StudiVZ: Belohnung für Sicherheitslücken

Am frühen Nachmittag des heutigen Donnerstag ist die Studentenplattform StudiVZ ein weiteres Mal offline gegangen. Wie schon am Montag wurde die Seite offenkundig vom Netz genommen, um einen akuten Angriff abzuwehren. Im Kampf gegen die Sicherheitslücken setzt das Unternehmen jetzt auf neue Wege: Wer eine Lücke findet, soll vom Unternehmen bezahlt werden.

Wie Leser von heise online berichten, ist derzeit ein Wurm auf der Plattform unterwegs. Der Wurm soll sich über den internen Nachrichtendienst verbreiten. Nutzern wird eine Nachricht mit dem Betreff "Peinliches Bild von Dir" zugestellt. Darin ist die URL eine freien Webhosters enthalten, die zu einem Javascript führt. Der Wurm versucht, sich an weitere StudiVZ-Nutzer zu verschicken. Anschließend wird der Nutzer auf eine Seite mit mehreren Berichten über Sicherheitslücken bei StudiVZ geleitet. Inwieweit der Wurm Daten der User gefährdet, ist bislang unklar.

Im Kampf gegen die fast täglich bekannt werdenden neuen Sicherheitslücken hat StudiVZ jetzt ein neues Mittel ersonnen: Das Unternehmen will jeden belohnen, der eine XSS- oder CSRF-Lücke auf der Plattform entdeckt. Voraussetzung ist allerdings, dass man die Sicherheitslücke zuerst an StudiVZ meldet und nicht veröffentlicht, bevor das Unternehmen die Gelegenheit hatte, die Lücke zu stopfen. Die Belohnung für die Bug-Jäger ist offenbar genau kalkuliert: 128 Euro will das Unternehmen den erfolgreichen Lückenfindern zahlen. Weitere Details zu dem Programm sollen heute Nachmittag in dem Unternehmensweblog bekannt gegeben werden.

Der StudiVZ-Datenschutzbeauftragte Manfred Friedrich erklärt hierzu: "Es ist bedauerlich, wenn einzelne Nutzer versuchen, Daten von anderen Studenten selbst oder mit Hilfe von automatisierten Verfahren auszulesen. Diesem Missbrauch schieben wir, so gut es technisch möglich ist, einen Riegel vor. Wer versucht, Daten auszulesen, wird gesperrt." Crawler-Angriffe seien ein generelles Problem für soziale Netzwerke im Internet, weil frei veröffentlichte Informationen sowohl von registrierten Nutzern als auch von automatisierten Abfrage-Scripten gelesen werden könnten. Friedrich erklärt weiter: "Auf 'privat' geschaltete Daten können aber weiterhin auch nur von dem Personenkreis eingesehen werden, den der Nutzer selbst festlegt."

Keine Belohnung bekommt wohl der Blogkommentator in der Blogbar, der heute enthüllte, wie sich StudiVZ-Nutzer in nicht-öffentliche Gruppen selbst einladen konnte. Nötig war dazu lediglich die ID-Nummern des Nutzers und der gewünschten Gruppe, die beide einfach ausgelesen werden konnten.

Siehe dazu auch:

• Verhaltenskodex für Mitglieder
• StudiVZ unter Beschuss
• Weiter Wirbel um StudiVZ
• Datenleck beim StudiVZ?

(Torsten Kleinz) / (jk)