Index of /etc/

6.12.2006

Ich habe mich vom studiVZ (billig) bestechen lassen!

Filed under: studiVZ — ghandi @ 12:30

Mit dem studiVZ konnte (kann?) mensch eine menge Spass haben.
* Kostenlose Accounts
* keine wirkliche Überprüfung von Usereingaben.
* ca. 1.000.000 angemeldete Benutzer ohne Sinn für Datenschutz.

Da lässt sich einiges draus machen! So konnte mensch letzte Woche noch fast alle Aktionen ausführen die einem Gruppenmoderator vorbehalten sein sollten, ohne überhaupt Mitglied der Gruppe zu sein. Mit dem passenden Link, konnten „geheime“ Fotos und Userprofile angeschaut werden.
Solche Dinge sind vermutlich nicht im Sinne der Betreiber (ich hätte ja Erfinder geschrieben, wenn es da nicht facebook gäbe).
Nachdem sich letzte Woche dann jemand ein witziges Javascript-Spielchen ausgedacht hat, durch das sich Logindaten von studiVZ-Usern abgreifen lassen, wurde im studiVZ-Blog dazu aufgerufen „XSS- und CSRF-Lücken“ zu melden. Kurze Zeit später ist dann aufgefallen, das solche „Tests“ am Produktivsystem vielleicht gar keine so wahnsinnig gute Idee sind. Also wurde ein Testsystem aufgesetzt und feierlich drauf los geschossen. Dummerweise hielten sich nicht alle daran nur mit dem Testsystem zu spielen und das Unvermeidliche traf endlich ein, studiVZ ging vom Netz.

In den letzten Tagen war das studiVZ-Testsystem vermutlich das größte Trollnetzwerk der Welt (mal vom Heise-Forum abgesehen). Selbst ich hatte meinen Spass, und das heißt schon was, denn ich glaube nicht, dass ich leicht zu begeistern bin. Im IRC (dass ich an diesem Wochenende zum ersten mal benutzt habe) wurde sich lustig über gefunde Bugs und die Reaktionen von Bemmann, Brehm und dem neu dazu geholten Yalpani ausgetauscht.

Gefundene Lücken gibt es so einige. Injections in so ziemlich allen Variationen, löschen, verändern und ausspähen von Daten mit einfachsten Mitteln und Umgehung der Captchas, um ein paar Dinge zu nennen.

Als „Finderlohn“ gibt es 256€, eine Einladung zu einer „Party in einem angesagten Berliner Club“ und „zwei Freikarten für die Show der ‚Blue Man Group'“.
Das ist für ein Wochenende Spass am Gerät ok, wenn man bedenkt, dass die meisten „Lückensucher“ wohl ohnehin nichts anderes gemacht hätten als Lücken zu suchen. Tatsache ist aber auch, dass jede der gefundenen Lücken weitaus mehr Wert ist als die Belohnung. Es kann also ruhig behauptet werden, dass das Testsystem ein gelungener Schachzug war.

Die allergrößten Lücken im studiVZ sind leider immer noch offen: Die Bildungslücken der Benutzer.

gruß
ghandi

Advertisements

8 Kommentare »

  1. Sag mal als wie sicher würdest du denn jetzt das studi-vz bezeichnen? Scheinst ja direkt an der quelle gewesen zu sein 😉

    Kommentar von Sandro — 7.12.2006 @ 17:55

  2. […] Das fragt Sandro hier und ich versuche mich mal in einer kurzen Antwort. Zur Zeit scheint sich der Fokus beim studiVZ auf drei wesentliche Aspekte zu konzentrieren. Das ist zum Ersten die Sicherheit der Daten eines einzelnen Benutzers. Also persönliche Angaben, die nicht für alle sichtbar sein sollen, wie zum Beispiel die Handynummer, aber auch so Sachen wie persönliche Nachrichten oder Bilder. Zum Zweiten gibt es bei allen Plattformen die mit einer großen Menge Userdaten umgehen das Problem des massenhaften Abrufens von Userdaten. Das kann zum Beispiel für Marktforschungsinstitute sinnvoll sein. Wenn sich nach einer Analyse von 250.000 Useraccounts herausstellen würde, dass homosexuelle, verheiratete, Erstsemesterstudenten dazu neigen die Gruppe “CounterStrike zocke ich um im Reallife auf alles vorbereitet zu sein” zu joinen, dann würde sich für diese Information sicherlich ein Käufer finden. Der dritte Aspekt ist die Zuverlässigkeit der eingesetzten Software. Wenn sich ein User selbst in eine Gruppe einladen kann, und dabei Vorkehrungen umgeht, die den Mods der Gruppe eigentlich das Privileg verschaffen sollen dies als einzige zu tun, dann Arbeitet die Software nicht so wie sie soll. Das gleiche trifft zu, wenn ein User automatisiert “Freunde” adden kann und dabei die Captchaabfrage verscheißert, oder sich irgendwelcher Code auf dem Servern ausführen lässt. Die Daten eines einzelnen Benutzers […]

