsste auch mal ans StudiVZ, sagen wir. Aber bitte, sagt Susi, logt sich aus und lässt uns ran. Und damit haben wir sie im Sack, wir können spielend leicht sehr viel über Susi herausfinden. Denn StudiVZ ist

SO BESCHISSEN PROGRAMMIERT, DASS WIR PROBLEMLOS AUF IHR VERHALTEN BEI STUDIVZ ZUGREIFEN KÖNNEN.

Und das ohne Hack, ohne Erraten von URLs, einfach mit einem einzigen Button und unserem Password. Denn zuerst loggen wir uns auf dem geöffneten Browser wieder mit unserem eigenen Benutzernamen ein – am besten mit einer Fakeidentität, deren Besuche nirgends angezeigt werden. Das sieht dann so aus.

Und jetzt brauchen wir nur noch ein Werkzeug, um Susis letzte Zeit bei StudiVZ zu durchschnüffeln. Es ist ganz einfach – der grüne Rückwärtsknopf links oben beim Firefox oder bei diesem anderen Browser, na, Internet Explorer, glaub ich heisst der. Den drücken wir einmal, kommen auf die Einlogseite, dann nochmal und Oooops:

“Aber Du kannst Dich nicht selbst gruscheln”, steht da. Nanu? Wir haben niemanden gegruschelt, das muss wohl ein Rest aus Susis betätigung sein, und das Programm denkt jetzt, wir würden das Gruscheln abbekommen. Nochmal auf Zurück clicken und, des Rätsels Lösung:

Susi wollte den – hier geschwärzten – Herrn gruscheln! Na sowas. Da schau an. Soso, gruschelt sie also. Das wird sicher spannend. Gehen wir noch einmel zurück und schauen wir, was da kommt:

Seine Profilseite. Interessanter Herr. Keine Freunde, aber Mitglied in zwei Gruppen. Einmal Analsex, und einmal eine Gruppe, die sich wohl intensiv mit der Beschaffenheit weiblicher Unterkörper auseinandersetzt, um das mal höflich zu sagen. Aber wir dreckige Stalker, wir lieben das; Susi hat diese Sau gegruschelt! Geil! Und weiter zurück!

Wohoo! Daher also hat sie ihn! Susi hat sich die Analsexgruppe angeschaut. Prima, dass wir es und mit diesem simplen Trick auch anschauen können. Jetzt ist es so gut wie sicher: Susi ist bei StudiVZ, weil sie Interesse an Analsex hat. Und nochmal weiter zurück.

Aha! Susi hat gezielt nach Analsex-Gruppen gesucht! Klar, sie hat keine Lust, als Mitglied bekannt zu werden, aber sie geht einfach in die Gruppen und sucht sich über die Mitgliederliste einen Kerl raus. Und sie denkt, das würde keiner merken. Hähä. Morgen ziehen wir wieder eine Stalkergruppe auf, (sowas ist ja nie ganz auszuschliessen, vermute ich, solange die führendne Köpfe der alten Gruppe bei StudiVZ sind) und dann erzählen wir es ALLEN. Und nochmal etwas zurück.

Prima – da kommen wir auf die Seite eines Albums, das wir uns nicht ansehen können. Ansehen nicht – aber dafür die Album-ID aus fünf Zeichen eindeutig Susi zuordnen. Was sie da drin wohl für Bilder versteckt haben wird? Nachdem die Bilder ja trotzdem frei auf dem Server liegen, wird man halt etwas rumprobieren müssen, aber wir wissen, dass Susi hier geheime Bilder hat. Den Inhalt können wir uns lebhaft vorstellen. Und nochmal zurück:

Ha! Ihre Profilseite! damit schliesst sich der Kreis. Susi glaubt, ihre Daten bei StudiVZ sind sicher. Fakt ist aber: Nichts ist sicher. Man kann ihren Weg im angeblich geschützten StudiVZ problemlos mit dem eigenen Passwort und einem offenen Browser nachvollziehen, sich ihr Verhalten anschauen, ihre privaten Beziehungen ausspionieren und Informationen über ihre Inhalte sammeln – und das, obwohl sie ihr Profil scheinbar ideal abgesichert hat.

