gulli: StudiVZ: Seite sicher, Blog gehackt

Anzeige

gulli:Toolbox

gulli news abonnieren
gulli:news feedburner stats

gulli auch auf deiner Seite:

Newsfeed abonnierennews feed
Suche auf deiner Seitesuchbox
Banner und Buttonsbanner & buttons

Voting

Worüber wollt ihr mehr News?
Netzwelt
Untergrund
Filesharing
Datenschutz
Hacking
Demoszene
Mobiles (Handy)
Linux
Feature (Gulli Glosse)
11. Januar 2007

StudiVZ Seite sicher, Blog gehackt

Licht und Schatten liegen nah beieinander beim Studierenden-Communityportal StudiVZ. Wegen zahlreicher Sicherheits- und PR-Pannen ins Gerede gekommen, verzeichnet das Portal nach wie vor erstaunliches Wachstum und wurde nach bester Dotcomblasenmanier vor kurzem für 50 Millionen von Holzbrinck gekauft. Starke Töne über die nun gewährleistete Datensicherheit spucken sollten jedoch auch die neuen Eigentümer nicht. Vor allem nicht, wenn anschließend das Blog der Seite gehackt wird.

Im Interview mit dem Manager Magazin gab Holzbrinck-Manaker Konstantin Urban an, dass die Seite nun "stabil" sei und man irgendwann auch "Dinge gut sein lassen" solle:

"Selbstverständlich musste man nachrüsten, und das hat StudiVZ getan. Die Datensicherheit ist jetzt gegeben. Unlängst hat der Chaos Computer Club vergebens versucht, sich ins System zu hacken. Auch die Seite ist jetzt stabil."

Von diesen Hackversuchen will man beim CCC zwar nichts wissen, aber nachgeholt wurde die Attacke nun - wenn auch nicht vom CCC, der sich von der Aktion distanzierte. Doch auch die unbekannten Angreifer ließen wenig Zweifel daran, dass der Chaos Computer Club wichtigeres zu tun habe, als ständig die Sicherheitslücken eines Studiportals aufzuspüren.

"Pause" ist nun auf dem StudiVZ-Blog, ein lakonisches "Ene mene meck, der Blog ist kurz mal weg. Er kommt aber bald wieder - wir arbeiten dran." findet sich auf der Startseite - dort las man in der vergangenen Nacht jedoch anderes:

"Liebe StudiVZler.

Der neue offizielle Eigentümer euer persönlichen Daten, Konstantin Urban von Holzbrinck Networks, scheint genauso wenig vom Thema Sicherheit zu verstehen, wie die Simulanten denen ihr bisher schon zu viele Details über euch anvertraut habt: gar nichts. So behauptet er dummdreist, der Chaos Computer Club hätte “vergeblich versucht das System zu hacken” und deswegen sei nun alles total sicher. Wörtlich behauptet Konstantin Urban im “manager magazin”:

“Selbstverständlich musste man nachrüsten, und das hat StudiVZ getan. Die Datensicherheit ist jetzt gegeben. Unlängst hat der Chaos Computer Club vergebens versucht, sich ins System zu hacken. Auch die Seite ist jetzt stabil.”

Das ist leider komplett falsch.

Der Chaos Computer Club beteiligt sich nicht an solchen “Hackt uns doch”-Mätzchen wie den von studiVZ ausgerufenen Wettbewerb. Es kommt leider vor, dass einzelne Spinner von sich behaupten “im Namen des CCC” zu handeln, wie wohl auch hier geschehen. Mit dem Chaos Computer Club hat das jedoch nichts zu tun.

Der Chaos Computer Club beschäftigt sich gerade mit wichtigeren Dingen, z.B. dem Vertrauensverlust durch Wahlcomputer, den Gefahren von biometrische Reisepässen und dem Kampf gegen die Totalüberwachung durch die sogenannte Vorratsdatenspeicherung. Vielleicht habt ihr ja auch besseres zu tun, als eure Daten freiwillig in den Rachen einer gewinnorientierten Verwertungsgesellschaft zu kippen und kümmert Euch mal um Euer Leben, die Welt da draußen und die wirklichen Probleme der Menschheit.

Vielen Dank

Dies ist eine maschinengenerierte Meldung im Interesse der öffentlichen Sicherheit. Sie ist ohne Unterschrift gültig."

Womit sich die Geschichte der Security- und PR-Debakel bei StudiVZ einmal mehr fortsetzt. Ausgenutzt wurde beim jetzigen Angriff eine Sicherheitslücke im verwendeten Wordpress, für das ein Exploit verfügbar ist, der einen Angriff bei register_globals=on und dem Datenbank-prefix "wp_" (Wordpress-Default) ermöglicht. Seclog empfiehlt, die wp-trackback.php vorübergehend zu löschen, bis ein Patch verfügbar ist.

© Copyright 2008 gulli.com  | home | sitemap | kontakt | impressum | Partner | downloads |