    Pingback von Sag mal als wie sicher würdest du denn jetzt das studi-vz bezeichnen? « Index of /etc/ — 7.12.2006 @ 21:24

  3. […] Der “ghandi” war einer derjenigen, die sich 256 Euro verdient haben, als sie sich mit dem StudiVZ-System abgaben. Zusätzlich hagelte es noch eine Einladung zu einer Party in einem “angesagten Berliner Club” und es gab “zwei Freikarten für eine Vorstellung der Blue Man Group”. Sachen gibt’s. In diesem Blogeintrag erzählt “ghandi” noch ein wenig mehr darüber, wie es sich angefühlt hat, sich “billig” für die Zwecke des StudiVZ zu verkaufen. Und weil ein Benutzer via Kommentar die Frage stellte, wie “sicher” StudiVZ denn jetzt sei, nahm “ghandi” sich die Zeit, und verfasste eine kleine Einschätzung. Weiterhin hat Don Alphonso heute wieder mit dem Finger in der Wunde gebohrt. Er kann es nicht lassen. Wowi würde sagen: Und das ist auch gut so?! No Comments Leave a Commenttrackback addressThere was an error with your comment, please try again. name (required)email (will not be published) (required)url […]

    Pingback von StudiVZ: Sicherheitslücken angeblich nicht vollständig gestopft - Sajonara.de - Internetmagazin — 7.12.2006 @ 22:31

  4. […] 06.12.2006: Inzwischen tummeln sich fast 4000 Kommentare im StudiVZ Unternehmensweblog zur Auszeit. Heise online faßt die Geschehnisse der letzten Tage zusammen. Laut taz will der fsz (freie zusammenschluss der studentInnenschaften) mit dem Portal kooperieren. StudiVZ ruft zur Weiterarbeit am Verhaltenscodex auf und stellt zu diskutierende Themen in den Blog. Auch beim Konkurrenten unister kommt es zu Sicherheitsproblemen. Jörg-Olaf Schäfer gibt dem Campusradio Paderborn ein Interview. Ghandi berichtet von seinen Erlebnissen im StudiVZ Testsystem und die gefundenen Fehler. […]

    Pingback von […–www.daburna.de–…] - Blog » Blog Archiv » Die studiVZ Chroniken — 7.12.2006 @ 23:13

  5. Kurz und knapp:

    Ich wollte mich vor 4 Monaten von der StudiVZ abmelden war aber nicht möglich.

    Schreibe den Admin an, aber bisher keien Rückanwort.

    Kurzerhand mal meine daten so stark geändert dass niemand auf mich schliessen konnte. und mit den infos nix anfangen konnte

    aber StudiVZ schiesst sich ja selber ins Bein ….

    Kommentar von itunesmc — 8.12.2006 @ 21:03

  6. Ganz tolle Wurst
    3v1l H4XX0R un1t3
    So ein gespülze kann es im Netz gar nicht genug geben.
    Für die nächsten geistigen Ergüsse vielleicht ein paar nette Gedankenanstösse unter
    http://www.ccc.de/hackerethics?language=de
    Vielleict klappts dann auch mit dem Hacken.
    Is halt irgendwie besser wenn man weiß worum es geht 🙂
    nick

    Kommentar von nick less — 10.01.2007 @ 19:39

  7. Ich bezweifle, dass du meinen Blogeintrag gelesen hast. Und ich bezweifle, dass du die „Hackerethik“ gelesen hast, denn da steht:
    „Mülle nicht in den Daten anderer Leute.“

    Ist (<- mit t) halt irgendwie besser, (<- Komma) wenn man weiss (<- von Wissen) worum es geht.

    gruß
    ghandi

    Kommentar von ghandi — 11.01.2007 @ 04:18

  8. ich HASSE studivz!

    Kommentar von Anonymer Besucher — 8.05.2007 @ 23:45


RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: