Abo
  • Services:
Anzeige

studiVZ verspricht Belohnung für Sicherheitslücken (Update)

Studentenportal am Donnerstag wegen eines neuen XSS-Angriffs offline

Die Pannenserie von kleinen und großen Problemen und Sicherheitslücken beim Studentenportal studiVZ reißt nicht ab. Nun verspricht studiVZ eine Belohnung von 256 Euro, wenn jemand Sicherheitslücken im Portal meldet. Parallel zu der Ankündigung ging studiVZ wegen eines erneuten XSS-Angriffs offline.

Die Seite sei wegen eines XSS-Angriffs "vorsichtshalber offline", heißt es im Blog von StudiVZ. Der Angreifer habe aber weder auf Daten noch auf Passwörter zugreifen können. Der Ausfall soll rund eine Stunde dauern.

Anzeige

Im Blog wird auch auf eine weitere Neuigkeit hingewiesen: der geplanten Belohnung für das Auffinden von Sicherheitslücken. StudiVZ bietet nun für die Meldung von weiteren XSS- oder CSRF-Sicherheitslücken eine Belohnung von 256,- Euro - zunächst war von 128,- Euro die Rede - an. Bedingung ist allerdings, dass die Seitenbetreiber Zeit erhalten, das Problem zu beheben, ohne dass die Schwachstelle vom Hinweisgeber bereits technisch ausgenutzt oder veröffentlicht wird.

Derzeit landen entsprechende Entdeckungen eher in den Kommentaren der Blogbar oder des Blogs von Jörg-Olaf Schäfers, die ihrerseits auf einige Sicherheitslücken aufmerksam gemacht haben. So wurde heute über einen Kommentar in der Blogbar bekannt, dass es Nutzern von studiVZ ohne großen Aufwand möglich ist, Mitglied einer geschlossenen Gruppe zu werden. Dazu muss nur eine entsprechende URL aufgerufenden werden, mit der sich ein Nutzer selbst in eine solche, angeblich geschlossene Gruppe, einlädt.

Auch finden sich Hinweise darauf, wie sich die von studiVZ genutzten alphanummerischen IDs in nummerische umrechnen lassen. Das macht es unter anderem einfacher, alle Nutzerseiten nacheinander abzugrasen. Das automatisierte Auslesen von Daten aus öffentlich zugänglichen Nutzerseiten ("Crawling") hat studiVZ mittlerweile aber nach eigenen Angaben erschwert. Was ohne Ausnutzung von Sicherheitlücken möglich war, zeigt ein Screenshot bei Jörg-Olaf Schäfers. Dies ist allerdings kein Problem, das nur studiVZ betrifft.

In der Vergangenheit ist mehrfach von Nutzern der Studentenplattform der Versuch unternommen worden, Nutzerdaten auf studiVZ mittels derartiger automatisierter Verfahren auszulesen. "Es ist bedauerlich, wenn einzelne Nutzer versuchen, Daten von anderen Studenten selbst oder mit Hilfe von automatisierten Verfahren auszulesen. Diesem Missbrauch schieben wir, so gut es technisch möglich ist, einen Riegel vor. Wer versucht, Daten auszulesen, wird gesperrt", so Manfred Friedrich. "Crawler-Angriffe sind ein generelles Problem für soziale Netzwerke im Internet, weil als 'öffentlich' geschaltete Informationen von den registrierten Nutzern, aber genauso auch von automatisierten Abfrage-Scripten gelesen werden können."

Für die Nacht zu Donnerstag hatte studiVZ wieder einmal eine Wartungspause angekündigt. Heute heißt es in einer Pressemitteilung, studiVZ habe sich zum Ziel gesetzt, "die Sicherheit seines Angebots weiter aktiv zu verbessern, nachdem zu diesen Aspekten in den vergangenen Wochen wiederholt Kritik geäußert wurde." Das Unternehmen weist auch darauf hin, bereits vor einigen Wochen externe Experten mit der Suche nach Sicherheitslücken beauftragt zu haben.

Nachtrag vom 30. November 2006, 19:15 Uhr:
Die XSS-Sicherheitslücke hat studiVZ zwar nach eigenen Angaben mittlerweile behoben, bleibt aber weiter offline. Grund dafür ist die oben schon angesprochene, unerwünschte Möglichkeit, dass sich Nutzer selbst in geschlossene Gruppen eintragen können.


eye home zur Startseite
Jens H 19. Okt 2007

Das Problem habe ich leider auch. Habe allerdings noch keine Lösung dafür gefunden.

Jan schwingt... 03. Dez 2006

wirklich ein hirnloses geschwätz von ihm!

Jan schwingt... 03. Dez 2006

Bist du dämlich! Wie oft haste denn schon über Windows geschimpft! Wenn du wüsstest, was...

ein/der Idiot 01. Dez 2006

...so wie du dich anhoerst, hast du eine Uni aber auch noch nie von innen gesehen oder...

ein anderer... 01. Dez 2006

Wenn ich Nudeln koche, spritzt mir das Wasser auch ueber den Topfrand. Deswegen koche...


blogdoch.net — jetzt wird zurückgeblogt / 30. Nov 2006

Takeo Apitzsch's Photoblog (tucos.de) / 30. Nov 2006

StudiVZ.de... und Probleme ohne Ende



Anzeige

Stellenmarkt
  1. Karer Consulting AG, Weingarten, Göppingen (Home-Office möglich)
  2. mateco GmbH, Stuttgart
  3. Fraunhofer-Institut für Produktionstechnologie IPT, Aachen
  4. über duerenhoff GmbH, Köln


Anzeige
Blu-ray-Angebote
  1. (u. a. Logan Blu-ray 9,97€, Deadpool Blu-ray 8,97€, Fifty Shades of Grey Blu-ray 11,97€)
  2. 12,99€
  3. (u. a. Game of Thrones, Big Bang Theory, The Vampire Diaries, Supernatural)

Folgen Sie uns
       


  1. VBB Fahrcard

    E-Ticket-Kontrolle am Prüfgerät wird in Berlin zur Pflicht

  2. Glasfaser

    M-net schließt weitere 75.000 Haushalte an

  3. Pwned Passwords

    Troy Hunt veröffentlicht eine halbe Milliarde Passworthashes

  4. Smach Z

    PC-Handheld nutzt Ryzen V1000

  5. Staatstrojaner und Quick-Freeze

    Österreich verschärft frühere Überwachungspläne

  6. Allensbach-Studie

    Altersvorsorge selbständiger IT-Experten ist sehr solide

  7. Maschinelles Lernen

    Biometrisches Captcha nutzt Sprache und Bild

  8. Gigabit

    Swisscom führt neue Mobilfunkgeneration 5G schon 2018 ein

  9. Bpfilter

    Linux-Kernel könnte weitere Firewall-Technik bekommen

  10. Media Broadcast

    Freenet TV kommt auch über Satellit



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Star Trek Discovery: Die verflixte 13. Folge
Star Trek Discovery
Die verflixte 13. Folge
  1. Star Trek Bridge Crew Sternenflotte verlässt Holodeck

Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

  1. Re: Noch nie einen Fahrer gehabt der eine Karte...

    Schnurrbernd | 01:37

  2. So und nur so!

    Vögelchen | 01:28

  3. Re: Was ist mit Salt?

    corruption | 01:20

  4. Re: Um die Besucher brauchen die sich keine...

    bentol | 01:20

  5. Re: Meine Ansicht zu dem Ganzen:

    p4m | 01:18


  1. 18:21

  2. 18:09

  3. 18:00

  4. 17:45

  5. 17:37

  6. 17:02

  7. 16:25

  8. 16:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel