Abo
  • Services:
Anzeige

studiVZ verspricht Belohnung für Sicherheitslücken (Update)

Studentenportal am Donnerstag wegen eines neuen XSS-Angriffs offline

Die Pannenserie von kleinen und großen Problemen und Sicherheitslücken beim Studentenportal studiVZ reißt nicht ab. Nun verspricht studiVZ eine Belohnung von 256 Euro, wenn jemand Sicherheitslücken im Portal meldet. Parallel zu der Ankündigung ging studiVZ wegen eines erneuten XSS-Angriffs offline.

Die Seite sei wegen eines XSS-Angriffs "vorsichtshalber offline", heißt es im Blog von StudiVZ. Der Angreifer habe aber weder auf Daten noch auf Passwörter zugreifen können. Der Ausfall soll rund eine Stunde dauern.

Anzeige

Im Blog wird auch auf eine weitere Neuigkeit hingewiesen: der geplanten Belohnung für das Auffinden von Sicherheitslücken. StudiVZ bietet nun für die Meldung von weiteren XSS- oder CSRF-Sicherheitslücken eine Belohnung von 256,- Euro - zunächst war von 128,- Euro die Rede - an. Bedingung ist allerdings, dass die Seitenbetreiber Zeit erhalten, das Problem zu beheben, ohne dass die Schwachstelle vom Hinweisgeber bereits technisch ausgenutzt oder veröffentlicht wird.

Derzeit landen entsprechende Entdeckungen eher in den Kommentaren der Blogbar oder des Blogs von Jörg-Olaf Schäfers, die ihrerseits auf einige Sicherheitslücken aufmerksam gemacht haben. So wurde heute über einen Kommentar in der Blogbar bekannt, dass es Nutzern von studiVZ ohne großen Aufwand möglich ist, Mitglied einer geschlossenen Gruppe zu werden. Dazu muss nur eine entsprechende URL aufgerufenden werden, mit der sich ein Nutzer selbst in eine solche, angeblich geschlossene Gruppe, einlädt.

Auch finden sich Hinweise darauf, wie sich die von studiVZ genutzten alphanummerischen IDs in nummerische umrechnen lassen. Das macht es unter anderem einfacher, alle Nutzerseiten nacheinander abzugrasen. Das automatisierte Auslesen von Daten aus öffentlich zugänglichen Nutzerseiten ("Crawling") hat studiVZ mittlerweile aber nach eigenen Angaben erschwert. Was ohne Ausnutzung von Sicherheitlücken möglich war, zeigt ein Screenshot bei Jörg-Olaf Schäfers. Dies ist allerdings kein Problem, das nur studiVZ betrifft.

In der Vergangenheit ist mehrfach von Nutzern der Studentenplattform der Versuch unternommen worden, Nutzerdaten auf studiVZ mittels derartiger automatisierter Verfahren auszulesen. "Es ist bedauerlich, wenn einzelne Nutzer versuchen, Daten von anderen Studenten selbst oder mit Hilfe von automatisierten Verfahren auszulesen. Diesem Missbrauch schieben wir, so gut es technisch möglich ist, einen Riegel vor. Wer versucht, Daten auszulesen, wird gesperrt", so Manfred Friedrich. "Crawler-Angriffe sind ein generelles Problem für soziale Netzwerke im Internet, weil als 'öffentlich' geschaltete Informationen von den registrierten Nutzern, aber genauso auch von automatisierten Abfrage-Scripten gelesen werden können."

Für die Nacht zu Donnerstag hatte studiVZ wieder einmal eine Wartungspause angekündigt. Heute heißt es in einer Pressemitteilung, studiVZ habe sich zum Ziel gesetzt, "die Sicherheit seines Angebots weiter aktiv zu verbessern, nachdem zu diesen Aspekten in den vergangenen Wochen wiederholt Kritik geäußert wurde." Das Unternehmen weist auch darauf hin, bereits vor einigen Wochen externe Experten mit der Suche nach Sicherheitslücken beauftragt zu haben.

