“Datenleck bei SchülerVZ” (netzpolitik.org)

Aus anonymer Quelle wurden uns Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein Datensatz umfasst mehr als eine Million Datensätze mit den Feldern Profil-ID, Name und dazugehörige Schule samt ID. Ein kleinerer Datensatz zeigt detailliertere Informationen mit den Feldern Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild (Plus dazu gehörigem Link auf Bild) an.

“Illegaler Datenkopierer auf schülerVZ” (blog.studivz.net)

Ein schülerVZ-Nutzer hat eine Vielzahl von Profilen aufgerufen…

Die VZler versuchen die Anzahl, von einer Million Datensätze, etwas zu verniedlicht. Von der Aussage her ist es zwar nicht wirklich falsch, aber bei solchen Größenordnungen grenzt dies doch schon an Desinformation.


“Zusatz zu “Illegaler Datenkopierer auf schülerVZ”: Die wichtigsten Fragen und Antworten auf einen Blick” (blog.studivz.net)

2.) Ist es tatsächlich möglich, dass ein einzelner Nutzer eine große Anzahl von Daten ausgelesen hat?

Ja, das kann im Grunde jeder machen, wenn er ausreichend Zeit hat, indem er sich die Profile Seite für Seite ansieht und dann kopiert.

Natürlich, klar, sischer datt! Da hat nun jemand sehr viel Zeit gehabt und ganz fleissig Copy & Paste gemacht, bis der Arzt kam und Lederhandschuh verschrieben hat.

Das ist natürlich Schwachfug, was die VZler da quatschen. Ich hoffe die VZler haben auch hier den Weg der Desinformation beschritten und denken nicht wirklich so!

Es ist sehr wahrscheinlich das Lücken im System vorhanden sind, welche den massenweisen Abruf der Daten ermöglichen. Entweder hat jemand es geschafft das Captcha auszutricksen, welches nach kurzer Zeit gelöst werden muss oder er hat einen anderen Weg gefunden, um seine Scripte arbeiten zulassen.

In den Updates von Markus Beckedahl gibt es noch weitere Hinweise dazu:

Hier wurden Scripte verwendet und eine sogenannte CSRF-Lücke genutzt (”Cross Site Request Forgery”).

Und natürlich auch das meist unterschätzte… Wer öfter meinen Blog liest ahnt es sicher schon. :O)

Nach Angaben der Quelle wurde eine kritische Cross-Site-Scripting Lücke entdeckt, mit welcher es möglich ist, ganze Accounts zu übernehmen. Der Quelle zufolge wurde SchülerVZ vor einer Woche von der Lücke informiert, aber sie kann heute immer noch genutzt werden.

und weiter unten noch dies

Der vor einer Woche eingeschickte Warnhinweis bezüglich der XSS-Lücke zum übernehmen von Profilen wurde nach dem heutigen Hinweis von mir mittlerweile auch gefunden. Das sollte in Zukunft schneller gehen.

Nach dem Login in studiVZ werden neun Cookies angelegt. Man muss nur aus einem der Cookies den Inhalt auslesen können und übertragen, um in einen fremden Account einzudringen. Ich nehme mal an, schülerVZ funktioniert ähnlich.

Aus den Antworten die ich auf meine Hinweise bekomme:

vielen Dank für Ihre Mail und Ihren Hinweis zu XSS.
Die von Ihnen beschriebenen Sicherheitslücken erlauben jedoch “nur” einen nicht-persistenten Angriff. Zu Schaden käme ein User oder die Website, wenn wir die Eingaben bzw. übermittelten Parameter ungefiltert z.B. in unsere Datenbank speichern würden. Das ist aber nicht der Fall. Insofern kann jemand mutwillig das Aussehen der Seite verändern, wenn er gewissen Seiten mit speziellen Parametern aufruft, aber dauerhaft ist das zum Glück nicht…

(Update: Um keine Missverständnisse aufkommen zu lassen: Diese Antwort bekam ich nicht von einem VZler. Es war jemand aus dem Bereich “Patienten bewerten ihren Arzt.”)

Ignoranten! Ignoranten! Ignoranten!


Das eigentliche Problem solcher Netzwerke ist die ähnliche Motivation des Seitenbetreibers und die eines Angreifers – beide wollen möglichst viele Daten sammeln.

Die Seitenbetreiber wollen natürlich viele Daten für alle User abrufbar machen, damit viele Klicks und PageViews erzeugt werden, und viel Reklame gesehen und hoffentlich auch geklickt wird. User die ihr Profil oder ihren Content nur für wenige User freischalten, sind nicht gerne gesehen, weshalb wohl auch die Grundeinstellung für Usercontent immer erst nachjustiert werden muss, wenn man nicht allen im Netzwerk den Zugriff gewähren möchte.

Offensichtlich sind die VZler schlecht versorgt, was gute Entwickler und Tester angeht. Die VZler sollten den Finder der Lücken nun nicht juristisch verfolgen, sondern den Kontakt zu ihm suchen und ihn evtl. um die Mithilfe bei der Suche nach weiteren Lücken bitten, denn ich bin 100% sicher, dass es in dem ganzen VZ-Netzwerk noch viele viele weitere Lücken gibt.