Golem.de
 
Suchen bei Golem.de
Golem.de Newsletter-Abo
Videos bei Golem.de
Sony Ericsson Xperia Pureness Sony Ericsson Xperia Pureness
Stellenmarkt

COMOS - Softwareentwickler 3D (m/w)
Siemens Industry Automation, Bonn

Entwicklungsingenieur Steuergerätetest Hardware-in-the-Loop (m/w)
MB-technology GmbH, Sindelfingen, Stuttgart, Mannheim

Softwareentwickler C# / .NET (m/w)
Hoppecke Technologies GmbH & Co. KG, Zwickau

Detailsuche
Newsletterabo
Verwandte Themen

Security, Internet, Soziales Netz

Verwandte Artikel
Letzte Meldungen

Belkins Powerline-Adapter sollen P1901-kompatibel werden

600 GByte mit 10.000 U/min von Seagate

British Library und Microsoft liefern kostenlose E-Books

Wenn Sicherheitssoftware zu Sicherheitslücken führt

KDE SC 4.4 - Caikaku macht einen großen Schritt

Quadriga Games - ein neues deutsches Spielestudio

Zoomit: SD-Kartenleser fürs iPhone

EA macht weniger Umsatz im Weihnachtsgeschäft

Wie geht es weiter mit dem Kindle?

Samsung S5620: Handy mit kapazitivem Touchscreen und WLAN

Aperture 3 lernt GPS, erkennt Gesichter und bekommt Pinsel

Aiptek MobileCinema D25 - Projektor mit DVD und DVB-T

Optimus: Grafikkerne im Notebook automatisch umschalten

Innenministerium gibt 2 Millionen Euro für Botnetzbekämpfung

Dalvik Turbo soll Android dreimal schneller machen

Amazons S3 lernt Versionierung

Copperlicht - 3D-Engine rendert Quake 3 im Browser

EU-Kommission bekennt Farbe zu ACTA

Samsung Shark: Drei Mobiltelefone für soziale Netzwerke

Kingston profitiert von Preisanstieg bei DRAM und Flash

Infocus-Projektoren über Funk auch mit dem Mac ansteuern

Tankstellen werden zu Akkuwechselstationen

AMD verrät Details zu CPU- und GPU-Kombination Llano

Microsoft: Windows 7 hat keine Probleme mit Notebookakkus

Flash soll auf Macs bald schneller laufen als unter Windows

Speedcommander 13.10 korrigiert Programmfehler

Radeon HD 5570 - DirectX-11 auch für Kompakt-PCs

Deutsche Telekom greift Kabel Deutschland an (Update)

Gallium 3D bringt DirectX für Linux und FreeBSD

IBMs Power7 - bis zu acht Kerne, 32 Threads und 4,1 GHz

Weitere News


Haben wir etwas übersehen? Dann Mail an news@golem.de.

HOME


Networld / 30.11.2006 / 14:01 Trackback     Versenden     Druck 

studiVZ verspricht Belohnung für Sicherheitslücken (Update)

Studentenportal am Donnerstag wegen eines neuen XSS-Angriffs offline

Die Pannenserie von kleinen und großen Problemen und Sicherheitslücken beim Studentenportal studiVZ reißt nicht ab. Nun verspricht studiVZ eine Belohnung von 256 Euro, wenn jemand Sicherheitslücken im Portal meldet. Parallel zu der Ankündigung ging studiVZ wegen eines erneuten XSS-Angriffs offline.

Die Seite sei wegen eines XSS-Angriffs "vorsichtshalber offline", heißt es im Blog von StudiVZ. Der Angreifer habe aber weder auf Daten noch auf Passwörter zugreifen können. Der Ausfall soll rund eine Stunde dauern.

Im Blog wird auch auf eine weitere Neuigkeit hingewiesen: der geplanten Belohnung für das Auffinden von Sicherheitslücken. StudiVZ bietet nun für die Meldung von weiteren XSS- oder CSRF-Sicherheitslücken eine Belohnung von 256,- Euro - zunächst war von 128,- Euro die Rede - an. Bedingung ist allerdings, dass die Seitenbetreiber Zeit erhalten, das Problem zu beheben, ohne dass die Schwachstelle vom Hinweisgeber bereits technisch ausgenutzt oder veröffentlicht wird.

Derzeit landen entsprechende Entdeckungen eher in den Kommentaren der Blogbar oder des Blogs von Jörg-Olaf Schäfers, die ihrerseits auf einige Sicherheitslücken aufmerksam gemacht haben. So wurde heute über einen Kommentar in der Blogbar bekannt, dass es Nutzern von studiVZ ohne großen Aufwand möglich ist, Mitglied einer geschlossenen Gruppe zu werden. Dazu muss nur eine entsprechende URL aufgerufenden werden, mit der sich ein Nutzer selbst in eine solche, angeblich geschlossene Gruppe, einlädt.

