Ja, ich hatte das Thema StudiVZ für mich abgeschlossen. Ja, ich wollte darüber nicht mehr schreiben. Natürlich verfolge ich aber noch weiter die Berichterstattung rund um Deutschlands größtes Studentennetzwerk. Und die Aktion war einfach zu gut.
Was ist passiert? Zum einen wurde auf dem Chaos Communication Congress, der Ende Dezember stattgefunden hat, eine Auswertung eines SQL-Dumps (eine Kopie der Datenbank) gezeigt, selbstverständlich anonymisiert. Muss nicht jeden interessieren, aber es hat doch gezeigt dass Kopien sämtlicher studiVZ-Nutzer im Umlauf sind. Der CCC verfolgt eine gewisse Ethik, da kann man sich sicher sein, dass die Daten nicht missbraucht werden. Woanders kann das schon ganz anders aussehen.
Am 2. Januar dann hat das Verlagshaus Holtzbrinck – und nicht etwa Facebook, wie vermutet – studiVZ für einen zweistelligen Millionenbetrag gekauft. Über das weitere Vorgehen wird noch spekuliert, als sicher gilt jedoch zielgruppenorientierte Werbung auf Basis der Nutzerdaten.
Und jetzt? Jetzt wird die Sicherheit des neuesten Sprösslings gelobt. Unlängst (10. Januar 2007) fand sich im Manager Magazin ein Interview mit Konstantin Urban, Chef von Holtzbrinck Networks, das unter anderem diese Passage enthält:
Die Datensicherheit ist jetzt gegeben. Unlängst hat der Chaos Computer Club vergebens versucht, sich ins System zu hacken. Auch die Seite ist jetzt stabil.Konstantin Urban
Nicht mal einen Tag hat es gedauert – genauer gesagt bis 00:00 Uhr – bevor als Reaktion darauf das offizielle Blog von studiVZ gehackt wurde. Derzeit ist es nicht erreichbar, einen Screenshot mit dem Eintrag (eine Antwort auf das Interview) findet man hier.
Der neue offizielle Eigentümer eurer persönlichen Daten, Konstantin Urban von Holtzbrinck Networks, scheint genauso wenig vom Thema Sicherheit zu verstehen, wie die Simulanten denen ihr bisher schon zu viele Details über euch anvertraut habt: gar nichts. [...]
Okay, es ist nicht das studiVZ selber, sondern “nur” das Blog. Okay, der Exploit, also die Schwachstelle dazu war bereits 24 Stunden vorher bekannt geworden. Und dennoch zeigt es, wie fragil diverse Bestandteile des Studentennetzwerks nach wie vor sind. Nach bisher bekannten Infos sind die Nutzerdaten nicht betroffen, das Blog hatte bis zur Schließung aber nur noch diesen einen Beitrag angezeigt.
Ob der Hack wirklich vom CCC kommt kann ich nicht beurteilen. Eine Stellungnahme von Frank Rosengart besagt Gegenteiliges, aber sicher wäre ich mir da nicht. Wer jedenfalls meint, den Verein lediglich als eine tumbe Ansammlung von irgendwelchen Hackern abzutun, der hat einerseits Unrecht und muss andererseits mit einer Reaktion rechnen.
Ein altes Sprichwort besagt: Wer im Glashaus sitzt soll nicht mit Steinen werfen. studiVZ bzw. Holtzbrinck sollten sich nicht der Illusion hingeben, sie würden nicht mehr unter ständiger Beobachtung stehen. Und erst recht nicht dass studiVZ in einem sicheren Stadium wäre. Es mag vielleicht nicht mehr offen wie ein Scheunentor sein, aber ich könnte ja wetten dass es unter der Haube noch genug zu tun gibt. Schließlich sucht man ja weiterhin nach fähigen Administratoren.
Und ja, ich habe gelacht, als ich von der Aktion mitbekommen habe.
Update #1: Mittlerweile wird http://blog.studivz.net auf studivz.net umgeleitet.
Update #2: Im Blog von Tim Pritlove, Tausendsassa beim CCC, gibt es ebenfalls eine Stellungnahme. Kurze Zusammenfassung: Der CCC war in der Sache nicht involviert und findet studiVZ ab jetzt scheisse.
Ja, die Meldung hat mir auch direkt den Tag versüsst :) Warum legt er sich auch mit den Profis an?
Einfach unfassbar genial. Beiträge übers StudiVZ lesen sich hier doch immer wunderbar, warum also einstellen? ;)
weiterhin berichten, ist einfach nur genial formuliert und recherchiert!