Kurz: StudiVZ hat ein enormes Datenschutzproblem, und es ist so gross, dass ich vermute: Sie kennen es. Es gibt einfach keinen Mechanismus, der eine Session abschliesst. Da hilft übrigens auch kein Leeren des Browsercaches. Und das Problem besteht seit Wochen, vermutlich sogar von Anbeginn. Es ist unfassbar, es ist kinderleicht, und wie dann einer von denen behaupten kann, dass ihnen die Sicherheit der Nutzer am Herzen liegt – muss reiner Zynismus sein.

Dass Unister übrigens auch Probleme hat, weil sie Session-IDs vergeben, die, so die URL irgendwo die Runde macht, jedem erlauben, auf die Profile der betroffenen Nutzer unbegrenzt zuzugreifen, ist auch nicht schön. Eher eine Katastrophe. Aber wenigstens hat man sich um etwas mehr Sicherheit der Sessions bemüht. StudiVZ hat absolut nichts getan, sie sind meines Erachtens ein Fall für den Datenschutzbeauftragten in Berlin, und, falls jemand durch so eine Aktion wie auch immer zu schaden kommt, ein guter Grund, mal mit dem Rechtsanwalt zu sprechen. Susi ist zum Glück nur ein Fake – hunderttausende Leute, die StudiVZ von öffentlichen Computern in der Uni nutzen, dagegen nicht. Ich habe nit einem Projekt zu tun, bei dem 250 sich nicht immer grüne Leute auf 30 frei nutzbare Internetrechner verteilen – und ich werde jetzt gleich mal mit dem Leiter sprechen. StudiVZ dagegen sollte das Teil schleunigst vom Netz nehmen.

[Edit]: Weil die Frage aufkam: Es geht auch,
– wenn sich der Nutzer ausgeloggt hat
– man sich anders einloggt
– zurückgeht
– und dann zu den internen Mails kommt
Das sieht dann Schritt für Schritt zurück so aus – Susi hat sich auf ihrer eigenen Seite ausgeloggt, dann beim nächsten Zurück kommt:

Man drückt auf OK, und es erscheint:

und nochmal zurück, viola:

Man wird ironischerweise selbst als Absender für die Mail von Susi sichtbar, erkennt aber, an wen die Mailvon Susi ging. Der Text ist glücklicherweise nicht sichtbar.

War es letzte Woche noch der Traffic der uns zu schaffen machte, war es nun ein Hardware-Problem.

Gegen 17h00 klinkte sich der Server das erste Mal aus, für zirka eine halbe Stunde bis ein Reset den Server wieder neu startete. Das Vergnügen war von kurzer Dauer. Gegen 18h30 verabschiedete sich der blogbar-Server das nächste Mal. Dass der Server weder “anpingbar” war noch via SSH erreicht werden konnte, deutete auf ein schwerwiegenderes Problem hin.

Bei einer ersten Support-Anfrage wies mich der Support des Providers Hetzner als “nicht zuständig” ab, ohne mein Support-Ticket weiterzuleiten oder mich auf den korrekten Ansprechpartner hinzuweisen. Auf ein zweites Support-Ticket wurde längere Zeit nicht reagiert, ehe ich gegen 22h30 eine Mail von Hetzner bekam:
es war ein Hardware-Problem am Server. Das betreffende Teil wurde ausgetauscht. Es war keine dDOS-Attacke.

(Der vollständigkeitshalber erwähnt: der Umzug letzte Woche zu einem dedizierten Server wurde von Hetzner flexibel und zügig durchgeführt)

Ich finde es putzig, Einträge zu lesen wie “Ich habe nichts zu verbergen”, “Was ich reinschreibe, ist harmlos” oder “Meine Mail und meine Handynummer sind ja nicht öffentlich”. Sehr viele Netzer des von diversen Sicherheitslücken Belästigungs– und Nazipostillenskandalen erschütterten Startups StudiVZ glauben, dass damit alles frisch und prima ist. Offensichtlich wissen sie nicht, wie Personalabteilungen (oder Human Ressources – HR) heute arbeiten.

