Wieder Sicherheitslücken bei Facebook, Yahoo und MySpace

Posted on 8. Juni 2008 by Michel

Das Facebook, Yahoo und MySpace Sicherheitsprobleme haben ist ja nichts neues, aber diesmal wurden wieder neue gefunden und die Resultate könnten in Form von Klatschmagazinen um die Welt gehen: Die Opfer sind Paris Hilton, Lindsay Lohan und Facebookgründer Mark Zuckerberg. Mehrere Internetseiten, darunter auch Spiegel Online veröffentlicht Meldungen und Private Fotos der Prominenten. Auch studiVZ, schülerVZ und meinVZ haben das Problem, dass alle Bilder als Datei auf seperaten Servern vorliegen, was zur Folge hat, dass auch nicht angemeldete oder nicht berechtigte Benutzer Bilder aufrufen können, wenn Sie nur die URL kennen. Sicherer wäre es auf jedenfall, die bilder Binär in einer Datenbank zu speichern, so dass diese nur von angemeldeten Benutzern aufgerufen werden können.

Eine Anleitung zum knacken von Yahoo und MySpace gibt es hier

Ist das SchülerVZ noch unter Kontrolle?

Posted on 6. Juni 2008 by Felix

Wir wollen uns einmal fragen, inwiefern ist das SchülerVZ noch unter Kontrolle der Spezialisten? Diese Frage ist berechtigt, da auch im SchülerVZ die Wege im Datenmüll immer länger werden. Es gibt Gruppen die nur aus Fakeaccounts bestehen, zweifelhafte Inhalte häufen sich mehr und mehr oder werden nach der Löschung einfach wieder neu gegründet, um nur einen Teil der Probleme zu nennen.

Durch eigene Recherche haben wir herausgefunden, dass lange Zeit verstreicht zwischen der Meldung und dem tatsächlichem Löschens. Dies kann schon mal mehrere Tage dauern. Es ist wohl ein ganz klares Zeichen dafür, dass sich die Arbeit bei den Spezialisten häuft. Auch Aktionen wie Vollgetextet (wie berichtet) und mehr möglich sind aufs Eis gelegt worden, sogar im Klartext steht seit langer Zeit nichts neues mehr. Das diese Arbeiten ausbleiben bemerkt man natürlich sofort im SchülerVZ.

Continue reading →

Wir haben da was für euch…

Posted on 23. Mai 2008 by Felix

…so heißt es heute im Info-Kasten.

Der Link verweist auf eine neu eingeführte Seite (welche unter Privatsphäre gegliedert ist), in welcher man Tipps erhält, wie man möglichst sicher bei schülerVZ surft. Auffällig ist wie viel schüleVZ in letzter Zeit für das sichere Surfen und den richtigen Umgang untereinander tut.

Von häufigen Verweisen in der Infobox auf Privatsphäreeinstellungen und mein Account, über einen Videowettbewerb, welcher auf den Verhaltenskodex aufmerksam machte, sowie zuletzt die Tipps zum sicheren Surfen.

Ich finde das ist wirklich etwas sehr positives.

Wenn nun auch noch die häufigen Fehlermeldungen behoben und die Hilfegruppe besser organisiert werden würde, dann hätte schülerVZ seinen Stand als größtes und beliebtestes soziales Netzwerk erneut, erfolgreich unter Beweis gestellt.

Alles gute dafür

Wir lesen die AGB von Facebook

Posted on 3. April 2008 by Michel

In letzter Zeit haben sich immer wieder Leute über die angeblich so bösen und gemeinen Allgemeinen Geschäftsbedingungen von StudiVZ aufgeregt. Doch das ist garnichts, gegen die Highlights, die uns Facebook bietet, wenn man die dortigen Nutzungsbedingungen liest. Beste Unterhaltung wünscht euch mehrblog.net.

