Da schreibt einer einen Kommentar auf meinen letzten Eintrag und ich denk mir, meint der das ernst? Das widerspricht doch dem was sie offiziell kommunizieren!? Da frage ich doch erst einmal nach, ob ich den freischalten soll. Er meint das ernst. Ok, dann eben öffentlich.

dann hilf uns doch mit die VZs sicherer zu machen und melde dich – gerne direkt bei mir!
fakt ist, dass crawler unterwegs waren und die durch unsere captchas nicht gestoppt werden konnten.
über offene xss oder csrf lücken ist uns nichts bekannt, hier bin ich für hinweise dankbar.

Mein Gedankengang zu dem Kommentar war der folgende:

Markus Beckedahl hat in seinem Blog geschrieben, dass er studiVZ Informationen zu XSS- und CSRF-Lücken gesendet habe und selber die XSS-Lücke testen konnte. studiVZ hat Beckedahl für die gute Zusammenarbeit gelobt, was zwar nicht bedeutet, dass studiVZ genau diese Hinweise schon gelesen hat, aber nun in meinem Blog öffentlich zuzugeben, dass sie keine Kenntnis von XSS- und CSRF-Lücken haben, ist kein guter Schachzug, um das Misstrauen gegenüber schülerVZ abzubauen.

Auch hier zu bestätigen, das Scripte die Captchas aushebeln konnten, während im Blog von studiVZ die Frage “Ist es tatsächlich möglich, dass ein einzelner Nutzer eine große Anzahl von Daten ausgelesen hat?” noch immer so beantwortet wird, als ob da jemand manuell am Werk war, passt irgendwie nicht zusammen. Jetzt könnte der Eindruck entstehen, dass studiVZ nicht gründlich genug nach den Ursachen geforscht hat und kein gutes Monitoring betreibt.


Meine Bedenken, den Kommentar sofort freizuschalten, versah ich noch mit zwei weiteren Hinweisen zu Sicherheitslücken, so meine Einschätzung dazu, die mir vorgestern bei einem kurzen Besuch auf studiVZ auffielen.

Der erste Hinweis betraf den Loginvorgang in studiVZ. Im Formular werden in hidden-Feldern Schlüssel übergeben um, so vermute ich, ein automatisches Einloggen zu verhindern. Diese Schlüssel werden bei jedem Besuch neu generiert. Hat man ein Schlüsselpaar aus dem Formular ausgelesen, so kann man dieses Paar in seine eigenen Scripte übernehmen, da diese Schlüssel immer gültig sind. Vielleicht wird dieses Paar auch für etwas vollkommen anderes benutzt, ich weiß es nicht. Der Kommentarschreiber meinte allerdings auch, in seiner Antwort auf meine E-Mail, dass dies etwas merkwürdig aussieht.

Mein zweiter Hinweis betraf den Session-Cookie. Kennt man den Inhalt so kann man sich in den Account des fremden Useres einloggen. Der Kommentarschreiber verstand nun allerdings nicht was ich meinte, da es doch vollkommen normal sei, mit einer gültigen Session-ID zu einem Account den Zugang zu bekommen.

In seiner Antwort meinte er auch, dass sie solche Leute wie mich brauchen würden, damit es besser, also sichererer wird, und lud mich ein zu helfen.

Da lädt mich einer ein, bei der Fehlersuche, in einem kommerziellen System, zu helfen?! Ist dies als Jobangebot gemeint?

Weder auf die Frage ob dies ein Jobangebot sei, noch auf meine Ausführungen zu der Unsicherheit von übertragbaren Session-IDs bekam ich eine Antwort von dem Kommentarschreiber. Es scheint als ob er sich etwas zu weit aus dem Fenster gelehnt hätte, da ich von anderer Stelle eine Antwort erhielt.

Der zweite VZler meinte, dass mir doch wohl auch klar sei, dass es in der IT keine 100%ige Sicherheit geben würde und sie würden gerne weitere Fehlermeldungen von mir entgegen nehmen. Zu den Session-Cookies von ihm kein Wort.


Noch einmal im Klartext. Der Kommentarschreiber, der CTO, der Chief Technical Officer, zu deutsch der Technische Leiter von stundiVZ, versteht nicht wo die Problematik von Session Hijacking besteht? Und er lädt mich ein für seine Firma Sicherheitslücken auszugraben?

Der anderer, der sich System and Security Engineer schimpft, würde gerne einfach nur meine gefundenen Fehler entgegennehmen. Und da er zu Session Hijacking nicht klar Stellung bezogen hat und eher auf die Unmöglichkeit hinwies, 100%ige Sicherheit zu gewährleisten, muss ich annehmen, dass auch er das Problem nicht wirklich ernst nimmt.


Warum geht man an das Cookie-Problem nicht so ran, dass es unmöglich wird Session Hijacking zu betreiben? Es gibt doch viele, sogar sehr viele, Beispiele wo die technischen Maßnahmen dafür sorgen, dass derlei Angriffsversuche erfolglos bleiben. Bei der nächsten bekannt gewordenen XSS-Lücke müssen sie wieder hurtig hurtig das Loch stopfen, damit niemand aus seinem Account ausgesperrt und Unfug im Namen des legitimen Users angestellt wird.

Das was die Jungs da betreiben, ist Eimer unter Löcher zu stellen, durch die es im Dach durchregnet, anstatt das Dach abzudichten.


Öffentliche Einladungen zur Fehlersuch und stundiVZ, da gab es schon einmal Probleme:
“studiVZ verspricht Belohnung für Sicherheitslücken” (golem.de)

Die Pannenserie von kleinen und großen Problemen und Sicherheitslücken beim Studentenportal studiVZ reißt nicht ab. Nun verspricht studiVZ eine Belohnung von 256 Euro, wenn jemand Sicherheitslücken im Portal meldet. Parallel zu der Ankündigung ging studiVZ wegen eines erneuten XSS-Angriffs offline.

Die Jungs haben nichts dazu gelernt. Ihre öffentliche Kommunikation ist so unglaublich…

Erst schreiben Sie ganz stolz

Kopierte schülerVZ-Daten wieder in Sicherheit: VZ-Netzwerke bedanken sich für die erfolgreiche Zusammenarbeit mit netzpolitik.org

und nur wenige Stunden später, streichen sie alles durch und geben zu

Unsere weiteren Ermittlungen haben ergeben, dass es sich bei der Quelle von netzpolitik.org nicht um den tatsächlichen Verursacher sondern um einen „Trittbrettfahrer“ handelt, der Zugang zu den Daten des eigentlichen Täters hatte.

Was macht Holtzbrinck da? Schaffen sie es denn nicht die richtigen Leute zu finden, um diesen Unternehmensbereich endlich aus den Schlagzeilen im Zusammenhang mit Datenlecks zu bringen? Da schlägt wohl wieder das Peter-Prinzip durch? Welches ich schon einmal hier als Video verlinkt hatte: Kommunikationsgestörte Mitarbeiter?


Wer die Beseitigung von Sicherheitslücken dem Zufall überlässt, in der Hoffnung ein netter Mensch wird sich schon melden und die Fehlerbeschreibungen einfach am Empfang abgeben, wer nicht bereit ist, seinen Usern die bestmögliche Sicherheit zu bieten, der wird hoffentlich bald von einem Konkurrenten überholt, gekauft und vom Markt entfernt.

Ich bin kein Mitglied in irgend einem der VZ-Netzwerke und ich werde es wohl auch nie werden.

“Datenleck bei SchülerVZ” (netzpolitik.org)

Aus anonymer Quelle wurden uns Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein Datensatz umfasst mehr als eine Million Datensätze mit den Feldern Profil-ID, Name und dazugehörige Schule samt ID. Ein kleinerer Datensatz zeigt detailliertere Informationen mit den Feldern Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild (Plus dazu gehörigem Link auf Bild) an.

“Illegaler Datenkopierer auf schülerVZ” (blog.studivz.net)

Ein schülerVZ-Nutzer hat eine Vielzahl von Profilen aufgerufen…

Die VZler versuchen die Anzahl, von einer Million Datensätze, etwas zu verniedlicht. Von der Aussage her ist es zwar nicht wirklich falsch, aber bei solchen Größenordnungen grenzt dies doch schon an Desinformation.


