Einloggen auf heise online

    • News
    • heise Developer
    • heise Netze
    • heise Open Source
    • heise Security
    • c't
    • iX
    • Technology Review
    • c't Fotografie
    • Mac & i
    • Make
    • Telepolis
    • heise Autos
    • TechStage
    • tipps+tricks
    • heise Download
    • Preisvergleich
    • Whitepapers
    • Webcasts
    • Stellenmarkt
    • Karriere Netzwerk
    • Gutscheine
    • IT-Markt
    • Tarifrechner
    • Netzwerk-Tools
    • Spielen bei Heise
    • heise shop
    • heise Select
    • Artikel-Archiv
    • Zeitschriften-Abo
    • Veranstaltungen
    • Arbeiten bei Heise
    • Mediadaten
heise Security
sponsored by Logo HOB
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • Events
  • Foren
  • Kontakt
  1. Security
  2. 7-Tage-News
  3. 11/2006
  4. StudiVZ unter Beschuss [Update]

StudiVZ unter Beschuss [Update]

27.11.2006 19:33 Uhr Torsten Kleinz
vorlesen

Vor verschlossenen Türen standen heute die zirka eine Million Nutzer des Studentenportals StudiVZ. Ab Montagmittag war die Seite komplett offline – erst gegen Abend bekamen die Nutzer eine Fehlerseite angezeigt. Seit wenigen Minuten ist die Seite wieder erreichbar. Ein Sprecher von StudiVZ bestätigte am Abend einen Angriff auf die Mitgliedsdaten der Plattform: "StudiVZ hat heute um 12 Uhr einen Phishing-Angriff bemerkt und erfolgreich abgewehrt. Um die Datensicherheit von StudiVZ für die Nutzer zu gewährleisten, wurde die Seite offline geschaltet."

Auf Nachfrage von heise online gab StudiVZ weitere Details zu dem Angriff bekannt. Der oder die Angreifer haben demnach auf einem fremden Server ein gefälschtes Login-Formular im StudiVZ-Design angelegt. "Mittels JavaScript wurden die Login-Daten ausgelesen und wiederum an den StudiVZ-Server übertragen, wo mittels XSRF automatisiert ein Pinnwandeintrag generiert wurde. Dieser enthielt einen Teil-String der so ausgelesenen Daten", erklärte ein Sprecher. Dies deckt sich mit der Darstellung in einigen Weblogs. Bei dem Angriff sind demnach die E-Mail-Daten der Mitglieder im Klartext auf einer allgemein zugänglichen Pinnwand innerhalb des StudiVZ abgelegt worden – das Passwort wurde aber nicht veröffentlicht.

Anzeige

32 Nutzer sollen den Angaben zufolge von dem Datenklau betroffen gewesen sein. Die Betreiber hätten die Nutzer sofort kontaktiert und die betroffenen Passwörter geändert, um einen Missbrauch zu verhindern. Die Nutzerdaten seien nicht aus der StudiVZ-Datenbank ausgelesen worden sein. "Um den Sachverhalt zu untersuchen und eine Gefährdung der Nutzer auszuschließen, hat StudiVZ seine Website umgehend abgeschaltet", erklärte der Sprecher. Die XSRF-Lücke sei inzwischen behoben und alle dadurch entstandenen Datensätze gelöscht worden. Die lange Offline-Zeit erklärt der Sprecher mit weiteren Wartungsarbeiten.

In den vergangenen Tagen war wegen des Umgangs mit Nutzerdaten wiederholt Kritik laut geworden. Heute wurde eine weitere Lücke im System bekannt. Der Paderborner Blogger Jörg-Olaf Schäfers dokumentiert in seinem Weblog eine Möglichkeit, an private Daten der StudiVZ-Nutzer heranzukommen, ohne dafür autorisiert zu sein. Schäfers machte sich die "Super-Suche" des Portals zunutze, die zwar derzeit nicht bei StudiVZ verlinkt wird, aber dennoch per URL-Aufruf verfügbar ist. Durch gezielte Suchanfragen konnte Schäfers zum Beispiel den Beziehungsstatus eines Nutzers erfahren, der sein Profil auf privat geschaltet hatte. Zwar wurde die Profilseite selbst nicht angezeigt, auf den Ergebnisseiten waren die Daten aber dennoch in Erfahrung zu bringen. Kontaktdaten wie E-Mail-Adresse oder Telefonnummern waren von dem Angriff offenbar nicht betroffen.

Der StudiVZ-Sprecher bestätigte gegenüber heise online die Lücke und versprach Nachbesserung: "Die Programmierung von StudiVZ wurde umgehend angepasst." Die Super-Suche lasse ab sofort keine Rückschlüsse mehr auf Profildaten zu, wenn ein Nutzer das Merkmal privat auswählt. Die Suche wurde dahingehend geändert, dass Mitglieder, deren Sichtbarkeit nicht auf "für alle" gesetzt ist, bei der Suche nach erweiterten Kriterien nicht angezeigt werden. In Zukunft soll es erweiterte Einstellungen geben, bei denen jeder Nutzer selbst festlegen kann, in welchen Fällen er gefunden werden möchte. Beschwerden über vermeintlich verlorene Nachrichten führt das Unternehmen auf einen Synchronisierungsfehler beim Neustart des Systems zurück. Es seien keine Daten verloren gegangen, betonen die StudiVZ-Betreiber.

[Update]:
Eine weitere XSS-Lücke wurde noch in der Nacht geschlossen. Ein Leser von heise online hatte eine Methode entdeckt, Sessions zu übernehmen und so fremde Accounts zu kapern. Nachdem die Firma informiert worden war, nahmen die Verantwortlichen die Server in der Nacht ein zweites Mal vom Netz und korrigierten den Fehler umgehend.

Die XSS-Lücke trat diesmal beim Löschen von Lehrveranstaltungen auf. Über diesen Aufruf ließ sich Javascript-Code einschmuggeln, der dann vom Server nicht ausgefiltert, sondern wieder zurück an den Browser gesendet wurde. Wenn ein angemeldetes Studivz-Mitglied einen manipulierten Link anklickte, konnten auf diese Weise die Session-Daten an einen fremden Server übermittelt werden. Mit Hilfe dieser Daten konnte ein Angreifer ein Cookie generieren, das ihm den Zugriff auf einen fremden Account ermöglichte. Mit dieser Methode konnten nicht nur Daten ausgelesen sondern direkt verändert werden - der Angreifer hatte vollen Zugriff auf den fremden Account. Ähnliche Lücken traten früher bei Webmail-Diensten auf. (Torsten Kleinz) / (Torsten Kleinz) / (pmz)

Kommentare lesen (209 Beiträge)
https://heise.de/-121547 Drucken
Anzeige
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Anzeige
Alerts! alle Alert-Meldungen

Drupal

MikroTik RouterOS

Drupal (CKEditor)

Anzeige
Anzeige
  • Wie Endgeräteschutz die IT-Sicherheit verbessert
  • Geldanlage: von Mensch und Maschine profitieren
  • Special: DSGVO Ratgeber
  • Arbeitgeber Bewerbungen: Heise Karriere-Netzwerk
  • enterJS: Die volle Bandbreite an JavaScript-Wissen
  • Unter der Lupe: Hardware für den Endgeräteschutz
Artikel
Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Vor allem Online-Shops und soziale Netzwerke sollte neben dem Passwort noch einen zweiten Faktor zum Einloggen fordern. Eine Webseite zeigt übersichtlich an, welche Online-Services dieses Anmeldeverfahren bieten.

Lesetipp
Leben vom Verkauf geklauter Passwörter

Leben vom Verkauf geklauter Passwörter

Das Geschäft mit geleakten Login-Daten boomt: Betrüger machen damit innerhalb von wenigen Monaten mehrere 100.000 US-Dollar.

Lesetipp
Malware-Analyse - Do-It-Yourself

Malware-Analyse - Do-It-Yourself

Bauen Sie Ihre eigene Schadsoftware-Analyse-Sandbox, um schnell das Verhalten von unbekannten Dateien zu überprüfen. Dieser Artikel zeigt, wie das mit der kostenlosen Open-Source-Sandbox Cuckoo funktioniert.

Hintergrund
Neueste Forenbeiträge
  1. Statische Webseiten FTW!
    Vielleicht sollten die Hobby-Webmaster, die im Grunde sowieso nur quasistatische Webseiten brauchen, mal ernsthaft über statische…

    Forum:  Sicherheitspatch für extrem kritische Lücke in Drupal ist da

    Daelach hat keinen Avatar
    von Daelach; vor 19 Minuten
  2. Core2
    Sehr schade dass alle sämtliche Core2-CPUs aussen vor bleiben und das wohl für immer. Mein Core2 Q9550@3400Mhz mit Yorkfield-Kern ist verdammt…

    Forum:  CPU-Sicherheitslücken unter Windows: Spectre-Schutz auch für Haswell

    Avatar von Crass Spektakel
    von Crass Spektakel; vor 21 Minuten
  3. Re: Kann mir mit meiner selbstprogrammierten Homepage nicht passieren
    Zinn40 schrieb am 26.04.2018 10:00: HTML? Wenn schon, dann HTML5 plus CSS. Notepad++? Dann lieber Visual Studio Code. Damit kann man schon…

    Forum:  Sicherheitspatch für extrem kritische Lücke in Drupal ist da

    Avatar von Rolf Keller
    von Rolf Keller; vor 24 Minuten
nach oben
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 118339
  • Content Management by InterRed
  • Copyright © 2018 Heise Medien