HR-Abteilungen tragen massgeblich zum Erfolg oder Scheitern von Firmen bei. Nehmen wir mal an, da kommt so ein Typ daher, wird Manager, filmt dann Frauen in der U-Bahn und auf dem Klo, stellt das online, oder will Mitglied in einer Belästigungsgruppe werden und kassiert damit viel schlechte Presse, wie das gerade bei StudiVZ geschieht – das ist so ein Fall, wo die HR gnadenlos versagt hätte. Aber die harmlosen Daten der normalen Nutzer sind ja überhaupt nicht so bedrohlich, gell?

Nehmen wir mal an, eine Firma hat eine Stelle zu vergeben: Ein typischer guter Akademikerposten, verantwortlich für eine kleine Gruppe Mitarbeiter, mit erheblichem Einblick in Firmeninterna, zielstrebig, vorzeigbar, mit Aussicht auf schnellen Aufstieg in das mittlere Management, wenn die Leistung in den ersten ein, zwei Jahren stimmt, und die Person soll mindestens 10 Jahre in der Firma bleiben, Einkommen um die 4000 Euro. Es gehen dafür 150 Bewerbungen ein.

Und nun haben wir eine andere Firma, die zufälligerweise die Daten hat, die bei StudiVZ so offen rumstehen. Nichts gehackt, nichts explizit illegal gekauft, einfach das, was da ist, mit einem kleinen Prgramm letzte Woche abgegrast und gespeichert. Diese Firma erhält nun die Namen der Bewerber mit der Bitte, sich die Leute doch mal genauer anzuschauen und Empfehlungen abzugeben, wer von denen was taugt. Nehmen wir mal an, von den 150 Bewerbern sind 100 in deren Datenbank. Die Firma stellt sich nicht hin und sagt: Den einen einladen in die Endrunde und den anderen nicht. Was die machen, ist sehr viel feiner. Sie erstellen Charts und gewichten die Eigenschaften je nach Anforderung des Kunden. StudiVZ ist da eine wunderbare Grundlage, denn hier zeigt sich der künftige Arbeitnehmer, wie er wirklich ist – und das herauszufinden, ist ja eigentlich die Aufgabe der HR, nicht das abnicken der geschönten Vita, sondern zu eruieren, wer für die Anforderung die beste Leistung für den besten Preis erbringt. Spielen wir das mal anhand einiger Aspekte durch.

verantwortlich für eine kleine Gruppe Mitarbeiter: Stichwort Persönlichkeit und Menschenführung. Da geht es um so Sachen wie persönliche Integrität und Sozialkompetenz. Ganz schlecht: Absolut harmlose Daten wie die Mitgliedschaft in Gruppen, die eine gewisse Promiskuität vermuten lassen. Man will ja nicht, dass die Untergebenen belästigt werden. Absolut harmlose Daten wie 436 Freunde an 435 Unis – das sieht nicht gerade nach Teamfähigkeit aus. Absolut harmlose Daten wie die Mitgliedschaft in Gruppen, die eine gewisse Verantwortungslosigkeit erkennen lassen – wer mit Menschen auskommen will, diskriminiert nicht qua Gruppe Nichtraucher oder Vegetarier.

mit erheblichem Einblick in Firmeninterna: Stichwort Diskretion. Ganz schlecht: Absolut harmlose Daten wie öffentliche Debatten über Privates auf den Pinwänden anderer Leute. Absolut harmlose Daten wie die Veröffentlichung von Uniseminaren oder öffentliche Bewertung des Lehrpersonals. Absolut harmlose Daten wie Bilder, aus denen eine mögliche Erpressbarkeit abgeleitet werden kann – das fängt bereits mit 5 leeren Bierflaschen an. Absolut harmlose Daten wie die geschwätzige Mitgliedschaft in 50+ Gruppen. Absolut harmlose Daten wie überhaupt alles, was da steht und nicht zwingend in die Öffentlichkeit muss. Absolut harmlose Daten wie die Beschreibung des aktuellen Berufs des Studenten.

