|
Im ersten Teil unserer zweiteiligen Reihe über die virtuelle Studentengemeinschaft StudiVZ wollen wir über die Pannenserie von Problemen und Sicherheitslücken beim Studentenportal berichten. Der Zweite Teil befasst sich mit merkwürdigen Auftritten des Gründers Ehssan Darianis in der Öffentlichkeit und mit dubiosen Geschäftspraktiken des Portals. In wenigen Tagen mehr dazu.
Die beliebte StudiVZ-Community ist zurzeit mit etwa einer Million verzeichneten Accounts – der millionste Nutzer wurde am 11. November 2006 willkommen geheißen – das größte Studentenportal in Deutschland. Allerdings hat das Unternehmen, aufgrund zahlreicher Störungen und Ausfällen in den letzten Wochen, einen Hagel an Kritik einstecken müssen.
Zudem wurden wiederholt Sicherheitslücken aufgedeckt und die Betreiber mussten vom 30. November 2006 bis zum 5. Dezember 2006 offline gehen. Durch die Fehler auf der Seite wurde Dritten Zugriff auf persönliche Gästebücher oder geschlossene Benutzergruppen gestattet. Über diverse XSS-Lücken (Sie erlauben Unbekannten das Auslesen von Benutzerdaten wie Namen, Passwörtern, Freunden, Gruppen.) bestand die Möglichkeit, fremde Accounts zu übernehmen.
Nach Angaben des StudiVZ wurde die Lücke, über die sich der Wurm weiterverbreiten konnte, sofort nach bekannt werden des Vorfalls geschlossen. Die Seite blieb jedoch vorerst offline. Von Seiten des Unternehmens wurde zunächst eine Pause bis Freitagnacht angekündigt, anschließend wurde die Auszeit offiziell bis Dienstag, den 5. Dezember 2006, verlängert.
Im Weblog des Unternehmens heißt es zu dem Vorfall: „Wir sind auf ein paar Sachen gestoßen, die wir unbedingt beheben wollten bevor wir wieder online gehen. Aus diesem Grunde bleiben wir noch bis Dienstag offline und gehen das System sehr gründlich durch.“ Schon einmal musste die Plattform angesichts eines ähnlichen Angriffs und mehrerer bekannt gewordener Sicherheitslücken offline gehen.
Gleichzeitig hat die Limited Company schnell ein neues System angelegt. Bezweckt werden soll, dass Interessierte nach Sicherheitslücken forschen können. Wenn eine Sicherheitslücke aufgedeckt und an das Unternehmen gemeldet wird, sollte der Finder ursprünglich 128 Euro bekommen. Dieser Betrag wurde später auf 256 Euro aufgestockt.
Aufgrund zahlreicher Proteste, die stark bemängelten, einen Hack-Wettbewerb auf ein Produktivsystem mit vertraulichen Mitgliedsdaten zu veranstalten, stoppte das Unternehmen den Aufruf wieder. Stattdessen sollen sich die Lückensucher auf einem Parallelsystem ohne echte Mitgliedsdaten austoben.
Mit fingierten Mitgliedsdaten soll das angelegte Testsystem gefüttert werden. Die Wettbewerbsbedingungen sind ziemlich rigoros: Es wird nur das Aufspüren von XSS- und CSRF-Lücken prämiert. Des Weiteren dürfen keine fremden Daten ausgelesen oder verändert werden, obwohl sich in dem System keine intimen Daten befinden.
Entsprechend den Regeln, darf der Server nicht überlastet oder lahmgelegt werden. Die Daten auf der Test-Plattform sind allerdings nicht völlig fiktiv. Um an der Fehlersuche überhaupt teilnehmen zu dürfen, muss sich der Sucher erst einmal mit einer intakten E-Mail-Adresse anmelden.
Innerhalb weniger Stunden gingen fast Tausend Kommentare im Weblog ein, nachdem StudiVZ die Begründung zur Auszeit auf der Startseite der Studentenplattform verlinkt hatte. In den Blogkommentaren versucht das Unternehmen seine Nutzer zu beschwichtigen und räumt Fehler in der Kommunikation, aber auch in der Sicherheit der Plattform ein.
Wir hoffen Ihre Neugier geweckt zu haben und Sie auch im zweiten Teil dieses Artikels als unsere Leser begrüßen zu dürfen.
|
