Info
Kommentare bisher: 3
Veröffentlicht am: 1. December 2006
Tags: Bezahlung, Datenschutz, Hacker, offline, Persönlichkeitsrechte, Sexismus, Sicherheitsleck, Sparflamme, StudiVZ
Werbung
StudiVZ auf Sparflamme (seit 12 Stunden offline) – die Gründe?!
Das StudiVZ ist am 30. November schon einige Zeit offline. Mitternacht, am 01. Dezember 2006, noch immer ist das StudiVZ nicht wieder am Netz. Mindestens 12 Stunden offline war das System, wie es auch bei Olaf Schäfers heißt. Warum? Wie es scheint hat ein riesiges Sicherheitsleck, das am Vormittag des gestrigen Donnerstag im Internet den Laien vor Augen geführt wurde, zu erheblicher Unruhe geführt. Wie ein Gockel, der durch einen Hühnerhaufen marschierte, kam das System nicht mehr zur Ruhe.
Was war geschehen? — Der Eremit unter den Bloggern, Don Alphonso, er hatte auf einen im Web veröffentlichten Hinweis hin, sich den Eigenversuch, das Sicherheitsleck auszuloten, nicht nehmen lassen. Mittels ein paar einfachen Eingaben kann man eine vorhandene URL-Zeile so umformulieren, dass selbst nicht authorisierte Personen Zugang zu geschlossenen Gruppen im StudiVZ erhalten. Gesagt, getan. Don Alphonso enterte “legal” die bereits sagenumwobene ******-Gruppe und fand, dass man dort auch über seine Person ins Reden gekommen war. Die brisanten Stellen dürfte nur Don Alphonso selbst kennen, und die etwaigen Mitglieder der Gruppe. Zudem hat er die Verantwortlichen bei StudiVZ über diesen Tatbestand informiert. Die Persönlichkeitsrechte eines Einzelnen wurden von den Dandees aus der Gruppe ****** offensichtlich grob mit Füßen getreten. Ein werter Kollege stach besonders hervor. Ihm könnte prinzipiell dank der Möglichkeit, wirklich “JEDEN” Zugang zu kapern, und die Daten auszulesen, sogar eine Anzeige drohen?!
Kurz nach Bekanntwerden dieses Sachverhalts machten die Verantwortlichen bei StudiVZ aus der Not eine Tugend. Sie bedienten sich der Verbreitungswege im Internet (z. B. digg-it) und machten publik, dass sie Hackern für jedes Sicherheitsleck, das man ihnen auf dem Silbertablett präsentiere, 256 Euro zahlen würde. In meinen Augen ein Offenbarungseid des Datenschutzbeauftragten, der diese Botschaft in die Welt hinaus posaunt hat, eine Bankrotterklärung?!— man wird es sehen.
Erst am Mittwoch wurde das Gemurmel lauter, als ein vor Monaten zunächst gescheitertes Projekt (Java-Programm zum Auslesen der Freundesbeziehungen im StudiVZ) wohl endlich die Funktionsreife erlangte. Der Programmierer erhielt sogar einen Anruf von höchster Stelle, der Mit-Macher von StudiVZ, Dennis Bemmann, rief bei ihm an, er möge doch bitte den Quellcode nicht veröffentlichen. Das Programm machte sich Etwas zu eigen, das eigentlich als Feature und nicht als Bug (Fehler) angesehen werden muss. Jeder könnte innerhalb seines Accounts von Hand aus zu den Daten gelagen und sie in ein Programm einpflegen und sie derart strukturiert ausgeben lassen, dass sie in einem Beziehungsgraphen angezeigt würden. Das Interessante an der Java-Anwendung war jedoch, dass sie eigenständig funktionierte, die StudiVZ-Webseite nicht benötigte (eine Fernabfrage).
kkkkk
Der Beschreibung bei Heise Online nach gab es noch ein anderes Problem, das wohl auch Auslöser für die Notabschaltung war (StudiVZ spricht im Blog von einer weiteren XSS-Lücke).
Dass die Sache mit den Gruppen zeitnah bei Don in den Kommentaren auftauchte, dürfte Zufall sein. Laut StudiVZ-Blog hat man sie erst 2 Stunden später bemerkt, was ich allerdings nicht so recht glauben, da die Berliner inzwischen wohl zu den treuesten Lesern unserer Blogs gehören. Wie auch immer, es ist eigentlich kein Problem, wofür man das System 1 1/2 Tage vom Netz nehmen muss.
Da ist es schon wahrscheinlicher, dass noch weitere Lücken gefunden wurden, die erst noch gefixt werden sollen. Mutige Entscheidung, aber vernünftig.
Mh, ich habe in den letzten Wochen wirklich einiges um die Gründer dieser Veranstaltung gelesen, besonders Herr Dariani wirkt ein wenig grotesk auf mich.
Was ich allerdings sagen kann, ist, dass es sich hier ungefähr so verhält wie bei der Maut-Geschichte, bei dem Versuch eine vernünftige Software für die Arbeitsagentur zu entwerfen oder bei der jetzt seit Wochen kränkelnden Vermarktung von IPTV-Signalen der Champions League über Premiere.DE – Immer ist eine Art Vetternwirtschaft zu beobachten; eine Hand wäscht die andere; Beziehungen genießen eine höhere Priorität als fachliches Knowhow. Gut, vielleicht gibt es auch manche Leute, die sich angeboten haben, und ihr eigenes Können einfach maßlos überschätzten. Es wirkt jedoch alles sehr dilettantisch. Anders kann man diese Fälle nicht kommentieren, oder?! Das Schöne an der Sache, finde ich, ist, dass gerade der kapitalistische Geist mit dem Höher, Schneller, Weiter-Denken in solchen Fällen immer einen schönen Dämpfer kriegt. Der Mensch ist ein Gewohnheitstier, und wir gewöhnen uns mitunter an eine Menge von Dingen, aber es gibt immer irgendwo eine Schmerzgrenze.
Das was jetzt hier mit StudiVZ passiert, das hätte ich mir im Fall der Arbeitsagentur und des Maut-Konglomerats ebenfalls gewünscht. Die Blogger, wie wir von den Mitgliedern der Sexismus-Gruppe müde belächelt werden, tragen zur Aufklärung der Sache bei. Die Medien haben sich im Falle der anderen Beispiele zu sehr aus der Verantwortung genommen. Es gab unter ihnen keinen Don Alphonso oder Olaf Schäfers, die nicht aufhören wollten, mit dem Finger in der Wunde zu pulen, damit am Ende alle etwas davon haben.