Zielstrebig: Das ist heute angeblich sowieso jeder, aber wie es wirklich ausschaut, kann man bei StudiVZ prima betrachten. Ganz schlecht kommen da absolut harmlose Daten wie 500 minutengenau dokumentierte Pinwandeinträge, die man idealerweise über die absolut harmlose Daten der besuchten Seminare als in eben diesen verfasst identifizieren kann – jaja, WLAN im Hörsaal ist die Pest. Oder absolut harmlose Daten wie mehr als 200 Freunde, die man sich als zielstrebiger Mensch eigentlich nicht leisten kann. Oder Freunde wie die Jungs aus der Zockergilde, mit denen man sich über ein Wochenende quaken austauscht. Ãœberhaupt, ganz grosses Malus, so absolut harmlose Daten wie allein schon die Mitgliedchaft bei einem vertrödelten Laden wie StudiVZ.

vorzeigbar: Wirklich ganz ganz schlecht: Absolut harmlose Daten wie exakt 100% aller Partybilder bei StudiVZ, die so nett mit dem eigenen Profil verlinkt werden können. Absolut harmlose Daten wie gewisse Eigenheiten im Ausdruck, “Scheisse” Gosse abwärts, oder beliebte Ligaturen und Verschleifungen wie “ned” oder “LG” oder “GN8t”. Absolut harmlose Daten wie ein etwas krasser Musik- oder Literaturgeschmack.

mit Aussicht auf schnellen Aufstieg in das mittlere Management: Da ist Durchsetzungsfreude und Leistungsbereitschaft gefragt. Absolut harmlose Daten wie ganz viele unsinnige Gruppenmitgliedschaften qualifizieren dagegen leider bestenfalls zum Sachbearbeiterdasein. Und absolut harmlose Daten wie ein paar Flame Wars in Gruppen sind nicht wirklich die Kompetenz, die man da braucht; eher im Gegenteil.

wenn die Leistung in den ersten ein, zwei Jahren stimmt: Nun, die absolut harmlosen Daten in ihrer Gesamtheit geben ja ein prima Bild der aktuellen Lage wieder, da muss man eigentlich nur weiterdenken. Hm. Was war nochmal im Malle-Ordner zu sehen?

Person soll mindestens 10 Jahre in der Firma bleiben und natürlich volle Leistung bringen. Nicht irgendwie nach 3 Jahren mit erhöhtem Krankheitsfehlen die Firmenkasse belasten. Na, man kann es ja abschätzen. Dank absolut harmloser Daten wie Bildern vom Eimerrauchen, Whiskeykippen, und der Fluppe im Maul. Ein Raucher ist nun mal jedes Jahr 2-3000 Euro teurer als ein normaler Mitarbeiter, weniger leistungsfähiger, anfälliger, psychisch eher labil, braucht einen Raucherraum, insofern, bei absolut gleicher Qualifikation vielleicht doch eher den Nichtraucher?

Einkommen um die 4000 Euro. Oder auch nicht, denn wer durch seine absolut harmlosen Daten abfällt, wird vielleicht trotzdem genommen, weil die anderen auch abgefallen sind – aber dann eben nur mit 3500 Einstiegsgehalt. Wieso sollte die Firma für schlechtere Leistung mehr bezahlen?

Am Ende so einer Evaluation wird das Ganze in eine Liste mit allen Bewerbern umgearbeitet. Jeder hatte am Anfang 100 Punkte, für gute neue Erkenntnisse gibt es mehr, für schlechte dagegen Abzug. Leider, leider, leider ist es so, dass die guten Seiten meist schon in der Bewerbung stehen. Bleiben also die Abzüge. Je nach Bedeutung der Aspekte wird das gewichtet, und am Ende steht eine schöne, runde Zahl, die entscheidet, wer kommen darf und wer seine Unterlagen zurück bekommt. Dank all dieser absolut harmlosen Daten.

Ach, das ist nicht fair? Stimmt. es ist wirklich nicht fair. Aber so arbeiten Personalberater nun mal. Das spart den Firmen viel Geld, denn eine Niete im Management kann verdammt teuer werden. Da können Firmen ins Trudeln geraten. Da lohnt jeder genaue Blick, da ist man dankbar um jeden Hinweis. Das ist die Welt da draussen, Freunde der Blasmusik, mit Euren absolut harmlosen Daten.

