studiVZ verspricht Belohnung für Sicherheitslücken (Update)

Studentenportal am Donnerstag wegen eines neuen XSS-Angriffs offline

Die Pannenserie von kleinen und großen Problemen und Sicherheitslücken beim Studentenportal studiVZ reißt nicht ab. Nun verspricht studiVZ eine Belohnung von 256 Euro, wenn jemand Sicherheitslücken im Portal meldet. Parallel zu der Ankündigung ging studiVZ wegen eines erneuten XSS-Angriffs offline.

Artikel veröffentlicht am ,

Die Seite sei wegen eines XSS-Angriffs "vorsichtshalber offline", heißt es im Blog von StudiVZ. Der Angreifer habe aber weder auf Daten noch auf Passwörter zugreifen können. Der Ausfall soll rund eine Stunde dauern.

Im Blog wird auch auf eine weitere Neuigkeit hingewiesen: der geplanten Belohnung für das Auffinden von Sicherheitslücken. StudiVZ bietet nun für die Meldung von weiteren XSS- oder CSRF-Sicherheitslücken eine Belohnung von 256,- Euro - zunächst war von 128,- Euro die Rede - an. Bedingung ist allerdings, dass die Seitenbetreiber Zeit erhalten, das Problem zu beheben, ohne dass die Schwachstelle vom Hinweisgeber bereits technisch ausgenutzt oder veröffentlicht wird.

Derzeit landen entsprechende Entdeckungen eher in den Kommentaren der Blogbar oder des Blogs von Jörg-Olaf Schäfers, die ihrerseits auf einige Sicherheitslücken aufmerksam gemacht haben. So wurde heute über einen Kommentar in der Blogbar bekannt, dass es Nutzern von studiVZ ohne großen Aufwand möglich ist, Mitglied einer geschlossenen Gruppe zu werden. Dazu muss nur eine entsprechende URL aufgerufenden werden, mit der sich ein Nutzer selbst in eine solche, angeblich geschlossene Gruppe, einlädt.

Auch finden sich Hinweise darauf, wie sich die von studiVZ genutzten alphanummerischen IDs in nummerische umrechnen lassen. Das macht es unter anderem einfacher, alle Nutzerseiten nacheinander abzugrasen. Das automatisierte Auslesen von Daten aus öffentlich zugänglichen Nutzerseiten ("Crawling") hat studiVZ mittlerweile aber nach eigenen Angaben erschwert. Was ohne Ausnutzung von Sicherheitlücken möglich war, zeigt ein Screenshot bei Jörg-Olaf Schäfers. Dies ist allerdings kein Problem, das nur studiVZ betrifft.

In der Vergangenheit ist mehrfach von Nutzern der Studentenplattform der Versuch unternommen worden, Nutzerdaten auf studiVZ mittels derartiger automatisierter Verfahren auszulesen. "Es ist bedauerlich, wenn einzelne Nutzer versuchen, Daten von anderen Studenten selbst oder mit Hilfe von automatisierten Verfahren auszulesen. Diesem Missbrauch schieben wir, so gut es technisch möglich ist, einen Riegel vor. Wer versucht, Daten auszulesen, wird gesperrt", so Manfred Friedrich. "Crawler-Angriffe sind ein generelles Problem für soziale Netzwerke im Internet, weil als 'öffentlich' geschaltete Informationen von den registrierten Nutzern, aber genauso auch von automatisierten Abfrage-Scripten gelesen werden können."

Für die Nacht zu Donnerstag hatte studiVZ wieder einmal eine Wartungspause angekündigt. Heute heißt es in einer Pressemitteilung, studiVZ habe sich zum Ziel gesetzt, "die Sicherheit seines Angebots weiter aktiv zu verbessern, nachdem zu diesen Aspekten in den vergangenen Wochen wiederholt Kritik geäußert wurde." Das Unternehmen weist auch darauf hin, bereits vor einigen Wochen externe Experten mit der Suche nach Sicherheitslücken beauftragt zu haben.

Nachtrag vom 30. November 2006, 19:15 Uhr:
Die XSS-Sicherheitslücke hat studiVZ zwar nach eigenen Angaben mittlerweile behoben, bleibt aber weiter offline. Grund dafür ist die oben schon angesprochene, unerwünschte Möglichkeit, dass sich Nutzer selbst in geschlossene Gruppen eintragen können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Jens H 19. Okt 2007

Das Problem habe ich leider auch. Habe allerdings noch keine Lösung dafür gefunden.

Jan schwingt... 03. Dez 2006

wirklich ein hirnloses geschwätz von ihm!

Jan schwingt... 03. Dez 2006

Bist du dämlich! Wie oft haste denn schon über Windows geschimpft! Wenn du wüsstest, was...

ein/der Idiot 01. Dez 2006

...so wie du dich anhoerst, hast du eine Uni aber auch noch nie von innen gesehen oder...



Aktuell auf der Startseite von Golem.de
Neue Top-Level-Domains
Willkommen im .club oder .wtf?

2012 öffnete sich die Icann für mehr Top-Level-Domains. Ein Großteil der Community freute sich, einige sorgten sich. Und die Bilanz nach zehn Jahren? Überwiegend positiv.
Von Katrin Ohlmer

Neue Top-Level-Domains: Willkommen im .club oder .wtf?
Artikel
  1. Amazon: Höherer Mindestbestellwert für versandkostenfreie Lieferung
    Amazon
    Höherer Mindestbestellwert für versandkostenfreie Lieferung

    Unverändert lässt Amazon die Versandkosten, wenn der Mindestbestellwert für versandkostenfreie Lieferungen nicht erreicht wird.

  2. Virtualisieren mit Windows, Teil 3: Betrieb und Pflege von VMs mit Hyper-V
    Virtualisieren mit Windows, Teil 3
    Betrieb und Pflege von VMs mit Hyper-V

    Hyper-V ist ein Hypervisor, um VMs effizient verwalten zu können. Trotz einiger weniger Schwächen ist es eine gute Virtualisierungssoftware, wir stellen sie in drei Teilen vor. Im letzten geht es um Betrieb und Pflege der VMs.
    Eine Anleitung von Holger Voges

  3. 2D-Materialien: 2D-Transistoren kommen der Realität näher
    2D-Materialien
    2D-Transistoren kommen der Realität näher

    Transistoren aus 2D-Materialien sind besser als Silizium und könnten es einst ersetzen. Forschern gelang es, sie industrietauglich herzustellen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PCGH Cyber Week - Rabatte bis 50% • Acer Predator 32" WQHD 170Hz 529€ • MindStar-Tiefstpreise: MSI RTX 4090 1.982€, Sapphire RX 7900 XT 939€ • Philips Hue bis -50% • Asus Gaming-Laptops bis -25% • XFX Radeon RX 7900 XTX 1.199€ • Kingston 2TB 112,90€ • Nanoleaf bis -25% [Werbung]
    •  /