Continue reading →

StudiVZ stellt Klar:

Posted on 28. Februar 2008 by Michel

Heute äußert sich Samir Barden im Klartext von StudiVZ im Bezug auf den Artikel von Spiegel Online (Wir berichteten):

Liebe Community,

einige von Euch haben es sicher mitbekommen und waren – wie auch wir – geschockt. In der Online-Ausgabe eines Nachrichtenmagazins mit professionellem Image wurde unser Geschäftsführer Marcus Riecke falsch zitiert.
Auf der beständigen Jagd nach einem neuen Skandal im Hause studiVZ wurden mal wieder Zusammenhänge aus unserer Sicht mutwillig falsch dargestellt.

In diesem Artikel hieß es zum Beispiel, dass wir Euch – salopp formuliert – an die Polizei verpetzen wenn wir Bilder von Euch beim Konsum von Cannabis sehen.
Diese Schlagzeile wurde eine halbe Stunde nach Veröffentlichung und einer Aufforderung zur Richtigstellung durch uns zwar abgemildert, was die Weiterverbreitung über andere Medien aber nicht verhindert hat.

Ihr könnt Euch gar nicht vorstellen, wie sauer wir über diese Art der Berichterstattung sind.

An dieser Stelle möchten wir Klarheit schaffen:

Fakt ist: Ihr möchtet Sicherheit.
Niemand möchte nationalsozialistische Parolen im studiVZ sehen oder der rechten Szene einen Nährboden bieten. Niemand will belästigt, bloßgestellt, bedroht oder verleumdet werden.
Um Euch eine sichere Plattform zu garantieren, haben sich alle Beteiligten an einige wichtige Regeln zu halten. Diese stammen nicht von uns, sondern sind für alle gültige und bindende Paragraphen der deutschen Gesetzgebung, wie zum Beispiel der Jugendschutz und das Strafrecht.

Dass wir Daten an Strafverfolgungsbehörden – also Polizei und Staatsanwaltschaft – herausgeben müssen, wenn diese uns ein schriftliches Auskunftsersuchen zukommen lassen, ist weder neu noch unseriös, sondern dient letztlich Eurem Schutz.
Es geht hier um Morddrohungen, radikales Gedankengut, Verleumdungen, schwere Beleidigungen und weitere heftige Dinge, welche in unserem Land genauso wie im studiVZ eine klare und zu ahndende Straftat darstellen.
Ein Auskunftsersuchen ist immer mit einer Anzeige verbunden, die von den Geschädigten erstattet wurde, zum Beispiel einem Nutzer aus Euren Reihen.
Das wird überall genauso gehandhabt und hat nichts mit Spionage zu tun!

Dass wir Bilder und Daten an die Polizei geben, weil Ihr Euch darauf ein gemütliches Tütchen ansteckt, ist komplett erfunden und gelogen.
So etwas tun wir nicht!
Das betrifft nicht nur das von der Presse bewusst gewählte und wunderbar plakative Beispiel Cannabis. Nebenbei gesagt gab es noch nie eine Anfrage zu Cannabiskonsum.

Wir bitten Euch, solchem Journalismus keinen Nährboden zu geben – er schadet nicht nur uns, sondern ist eine gezielte Beeinflussung der öffentlichen Meinung durch Veröffentlichung falscher Informationen.

Euer
Samir

Samir veröffentlicht diesen Klartext stellvertretend für die gesamte studiVZ-Belegschaft.
Wir lassen uns so etwas nicht mehr gefallen!