Und jetzt geht Ihr morgen zu StudiVZ und schaltet ganz schnell Euer Profil auf Privat, gell? Super Idee. Leider nicht effektiv. Denn als HR schaue ich einfach, wer Eure Freunde sind. Es ist kein Problem, Eure Studienfreunde von den Freunden aus dem Gymnasium zu trennen. Dann kicke ich die Ausreisserprofile Eurer Freunde, also den Cousin in St. Gallen und die Ex von der Kunsthochschule raus, und dann sehe ich ziemlich klar, in welchem trüben, versoffenen Lehramtsumfeld Du sonst so rumhängst. Nein, das ist nicht fair, aber hey, ein HR-Mensch will auch essen und die Leasinggebühren für den Porsche bezahlen, er hat eben Deine absolut harmlosen Daten, und er macht, was er will. Und Du bekommst es noch nicht mal mit.

Aber dafür hast Du ja jetzt eine gute Zeit bei StudiVZ, die Bugs sind gefixed und für das Abgrasen braucht man jetzt Wochen statt Tagen, und illegal ist es auch, also, was soll schon passieren mit Dir und Deinen absolut vollkommen harmlosen Daten. Denn Du hast nichts zu verbergen. Was Du reinschreibst, ist harmlos. Und Deine Mail und Deine Handynummer sind ja nicht öffentlich. Klaro. Alles supi.

Gruschel (TM).

Nun ist es also länger down, das System des hier skandalgeschüttelten Startups StudiVZ. Aus dem Bonker dem Hauptquarrrtierrr in Berrrlin – bis Dienstags. Neues von der Softwarrrefrrront:

Wir haben aus der schlechten Kommunikationspolitik gelernt. Wir lassen euch jetzt teilhaben. wir teilen euch termine mit an die wir glauben. wenn diese nicht eingehalten werden können geben wir euch ein update. ist ehrlich, aber vielleicht dann ein wenig verwirrend.

Supi! Dann will ich mal nicht so sein und hier einen Vorschlag für die erste Seite machen.

Liebe StudiVZ-Nutzer,

wir müssen Euch leider ein paar bedauerliche Mitteilungen machen. Wir möchten uns genz herzlich jetzt schon mal für all das entschuldigen, was zu unserer momentan schwierigen Lage geführt hat.

– Im Gegensatz zu dem, was wir behauptet haben, ist unser System definitiv nicht sicher gewesen. In den letzten Monaten sind bei der Programmierung enorme Versäumnisse entstanden, sie sich jetzt rächen. Das haben wir lange komplett falsch eingeschätzt, und deshalb entschuldigen wir uns auch bei den Mitgliedern und Bloggern, die uns darauf hingewiesen haben – es war unser entscheidender Fehler, das nicht zur Kenntnis genommen zu haben.

РDie Folgen sind ernst, aber nicht hoffnungslos. Konkret sieht es so aus, dass das alte System mit ein paar Clicks und wenigen Zeilen Code schnell abgegrast werden konnte, und auch der Schutz privater Daten mangelhaft war. Wir wissen von einigen Angriffen, aber wir gehen davon aus, dass wir sie bislang abwehren konnten. Wir versuchen, die davon betroffenen Nutzer schnellstm̦glich zu informieren und werden Sorge tragen, so etwas in Zukunft auszuschliessen, soweit es bei einem offenen System m̦glich ist.

– In den letzten Tagen gab es auch Attacken, die tief in unser System eindringen konnten. Deshalb mussten wir es jetzt abschalten, und es wird nicht wieder online gehen, bis es nach menschlichem Ermessen sicher ist. Der Spass kostet uns 150.000 Euro, unsere Investoren sind im Blutrausch und Ihr seid stunksauer, ja wir haben Scheisse gebaut, es ist alles verständlich, aber wir wissen jetzt, dass wir Euch gegenüber eine Verantwortung haben, und die werden wir wahrnehmen, egal, was es kostet.

– Ausserdem (hier bitte weitere Privacy-GAUs einfügen – und zwar ehrlich)

Es ist unser Problem, es ist unsere Schuld, und deshalb ist es jetzt unser Job, das Ding zum laufen zu bringen. Wenn Ihr Euch abmelden wollt, schickt uns einfach eine mail an jawirhabenesverdient@studivz.net. Wenn Ihr Eure Wut loswerden wollt, kommentiert unten – wir lassen es offen, weil uns Eure Meinung, egal wie negativ, wichtig ist.

So, wir legen los – schöne Grüsse

Euer StudiVZ-Team

So würde ich das anraten wollen. Wenn sie dann noch ganz, ganz, ganz ehrlich sein würden, würden sie noch Folgendes dazuschreiben.

P.S.: Wir haben mitbekommen, dass sich manche inzwischen bei facebook eintragen. Offen gesagt – ist das nicht so doll. Weil, es ist nämlich so: Wir reden gerade mit facebook über einen Verkauf. Die Facebooker waren letzte Woche hier in Berlin bei uns, was natürlich nur ein ganz kleiner Kreis weiss – also nicht weitersagen, vor allem nicht dem Don “Gnadenlos” Alphonso, der würde das sofort bloggen. Jedenfalls, denen wollen wir die Firma und damit Eure Daten verkaufen, das einzige Asset ausser billigen Büromöbeln und einer miesen Software. Und wenn Ihr Euch selbst da anmeldet – was sollen wir dann noch verkaufen? Eben. Also bitte, macht was Ihr wollt – aber keinen Exodus zu facebook. Die sind in Sachen Datenverwertung wirklich verdammt übel. Sagt sogar der Don Alphonso.

Aber wie gesagt, Ehrlichkeit und Betriebsgeheimnisse schliessen sich manchmal eben aus – es sei denn, man hat an einer Elite-Uni studiert und weiss noch immer nicht, dass man besser manchmal den Mund halten sollte.

Ich könnte es auch hier machen, aber thematisch passt die Analyse des Zustandes von StudiVZ wirklich besser in mein eigenes Blog, das sich immer sehr ausführlich und gerne mit dem Werden und Vergehen von Internetfirmen beschäftigt – und schliesslich reden wir hier ja auch über Rebellen, die bald ohne Markt sein werden.

Statt dessen können hier zwei Dinge diskutiert werden

a) Wer würde was für welche Alternativen tun und
b) wie wäre es mit “Der Schock zum Mittag”, einer täglichen StudiVZ-Bug-Revue pünktlich zur Mensazeit und “Wie lange schalten sie ab”-Contest?

OK, nur das erste unter a) ist ernst gemeint.

ich würde gerne Don_Alphonso zur miss dezember 2006 vorschlagen! ich warte nur noch auf sein einverständnis…!?! ;)
ich find alfi richtig süß! :D
Tobi W. von der Uni K. in einem abgesicherten Forum

Nehmen wir mal an, da ist eine supergeheime Stalkergruppe. So eine wie diese mit über 700 Männern, über wir schon mal drüber gesprochen haben, und die trotz allem – vielleicht auch, weil ja dem Gruppengründer zufolge auch ein Mitarbeiter und ein Gründer von StudiVZ dabei sein wollte – immer noch aktiv ist. Die ist natürlich abgeschottet, Mitglieder können zwar um Aufnahme bitten, aber das ist auch schon alles. Die Moderatoren der Gruppe müssen zustimmen. Was also bleibt? Nun, da gbt es jetzt einen total simplen Trick, der kein Hack ist, sondern lediglich das Einfügen der richtigen URL in die URL-Zeile. Das wurde hier gerade von Elias / Stefan hier beschrieben:

Ihr wolltet schon immer einer geschlossenen Gruppe beitreten? Hier das How-To:

0) Besorge dir deine USERID, über deine Profilseite bei Meine Seite:
http://www.studivz.net/profile.php?ids=USERID