Nachtrag vom 30. November 2006, 19:15 Uhr:
Die XSS-Sicherheitslücke hat studiVZ zwar nach eigenen Angaben mittlerweile behoben, bleibt aber weiter offline. Grund dafür ist die oben schon angesprochene, unerwünschte Möglichkeit, dass sich Nutzer selbst in geschlossene Gruppen eintragen können.


eye home zur Startseite
Jens H 19. Okt 2007

Das Problem habe ich leider auch. Habe allerdings noch keine Lösung dafür gefunden.

Jan schwingt... 03. Dez 2006

wirklich ein hirnloses geschwätz von ihm!

Jan schwingt... 03. Dez 2006

Bist du dämlich! Wie oft haste denn schon über Windows geschimpft! Wenn du wüsstest, was...

ein/der Idiot 01. Dez 2006

...so wie du dich anhoerst, hast du eine Uni aber auch noch nie von innen gesehen oder...

ein anderer... 01. Dez 2006

Wenn ich Nudeln koche, spritzt mir das Wasser auch ueber den Topfrand. Deswegen koche...


blogdoch.net — jetzt wird zurückgeblogt / 30. Nov 2006

Takeo Apitzsch's Photoblog (tucos.de) / 30. Nov 2006

StudiVZ.de... und Probleme ohne Ende



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. operational services GmbH & Co. KG, Braunschweig
  3. Preh GmbH, Bad Neustadt (Saale)
  4. T-Systems International GmbH, Darmstadt


Anzeige
Top-Angebote
  1. 99,90€ inkl. Versand (Vergleichspreise ab ca. 129€)
  2. 59,99€/69,95€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Tipps für IT-Engagement in Fernost


  1. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  2. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  3. Sicherheit

    Operas Server wurden angegriffen

  4. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  5. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  6. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  7. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie

  8. Gigabit-Breitband

    Google Fiber soll Alphabet zu teuer sein

  9. Google-Steuer

    EU-Kommission plädiert für europäisches Leistungsschutzrecht

  10. Code-Gründer Thomas Bachem

    "Wir wollen weg vom Frontalunterricht"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Next Gen Memory: So soll der Speicher der nahen Zukunft aussehen
Next Gen Memory
So soll der Speicher der nahen Zukunft aussehen
  1. Arbeitsspeicher DDR5 nähert sich langsam der Marktreife
  2. SK Hynix HBM2-Stacks mit 4 GByte ab dem dritten Quartal verfügbar
  3. Arbeitsspeicher Crucial liefert erste NVDIMMs mit DDR4 aus

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Softrobotik Oktopus-Roboter wird mit Gas angetrieben
  2. Warenzustellung Schweizer Post testet autonome Lieferroboter
  3. Lockheed Martin Roboter Spider repariert Luftschiffe

8K- und VR-Bilder in Rio 2016: Wenn Olympia zur virtuellen Realität wird
8K- und VR-Bilder in Rio 2016
Wenn Olympia zur virtuellen Realität wird
  1. 400 MBit/s Telefónica und Huawei starten erstes deutsches 4.5G-Netz
  2. Medienanstalten Analoge TV-Verbreitung bindet hohe Netzkapazitäten
  3. Mehr Programme Vodafone Kabel muss Preise für HD-Einspeisung senken

  1. Re: Desktop-Android - Clickbait at it's best!

    Pjörn | 21:40

  2. Re: Was? Kann doch gar nicht sein.

    bombinho | 21:36

  3. Re: Bestellt

    Bla_GN | 21:36

  4. Re: Unterschied zu V7?

    Bla_GN | 21:34

  5. finde ich gut so

    triplekiller | 21:29


  1. 15:59

  2. 15:18

  3. 13:51

  4. 12:59

  5. 15:33

  6. 15:17

  7. 14:29

  8. 12:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel