Daten sind wertvoll. Besonders, wenn man viele davon besitzt und diese von den Nutzern sogar selbst gepflegt werden. Das Studentenportal StudiVZ lebt von solchen Daten. Andere können jetzt auch davon leben.
Die Ursache ist einfach: Jeder angemeldete Benutzer von StudiVZ kann auf die Profile anderer zugreifen. Normalerweise muss sich dazu jeder Benutzer durch die Freundesliste hangeln oder durch die Suche neue Personen finden. Der Zugriff auf jedes Profil ist über eine frei einsehbare ID verknüpft. StudiVZ selbst beschreibt im Artikel „Sicherheitsbedenken sind unbegründet“, das diese IDs sicher sind und das erraten des Codes „viele Millionen Jahre“ benötigt. Auf Blogbar.de wurde gezeigt, wie aus eindeutigen Nummern die komplizierte ID errechnet wird. Nicht in Millionen Jahren, sondern mit dem Taschenrechner. Doch dieser Trick ist gar nicht nötig: Jedes der Profile ist einfach mit einer Zahl erreichbar. Es reicht, von 1 beginnend zu zählen und jeder kann sich die fremden Profile anschauen – in der Reihenfolge, wie sich die Benutzer registriert haben. Zwei der Gründer sind auch dabei: Dennis Bemmann hat die Nummer 4, Ehssan Dariani hat die Nummer 5.
Die Möglichkeiten, die sich daraus ergeben sind beängstigend. Das ist keine Sicherheitslücke, sondern ein offenes Portal. Es sind weder Programmierkenntnisse noch besondere Fähigkeiten nötig, an diese Daten zu kommen. Die Eingabe einer URL reicht. Wer Zugriff auf ein Profil hat, erfährt von derjenigen Person allerhand persönliches: Passbild, Name, Alter, Studienort, Geschlecht, Wohnort, Beziehungsstatus, Interessen, Lieblingsfilme- und bücher, Arbeitsgeber, Position usw. Dieses umfangreiche Bild der Person kann jeder noch erweitern, in dem er sich die Liste der bestellten Gruppen, die Freundesliste und das Gästebuch anschaut.
Das ist alles noch nicht spannend, wenn man nur die Profile der Freunde kennt. Nach StudiVZ-Angaben sind mittlerweile über 1 Millionen Studenten angemeldet. Die Summe dieser Daten dürfte jedoch einiges Wert sein und die persönlichen Daten könnten für die entsprechenden Personen durchaus ein Problem werden, wenn sie in die falschen Hände geraten.
StudiVZ sollte umgehend diese schwere Sicherheitslücke beseitigen oder das Portal vom Netz nehmen. Auf blogbar.de wurde schon angekündigt, dass die Daten gezogen werden.
Was theoretisch möglich wäre, wenn man ein paar Profile hat, zeigt die folgende Grafik mit fiktiven Werten der Anzahl der Neuanmeldungen pro Tag beim Start von StudiVZ. Mit allen oben genannten Daten wäre es möglich, viel persönlichere Dinge auszuwerten und mit fremden Datenbanken zu verknüpfen.
In diesem Artikel sind absichtlich keine weiteren Direktlinks auf mögliche Verfahren gesetzt, um einen möglichen Missbrauch nicht zu unterstützen. Siehe auch den Artikel zur Zukunft von StudiVZ. Einen sachlichen Überblick über die Thematik von StudiVZ liefert auch der Artikel von Falk Lüke.
Ähnliche Artikel:
- Account bei StudiVZ gelöscht Meinen Account bei StudiVZ habe ich gelöscht. Der Grund sind...
- Die Zukunft von StudiVZ Die Liste der Skandale und Probleme von StudiVZ ist lang...
- Stadtgepräch Jena NICHTS* *ohne Dich ist das Motto der neuen Webseite Stadtgespräch...
- Vorratsdatenspeicherung und die böse Bevölkerung Immer wieder wollen die Politiker den Bürgern glauben machen, dass...
- Copernic Desktop Search Version 1.63 Durch einen c’t Artikel bin ich vor längerer Zeit auf...
naja, die angaben in der blogbar sind anders, und die gründer sind nicht mehr unter den IDs erreichbar. die graphik sagt nichts aus.
schlechter beitrag. sorry.
Felix, welche Angaben sind anders? Die Gründer waren heute Mittag definitiv noch auf diesem Wege erreichbar und warum die Grafik nur bedingte Aussagekraft hat, steht im Text.
“StudiVZ sollte umgehend diese schwere Sicherheitslücke beseitigen oder das Portal vom Netz nehmen. Auf blogbar.de wurde schon angekündigt, dass die Daten gezogen werden.”
War schon längst geschehen, als Du diesen Beitrag geschrieben hast…
Sehr gute Zusammenfassung und Erklärung der Probleme rund um StudiVZ. Ich hatte selbst überlegt, sowas zu machen. Danke für die Arbeitsersparnis!
Atari: Was war schon geschehen? Die Sicherheitslücke existierte zum Zeitpunkt meines Beitrages noch. In den Kommentaren wurde geschrieben, das sie zwischenzeitlich mal geschlossen war, das hat sich aber wohl recht schnell wieder gegeben. Und ob schon jemand die Daten gezogen hat, kann ich naturgemäßg nicht beantworten.