StudiVZ unter Beschuss [Update]

Vor verschlossenen Türen standen heute die zirka eine Million Nutzer des Studentenportals StudiVZ. Ab Montagmittag war die Seite komplett offline – erst gegen Abend bekamen die Nutzer eine Fehlerseite angezeigt. Seit wenigen Minuten ist die Seite wieder erreichbar. Ein Sprecher von StudiVZ bestätigte am Abend einen Angriff auf die Mitgliedsdaten der Plattform: "StudiVZ hat heute um 12 Uhr einen Phishing-Angriff bemerkt und erfolgreich abgewehrt. Um die Datensicherheit von StudiVZ für die Nutzer zu gewährleisten, wurde die Seite offline geschaltet."

Auf Nachfrage von heise online gab StudiVZ weitere Details zu dem Angriff bekannt. Der oder die Angreifer haben demnach auf einem fremden Server ein gefälschtes Login-Formular im StudiVZ-Design angelegt. "Mittels JavaScript wurden die Login-Daten ausgelesen und wiederum an den StudiVZ-Server übertragen, wo mittels XSRF automatisiert ein Pinnwandeintrag generiert wurde. Dieser enthielt einen Teil-String der so ausgelesenen Daten", erklärte ein Sprecher. Dies deckt sich mit der Darstellung in einigen Weblogs. Bei dem Angriff sind demnach die E-Mail-Daten der Mitglieder im Klartext auf einer allgemein zugänglichen Pinnwand innerhalb des StudiVZ abgelegt worden – das Passwort wurde aber nicht veröffentlicht.

32 Nutzer sollen den Angaben zufolge von dem Datenklau betroffen gewesen sein. Die Betreiber hätten die Nutzer sofort kontaktiert und die betroffenen Passwörter geändert, um einen Missbrauch zu verhindern. Die Nutzerdaten seien nicht aus der StudiVZ-Datenbank ausgelesen worden sein. "Um den Sachverhalt zu untersuchen und eine Gefährdung der Nutzer auszuschließen, hat StudiVZ seine Website umgehend abgeschaltet", erklärte der Sprecher. Die XSRF-Lücke sei inzwischen behoben und alle dadurch entstandenen Datensätze gelöscht worden. Die lange Offline-Zeit erklärt der Sprecher mit weiteren Wartungsarbeiten.

In den vergangenen Tagen war wegen des Umgangs mit Nutzerdaten wiederholt Kritik laut geworden. Heute wurde eine weitere Lücke im System bekannt. Der Paderborner Blogger Jörg-Olaf Schäfers dokumentiert in seinem Weblog eine Möglichkeit, an private Daten der StudiVZ-Nutzer heranzukommen, ohne dafür autorisiert zu sein. Schäfers machte sich die "Super-Suche" des Portals zunutze, die zwar derzeit nicht bei StudiVZ verlinkt wird, aber dennoch per URL-Aufruf verfügbar ist. Durch gezielte Suchanfragen konnte Schäfers zum Beispiel den Beziehungsstatus eines Nutzers erfahren, der sein Profil auf privat geschaltet hatte. Zwar wurde die Profilseite selbst nicht angezeigt, auf den Ergebnisseiten waren die Daten aber dennoch in Erfahrung zu bringen. Kontaktdaten wie E-Mail-Adresse oder Telefonnummern waren von dem Angriff offenbar nicht betroffen.

Der StudiVZ-Sprecher bestätigte gegenüber heise online die Lücke und versprach Nachbesserung: "Die Programmierung von StudiVZ wurde umgehend angepasst." Die Super-Suche lasse ab sofort keine Rückschlüsse mehr auf Profildaten zu, wenn ein Nutzer das Merkmal privat auswählt. Die Suche wurde dahingehend geändert, dass Mitglieder, deren Sichtbarkeit nicht auf "für alle" gesetzt ist, bei der Suche nach erweiterten Kriterien nicht angezeigt werden. In Zukunft soll es erweiterte Einstellungen geben, bei denen jeder Nutzer selbst festlegen kann, in welchen Fällen er gefunden werden möchte. Beschwerden über vermeintlich verlorene Nachrichten führt das Unternehmen auf einen Synchronisierungsfehler beim Neustart des Systems zurück. Es seien keine Daten verloren gegangen, betonen die StudiVZ-Betreiber.

[Update]:
Eine weitere XSS-Lücke wurde noch in der Nacht geschlossen. Ein Leser von heise online hatte eine Methode entdeckt, Sessions zu übernehmen und so fremde Accounts zu kapern. Nachdem die Firma informiert worden war, nahmen die Verantwortlichen die Server in der Nacht ein zweites Mal vom Netz und korrigierten den Fehler umgehend.

Die XSS-Lücke trat diesmal beim Löschen von Lehrveranstaltungen auf. Über diesen Aufruf ließ sich Javascript-Code einschmuggeln, der dann vom Server nicht ausgefiltert, sondern wieder zurück an den Browser gesendet wurde. Wenn ein angemeldetes Studivz-Mitglied einen manipulierten Link anklickte, konnten auf diese Weise die Session-Daten an einen fremden Server übermittelt werden. Mit Hilfe dieser Daten konnte ein Angreifer ein Cookie generieren, das ihm den Zugriff auf einen fremden Account ermöglichte. Mit dieser Methode konnten nicht nur Daten ausgelesen sondern direkt verändert werden - der Angreifer hatte vollen Zugriff auf den fremden Account. Ähnliche Lücken traten früher bei Webmail-Diensten auf. (Torsten Kleinz) / (pmz)