“Zusatz zu “Illegaler Datenkopierer auf schülerVZ”: Die wichtigsten Fragen und Antworten auf einen Blick” (blog.studivz.net)

2.) Ist es tatsächlich möglich, dass ein einzelner Nutzer eine große Anzahl von Daten ausgelesen hat?

Ja, das kann im Grunde jeder machen, wenn er ausreichend Zeit hat, indem er sich die Profile Seite für Seite ansieht und dann kopiert.

Natürlich, klar, sischer datt! Da hat nun jemand sehr viel Zeit gehabt und ganz fleissig Copy & Paste gemacht, bis der Arzt kam und Lederhandschuh verschrieben hat.

Das ist natürlich Schwachfug, was die VZler da quatschen. Ich hoffe die VZler haben auch hier den Weg der Desinformation beschritten und denken nicht wirklich so!

Es ist sehr wahrscheinlich das Lücken im System vorhanden sind, welche den massenweisen Abruf der Daten ermöglichen. Entweder hat jemand es geschafft das Captcha auszutricksen, welches nach kurzer Zeit gelöst werden muss oder er hat einen anderen Weg gefunden, um seine Scripte arbeiten zulassen.

In den Updates von Markus Beckedahl gibt es noch weitere Hinweise dazu:

Hier wurden Scripte verwendet und eine sogenannte CSRF-Lücke genutzt (”Cross Site Request Forgery”).

Und natürlich auch das meist unterschätzte… Wer öfter meinen Blog liest ahnt es sicher schon. :O)

Nach Angaben der Quelle wurde eine kritische Cross-Site-Scripting Lücke entdeckt, mit welcher es möglich ist, ganze Accounts zu übernehmen. Der Quelle zufolge wurde SchülerVZ vor einer Woche von der Lücke informiert, aber sie kann heute immer noch genutzt werden.

und weiter unten noch dies

Der vor einer Woche eingeschickte Warnhinweis bezüglich der XSS-Lücke zum übernehmen von Profilen wurde nach dem heutigen Hinweis von mir mittlerweile auch gefunden. Das sollte in Zukunft schneller gehen.

Nach dem Login in studiVZ werden neun Cookies angelegt. Man muss nur aus einem der Cookies den Inhalt auslesen können und übertragen, um in einen fremden Account einzudringen. Ich nehme mal an, schülerVZ funktioniert ähnlich.

Aus den Antworten die ich auf meine Hinweise bekomme:

vielen Dank für Ihre Mail und Ihren Hinweis zu XSS.
Die von Ihnen beschriebenen Sicherheitslücken erlauben jedoch “nur” einen nicht-persistenten Angriff. Zu Schaden käme ein User oder die Website, wenn wir die Eingaben bzw. übermittelten Parameter ungefiltert z.B. in unsere Datenbank speichern würden. Das ist aber nicht der Fall. Insofern kann jemand mutwillig das Aussehen der Seite verändern, wenn er gewissen Seiten mit speziellen Parametern aufruft, aber dauerhaft ist das zum Glück nicht…

(Update: Um keine Missverständnisse aufkommen zu lassen: Diese Antwort bekam ich nicht von einem VZler. Es war jemand aus dem Bereich “Patienten bewerten ihren Arzt.”)

Ignoranten! Ignoranten! Ignoranten!


Das eigentliche Problem solcher Netzwerke ist die ähnliche Motivation des Seitenbetreibers und die eines Angreifers – beide wollen möglichst viele Daten sammeln.

Die Seitenbetreiber wollen natürlich viele Daten für alle User abrufbar machen, damit viele Klicks und PageViews erzeugt werden, und viel Reklame gesehen und hoffentlich auch geklickt wird. User die ihr Profil oder ihren Content nur für wenige User freischalten, sind nicht gerne gesehen, weshalb wohl auch die Grundeinstellung für Usercontent immer erst nachjustiert werden muss, wenn man nicht allen im Netzwerk den Zugriff gewähren möchte.

Offensichtlich sind die VZler schlecht versorgt, was gute Entwickler und Tester angeht. Die VZler sollten den Finder der Lücken nun nicht juristisch verfolgen, sondern den Kontakt zu ihm suchen und ihn evtl. um die Mithilfe bei der Suche nach weiteren Lücken bitten, denn ich bin 100% sicher, dass es in dem ganzen VZ-Netzwerk noch viele viele weitere Lücken gibt.