Vanity Care » Blog Archiv » StudiVZ geht in die Knie

30. November 2006, 22:36 Uhr

StudiVZ geht in die Knie

Ein Erfolg für die Watchblogger und ein Gewinn für den Datenschutz, für die Betreiber von StudiVZ eher ein Eingeständnis der Stümperhaftigkeit. Seit Donnerstag Mittag ist das Studenten-Portal nicht mehr zu erreichen. Was anfangs nur etwa eine Stunde dauern sollte, zieht sich nun schon einen halben Tag hin. Bei den Usern gruschelt’s weniger, mehr grummelt’s.

Bevor die Seite vom Netz ging, war häppchenweise bekannt geworden, dass die Datensicherheit beim StudiVZ, bei dem Hunderttausende Kommilitonen persönliche Daten hinterlegt haben, nicht dem Anspruch genügt, denn das Unternehmen selbst vorgegeben hat. Von Nutzern angegebene Klarnamen, Adressen, Hobbys, Musikvorlieben, hochgeladene Partyfotos – auch unvorteilhafte – waren frei zugänglich. Mit einem banalen Trick konnte sich jeder selbst in eigentlich private Nutzer-Gruppen einladen. Und das Verschlüsselungssystem, dass die Pfade zu Gruppen, Profile und Dateien durch lange Buchstaben-Zahlen-Ketten verschleiern sollte, erwies sich als leicht entzifferbar.

Verbesserungen, Korrekturen, Entschuldigungen – blieben beim StudiVZ aus, obwohl Blogger DonAlphonso, der als Hauptaufdecker der zweifelhaften Praktiken bei dem Unternehmen gelten kann, stets ankündigte, er habe noch weitere pikante Details in der Hinterhand – unter anderen live in der Podcast-Show “Trackback” beim Rundfunk Berlin-Brandenburg.

Stattdessen versuchten die StudiVZ-Verantwortlichen durch Leugnen die Sicherheitslöcher unentdeckt zu machen. Am 20. November nannte es Manfred Friedrich, der StudiVZ-Datenschutzbeauftragte, ein „Gerücht“, dass private Fotos generell öffentlich zugänglich seien – also auch dann, wenn sie von den Einstellern als privat eingestuft wurden – und auch dann, wenn der Sucher gar nicht bei StudiVZ eingetragener User ist. Dieses Gerücht sei “falsch und wurde nur verbreitet um uns zu schaden“, sagte Sicherheitsmann Friedrich. Doch der Gegenbeweis war bereits an der Blogbar nachzulesen.

Sicherheitsmann Friedrich hob zu einer Hymne auf den Datenschutz beim StudiVZ an (”Die Kombination des von uns verwendeten Codes ist bedeutend komplexer als die Kombination aus PIN und TAN beim Online-Banking.“), während bei anderem der Verdacht entstand, das junge Unternehmen verschleppe wissend ein riesiges Sicherheitsproblem.

Blogger Jörg-Ole Schäfers fing sich zu seinem Posting den Kommentar eines Nutzers ein, der das Problem schon einen Monat zuvor dem Unternehmen gemeldet hatte. Weiter kamen Zweifel auf, ob der vorgeschriebene Datenschutzbeauftragte beim StudiVZ ordnungsgemäß bestellt ist. Friedrich kümmert sich nach Angaben des VZ nicht nur um die Sicherheit der Daten, sondern ist auch “mitverantwortlich für Betrieb und Software Entwicklung”. Beobachter sehen hier einen schweren Interessenkonflikt, der mit den Vorgaben des Bundesdatenschutzgesetzes für Datenschutzbeauftragte unvereinbar scheint.

Nach den Eskapaden des StudiVZ-Gründers Ehssan Dariani, der mit öffentlichen Party-Einladungen im Stil der Nazi-Propaganda-Postille “Völkischer Beobachter”, als Inhaber der gleichlautenden Domain, mit Frauen auf Toiletten belästigenden Youtube-Videos aufgefallen war und um den es sehr ruhig geworden ist, folgte ein weiterer Fund in der Schmutzkiste:

Im StudiVZ hatte sich eine Gruppe von 700 jungen Männern gebildet, die eingestellte Fotos von hübschen Frauen (auch mal weniger bekleidet) recherchierte und inoffiziell zur Abstimmung stellte. Die Gewinnerin des Titels “Miss StudiVZ des Monats” wurde dann – nach Verabredung – von vielen Herren zwangsgegruschelt. Dieses e-Stalking fand zudem mit Wissen der StudiVZ-Leitung statt. Ein Mitglied der Unternehmensleitung hatte sich in diese Gruppe aufnehmen lassen. Dass das Online-Gebagger und –Gelechze von fließigen Rechercheuren nachvollzogen wurde, kann nur als weiterer Beweis für die Unsicherheit der Daten bei dem Unternehmen gelten.

Dass das Portal nur vorübergehend seine Pforten ganz schloss, steht aber eher im Zusammenhang mit den jüngsten Enthüllungen. So kann jeder in eine eigentlich private Gruppe eintreten. Normalerweise ist dafür eine Einladung aus der Gruppe, doch die kann sich jeder selbst zuschicken. Dafür mussten nur die Nummer der Gruppe und die eigene Nutzer-Nummer in die Browser-Eingabe “http://www.studivz.net/groupinvite.php? ids=DEINE_USERID&&gids=GRUPPENID&save=1″ eingesetzt werden.

Dass die StudiVZ-Verschlüsselungstechnik ohne Hacker-Wissen nur durch geduldige Beobachtung zu knacken war, fand VZ-Nutzer Michi heraus. Am Beispiel des verschlüsselten Codes (ids) SV1SVT, der für einen Nutzer steht und verhindern soll, dass gleich jeder sieht, wer dahinter steckt, zeigt er den Umrechnungsweg hin zur klaren Nutzernummer (id) 361899. Das Ganze beschreibt er so: „Zuerst wandelt man die ids wie oben beschrieben in eine Dezimalzahl, teilt anschließend durch die ermittelte magische StudiVZ-Zahl 283 - und schneidet nur noch die Nachkommastellen ab“ Wer es mit der eigenen Nutzerkennung nachrechnen will, sollte Michis Beschreibung folgen.

Nachdem das StudiVZ in der Nacht vom 23. auf den 24. November schon etwas nachgebessert hatte, ist die Seite nun seit mehr als einen halben Tag offline. Kein Gruscheln mehr, dafür Grummeln im Forum. Übel stößt bei StudiVZ-Anhängern auf, dass 256 Euro als Prämie an jeden gezahlt werden sollen, der eine Sicherheitslücke meldet, die laut Studi-VZ-Meldungen aus der vergangenen Woche gar nicht gibt. “Habt ihr euch geirrt, oder gelogen?”, will ein Nutzer wissen. “Wer garantiert einem denn denn, dass die default-Antwort von studivz nicht lautet: ‘vielen dank, aber die von dir eingeschickte verwundbarkeit wurde uns bereits gemeldet.’?”, zweifelt ein weiterer Nutzer die Ehrlichkeit der Aufspürprämie an.

Vertrauen ist verspielt worden. Die erst geleugneten aber doch vorhandenen Lücken und Lecks scheinen den Verantwortlichen als so schwerwiegend, dass die Seite erst einmal komplett ins Off musste, statt dass im Hintergrund Lösungen entwickelt werden, die nach und nach in das aktive Angebot eingebaut werden. Mit der Abschaltung ist das StudiVZ in die Knie gegangen. Es folgen Aufstehen oder der vollendete Sturz zum Boden.

Bookmarken