1) Sucht euch eine geschlossene Gruppe, zB. die Total private StudiVZ-Gruppe:

http://www.studivz.net/group.php?ids=fB0×4T

Hier die GruppenId, zB. fB0×4T notieren oder in die Zwischenablage kopieren. Hier weiter als GRUPPENID bezeichnet…

2) Der Trick ist, sich selbst in die geschlossene Gruppe einzuladen…
Das funktioniert mit folgender URL:

http://www.studivz.net/groupinvite.php?ids=DEINE_USERID&&gids=GRUPPENID&save=1

In den Browser, Enter drücken, und du hast dich selbst in eine geschlossene Gruppe eingeladen und kannst beitreten…

Na gut, das probieren wir doch mal mit dieser berüchtigten, geheimen Gruppe aus. Also, eine User-ID und die Gruppennummer jh488 einfügen und abschicken – und viola, schon findet sich bei meiner Mitgliederseite diese Meldung: Mein Username hat mich zu der Gruppe eingeladen.

Prima! ich bin zwar noch nicht mal Mitglied, aber ich kann mich einladen wie ein Moderator! Na, das nenne ich aber einen Sevice! Für mich natürlich;, für die Leute, die glauben, dass sie bei StudiVZ im Geheimen tun können, was sie wollen, ist es natürlich schlimm. So, dann schaue ich mal weiter:

Ob ich Mitglied werden will? Na logo! Schliesslich ist es nicht mein Datenschutz, und die anderen sind selber blöd, wenn sie sowas in solchen Gruppen online stellen, das kennt man ja. Und jetzt die Gruppe anklicken, und, na wunderbar:

Oh, was lesen denn da meine rotgeränderten Augen? Ganz oben ist ein Thread über meine Person? Na dann, ganz schnell den Screenshooter ausgepackt und abgeknipst, was die so schreiben und tun – ah ja, ein gewisser R. E. aus J., der dort Campus Captain ist, bringt folgendes Posting:

Tja, mein Bester, das hätte wirklich einer löschen sollen. Wäre ich da auf dem Bild gewesen, hättest Du jetzt eine Abmahnung kassiert, und StudiVz gleich mit. Allerdings bin das nicht ich, auf dem Bild. Aber hey, ich habe Deine Adresse – dank StudiVZ. Und wegen der Spammerei gestern sogar die IP, mit der Du hier aufschlägst und sowas machst. Junge, auch ohne dass es mein Bild ist:

DU HAST EIN PROBLEM. Und ich wüsste gerne, warum StudiVZ nach all dem das immer noch duldet.

Und an alle: DAS IST KEIN HACK. Das ist eine irrsinnige Sicherheitslücke, und ich frage jetzt besser nicht nach, ob das nicht etwa woanders auch noch geht, denn ich habe einen wirklich schlimmen Verdacht.

Und wem das alles noch nicht reicht: Noch mehr Löcher gibt es bei Jörg-Olaf Schäfers.

blogbar.de ist heute für knapp drei Stunden down gewesen. Hatte der Server schon in der letzten Woche schwer an den Verlinkungen von Heise.de zu knabbern, war er am Montag nach dem Doppelschlag von Heise und SPIEGELonline schon wackelig in den Knien, haben heute Unmengen von MySQL-Verbindungen den Server endgültig in die Knie gezwungen und wir mussten umziehen.

Woher die MySQL-Verbindungen kamen, liess sich in der Kürze der Zeit nicht eruieren. Anders als in den Vortagen, war nicht eine spezielle Verlinkung schuld, aber ein “Angriff” wurde ausgeschlossen.

Belief sich der Traffic von Blogbar an normalen Tagen bei zirka 500 MB/Tag, wuchs er im Zuge der Einträge über StudiVZ auf 2 GB/Tag an und erreichte letzten Freitag nach der direkten Verlinkung durch Heise 8 GB Traffic binnen eines Tages. Übers Wochenende blieb der Traffic konstant hoch bei über 5 GB und erreichte am Montag mit der Verlinkung durch SPIEGELonline und Heise nur eine kleine Spitze von 5,5 GB.

Bei den Referern liegen an der Spitze gleichauf, der Artikel von Heise.de vom Freitag und Links aus… den Kommentaren vom StudiVZ-Blog.