SchülerVZ beseitigt Sicherheitslücke

Posted on 24. Januar 2008 by Michel

Wie der IT-Nachrichtendienst Heise berichtet, hat StudiVZ eine Sicherheitslücke bei der Anmeldung beseitigt:

“Über Schwachstellen in StudiVZ und SchülerVz hätten Angreifer Anmeldedaten abgreifen oder Mails einsehen können. Die XSS-Lücke bei StudiVZ befand sich im Login-Formular. Durch die fehlende Filterung von Quotes (“) war es möglich, in die Felder “E-Mail” und “Passwort” JavaScript hineinzuschreiben. Bei einer Demo des Entdeckers der Lücke, dem heise-online-Leser Sergej S., wurde das Script ausgeführt, sobald man die Maus über eines der Felder bewegte. Prinzipiell hätte etwa ein Phisher mit einem Skript die eingegebenen Login-Daten von Nutzern abgreifen können. Für einen erfolgreichen Angriff hätte ein Opfer aber auf einen präparierten Link klicken müssen, etwa in einer Mail oder einer Webseite.”

Mittlerweile wurde der Fehler allerdings behoben. Problematisch ist, das in letzter Zeit immer wieder falsche SchülerVZ-Seiten auftauchen, die behaupten durch das versenden von Links neue Funktionen in SchülerVZ zu aktivieren. Daher ist es Prinzipiel möglich, dass die Sicherheitslücke bereits genutzt wurde.

Wer mehr Funktionen für SchülerVZ ohne große Sicherheitbedenken will, kann unter Firefox den Change It Yourself-Script (aka Jautis) installieren, der viele neue Optionen bietet.

Ist das das falsche SchülerVZ?

Posted on 8. November 2007 by Michel

Gestern warnte das SchülerVZ Team vor falschen SchülerVZ-Seiten (wir berichteten), heute haben wir die erste gefunden: PennerVZ.de

Das PennerVZ (pennervz.de) sieht aus wie Facebook, StudiVZ oder SchülerVZ in grün ist noch ein colsed Beta. Es soll laut mit Sprüchen wie “Ökologisches Wohnen! Mein Haus is aus Altpapier!” auf die Probleme der Armen aufmerksam machen. Sonst ist PennerVZ.de eine absolute Parodie auf das SchülerVZ: Bei jedem dritten Seitenaufruf erscheint eine Fehlermeldung (“Ihr werdet es nicht glauben, aber wir haben uns dank der mittlerweile vielen Tausend Zugriffe entschlossen, in die hochkomplexe Software des PennerVZ einen Fehler einzubauen, der für eine hoffnungslose Serverüberlastung sorgen wird. Und das ist jetzt gerade eingetreten. Demnächst kannst Du deine Fehlermeldung selbst generieren.”) und alle Profile haben eine beabsichtigte Sicherheitslücke.

Wenn ihr noch mehr SchülerVZ klone findet, könnt ihr euch gerne über das SchülerVZ an die Moderatoren der Gruppe “SchülerVZ Blog leser” wenden.

Leck entdeckt! Die Edelgruppen

Posted on 27. September 2007 by Timon

Seit einigen Tagen gibt es bei schülerVZ die Kategorie “Edelgruppe*”. Diese Gruppen sollen Gruppen sein, die durch Klicken eines Werbe-Telegramm erscheinen. Wenn man in der Kategorie der Edelgruppen allerdings hineinschaut, sieht das ganze nicht so aus, als ob diese gelisteten Gruppen durch Marketing entstanden sind. So ist auch die Gruppe “schülerVZ-Blog-Leser*” eine Edelgruppe. Es ist also möglich auch selbst eine Edelgruppe zu erstellen, auch wenn man die Kategorie beim Editieren der Gruppe nicht finden kann. Hier nun eine kleine Anleitung, wie man selbst zu einer Edelgruppe kommen kann:

Nachtrag (1. Oktober 2007): Auf Wunsch von schülerVZ musste ich die Anleitung letzendlich doch entfernen. Details dazu hier.

Mal schauen, wie lange dieses Sicherheitsleck noch möglich ist bei schülerVZ…

* Link/Verweis nur aufrufbar, wenn man bei schülerVZ gerade eingeloggt ist.

VZlog

Das Blog über schülerVZ, studiVZ und meinVZ

Tag Archives: Sicherheit