Auch finden sich Hinweise darauf, wie sich die von studiVZ genutzten alphanummerischen IDs in nummerische umrechnen lassen. Das macht es unter anderem einfacher, alle Nutzerseiten nacheinander abzugrasen. Das automatisierte Auslesen von Daten aus öffentlich zugänglichen Nutzerseiten ("Crawling") hat studiVZ mittlerweile aber nach eigenen Angaben erschwert. Was ohne Ausnutzung von Sicherheitlücken möglich war, zeigt ein Screenshot bei Jörg-Olaf Schäfers. Dies ist allerdings kein Problem, das nur studiVZ betrifft.

In der Vergangenheit ist mehrfach von Nutzern der Studentenplattform der Versuch unternommen worden, Nutzerdaten auf studiVZ mittels derartiger automatisierter Verfahren auszulesen. "Es ist bedauerlich, wenn einzelne Nutzer versuchen, Daten von anderen Studenten selbst oder mit Hilfe von automatisierten Verfahren auszulesen. Diesem Missbrauch schieben wir, so gut es technisch möglich ist, einen Riegel vor. Wer versucht, Daten auszulesen, wird gesperrt", so Manfred Friedrich. "Crawler-Angriffe sind ein generelles Problem für soziale Netzwerke im Internet, weil als 'öffentlich' geschaltete Informationen von den registrierten Nutzern, aber genauso auch von automatisierten Abfrage-Scripten gelesen werden können."

Für die Nacht zu Donnerstag hatte studiVZ wieder einmal eine Wartungspause angekündigt. Heute heißt es in einer Pressemitteilung, studiVZ habe sich zum Ziel gesetzt, "die Sicherheit seines Angebots weiter aktiv zu verbessern, nachdem zu diesen Aspekten in den vergangenen Wochen wiederholt Kritik geäußert wurde." Das Unternehmen weist auch darauf hin, bereits vor einigen Wochen externe Experten mit der Suche nach Sicherheitslücken beauftragt zu haben.

Nachtrag vom 30. November 2006, 19:15 Uhr:
Die XSS-Sicherheitslücke hat studiVZ zwar nach eigenen Angaben mittlerweile behoben, bleibt aber weiter offline. Grund dafür ist die oben schon angesprochene, unerwünschte Möglichkeit, dass sich Nutzer selbst in geschlossene Gruppen eintragen können. (ji)
Kommentar-Übersicht / Kommentieren:
Re: 5 Zeichen (Buchstaben und Zahlen) (Jens H, 19.10.07 23:09)
5 Zeichen (Buchstaben und Zahlen) (Anja, 05.10.07 16:32)
Re: Depp (Jan schwingt..., 03.12.06 01:05)
Re: Dilettanten (Jan schwingt..., 03.12.06 01:05)
Junge, ... (ein/der Idiot, 01.12.06 17:40)
Trackback:

Wirbel um StudiVZ - Kommt mal etwas runter (Medienkompetenz.HostSys, 02.12.06 11:13)

StudiVZ: “Wir habens nicht drauf, findet die Fehler!”, Testsystem? (Jeriko One, 01.12.06 06:24)

StudiVZ: Unsere tägliche Sicherheitslücke gib uns heute (Arno Klein, 30.11.06 21:55)

256 Euro um StudiVZ zu hacken (Prometeo, 30.11.06 21:33)

And now something completely different: »quaero«, oder wie das heißt. (blogdoch.net — jetzt wird zurückgeblogt, 30.11.06 21:08)

StudiVZ Bashing (LeoBlog, 30.11.06 17:20)

StudiVZ.de… und Probleme ohne Ende (Takeo Apitzsch's Photoblog (tucos.de), 30.11.06 15:45)

Links zum Artikel
Verwandte Artikel

Blogbar

Jörg-Olaf Schäfers - Yamb.Beta2 (.org)

studiVZ.net


Mehr zum Thema RSS ATOM
Security 2.0 1.0
Internet 2.0 1.0
Soziales Netz 2.0 1.0
Alle News 2.0 1.0

Angriff auf studiVZ-Datenbank

Neue AGB: Hacken von studiVZ soll 6.000,- Euro kosten

Aufsichtsrat: Ehssan Dariani raus aus operativem Geschäft

Dem studiVZ folgt das schülerVZ

studiVZ-Blog gekapert


 

Audio/Video | Desktop-Applikationen | Foto | Games | Handy | Internet | Mobil | OSS | PC-Hardware | Politik/Recht | Security | Software-Entwicklung | Wirtschaft | Wissenschaft

Ticker | RSS | API | Forum | Zusatz-Dienste | Jobs | IT-Events

Home | Impressum | Werbung | Freunde

Copyright © 1997 - 2010 Golem.de. Alle Rechte vorbehalten.

 

Zum Artikel Text einblenden Text ausblenden