studivz: Wartungspause und Hackerkindergarten

Gruschelsüchtige müssen sich noch gedulden: Das Studentenportal Studivz wird nach Unternehmsangaben noch bis Dienstag offline bleiben. Unterdessen hat die Firma ein Testsystem eingerichtet, auf dem Interessierte nach Sicherheitslücken suchen können.

Die Studentenplattform war am Donnerstag nach einem XSS-Angriff offline gegangen. Wie das Unternehmen gegenüber heise online bekannt gab, hatte ein Wurm über 500 Mails innerhalb der Plattform verschickt. Der Schädling bediente sich dafür den internen Nachrichtensystems von Studivz und einer XSS-Lücke auf der Plattform, über die er sich an andere Mitglieder weiterversandte. Um den Wurm zu aktivieren, mussten die Mitglieder eine URL bei einem Freehoster aufrufen, bei dem angeblich Fotos von dem betreffenden Mitglied lagen. Über JavaScript wurden dann Aktionen auf dem Studivz-Portal ausgelöst.

Laut Studivz wurde die Lücke über die sich der Wurm weiterverbreiten konnte noch am Donnerstag geschlossen. Trotzdem blieb die Seite offline - zunächst wurde eine Pause bis Freitag Nacht angekündigt, jetzt wurde die Auszeit offiziell bis Dienstag verlängert. In dem Unternehmensweblog heißt es dazu: "Wir sind auf ein paar Sachen gestoßen, die wir unbedingt beheben wollten bevor wir wieder online gehen. Aus diesem Grunde bleiben wir noch bis Dienstag offline und gehen das System sehr gründlich durch." Bereits Anfang der vergangenen Woche musste die Plattform wegen eines ähnlichen Angriffs und mehrerer bekannt gewordener Sicherheitslücken wiederholt offline gehen.

Das Portal ist derzeit mit zirka einer Million registrierten Accounts das größte Studentenportal in Deutschland. Wegen zahlreicher Pannen ist das Unternehmen in den letzten Wochen immer stärker in die Kritik geraten. In den letzten Tagen wurden wiederholt Sicherheitslücken aufgedeckt, die Zugriff auf private Gästebücher oder geschlossene Benutzergruppen ermöglichten. Über mehrere XSS-Lücken war es zudem möglich, fremde Accounts zu übernehmen - nach Bekanntwerden wurden diese Löcher jedoch in der Regel schnell geschlossen.

Etwas kopflos wirkt die Aktion, bei der "Lückensucher" aufgerufen werden, das System von Studivz einem Sicherheitscheck zu unterziehen. Am Donnerstag wurden zuerst 128, dann 256 Euro versprochen, wenn man eine Sicherheitslücke an das Unternehmen melde. Doch nach Protesten, einen solchen Hack-Wettbewerb auf einem Produktivsystem mit vertraulichen Mitgliedsdaten zu veranstalten, stoppte das Unternehmen den Aufruf am Samstag wieder. Stattdessen sollen sich die Lückensucher jetzt auf einem Parallelsystem ohne echte Mitgliedsdaten austoben.

Das eilig aufgesetzte Testsystem soll mit fiktiven Mitgliedsdaten gefüllt worden sein. Die Wettbewerbsbedingungen sind jedoch relativ strikt: So wird ausschließlich das Aufdecken von XSS- und CSRF-Lücken belohnt. Obwohl in das System keine vertraulichen Daten eingestellt werden sollen, dürfen keine fremden Daten ausgelesen oder verändert werden. Gemäß den Regeln können Lückensucher die gefundenen Lücken also nicht überprüfen. Auch der Server darf nicht überlastet oder lahmgelegt werden. Ganz fiktiv sind die Daten auf der Test-Plattform allerdings nicht. Um sich an der Lückensuche zu beteiligen, muss man sich mit einer funktionierenden Mailadresse registrieren.

Die fünftägige Zwangspause stößt bei der Kundschaft des jungen Unternehmens nicht auf Begeisterung. Nachdem Studivz die Erklärung zur Auszeit auf der Startseite der Plattform verlinkt hatte, gingen innerhalb von wenigen Stunden fast Tausend Kommentare in dem Unternehmensweblog ein. In den Blogkommentaren versucht das Unternehmen die Wogen zu glätten, räumt Fehler in der Kommunikation und der Sicherheitsarchitektur der Plattform ein. Die Unternehmensblogger dementieren hier auch die immer wieder aufflammenden Verkaufsgerüchte: Ein Verkauf an das US-Unternehmen Facebook sei derzeit nicht geplant (Torsten Kleinz). (as)