You are not logged in.

  • Login

Profile of "Torben Brodt"

Folge uns auf Twitter! News aus dem Bereich Coding, Web 2.0, Internet uvm.

Dear visitor, welcome to Coder Forum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

  • Torben Brodt

    Administrator

    You have to register first, to connect to this user.

2,306

StudiVZ zum Abschuss freigegeben

Rating:

by Torben Brodt, Tuesday, November 21st 2006, 7:38pm

Scheint so, als sei StudiVZ zum Abschuss freigegeben

StudiVZ ist ein auf Studenten spezialisiertes soziales Netzwerk, das in den letzten Monaten zu großer Popularität gelangte, aber auch wegen ziemlich seltsamer Aktionender Betreiber in die Kritik geriet.

In der vergangenen Woche konnte das Unternehmen den millionsten Account feiern. Hier können Studenten ihre Kontakte pflegen, Fotoalben anlegen und miteinander kommunizieren.

Zum Hacken wird lediglich ein StudiVZ account benötigt (zumindest für die bekannten hacks)

[...] Get-Privacy-Blogger Christian Sickendieck lässt diesen Einwand nicht gelten: "Ich kann in zwei Minuten einen Fake-Account anlegen und so Zugang zu allen Daten bekommen." Dem hält Studivz auf Anfrage von heise Online entgegen: "Es gibt die Möglichkeit, Fotoalben anzulegen, die nur von Freunden gesehen werden können. Das Album wird dann nur bestätigten Freunden innerhalb von studiVZ angezeigt. Nicht-Freunde sehen keine Hinweise auf die Existenz eines solchen Albums und der darin enthaltenen Bilder."

* http://www.heise.de/newsticker/meldung/81373/from/rss09
* http://fx3.org/blog/2006/11/21/studivz-unseren-tglichen-privacy-gau-gib-uns-heute/

This article has been read 3,062 times.

Tags: , , , , , , , abschuss, account, accounts, Admin, attachviewer, Besuchte, Besuchte Seiten von anderen Leuten\, bilder, de, deaktiviert, foren, fotoalben, freunden, gästebücher, geheime, geheimsten, gruppe, gruppen, Hack, hacke, hacked, hacken, hacker, leute, Leuten, meinvz, Nein, ich will nicht gesehen werden und bleibe lieber anonym\, Passwort, passwörter, pdf&dateiverzeichnis=35833&dateiname=1be6654909ad594560a85878046d84f2, PHP, php?typ=Thema&dateiorig=SchuelerVZ, profil, profile, related:jugendinfo, scheint, schuelervz, schülervz, sehen, seite, seiten, seltenen, showpeoplealbums, studenten, studi, studivz, studivz-passwort, thema, toleranz, update, zeichen, zugriff


Rate this article

Comments (8)

  • 8

    by RichBone (Thursday, November 30th 2006, 1:51pm)

    Hallo

    Das ist natürlich Peinlich wie das alles abgelaufen ist.

    RichBone

  • 7

    by mad (Wednesday, November 29th 2006, 2:41pm)

    ich würd sagen die technische inkompetenz, da sie letztendlich mehrere Leute betrifft und ein hohes Ausmaß haben...

    allerdings ist es moralisch unhaltbar, was de Leute da tun. Man merkt halt, dass sie noch nicht ganz im Unternehmertum angekommen sind. Ordentliche Unternehmer würden solchen Pannen gleich von vornherein entgegenarbeiten.

    Naja, zum Glück gibt es genug Leute, die sich mit dem Thema beschäftigen, daher will ich mich hier nicht weiter dazu auslassen...


    cya

  • 6

    by SoMeGuY (Wednesday, November 29th 2006, 11:16am)

    Man weiß gar nicht was schlimmer ist: Die menschlichen Abgründe, die sich beim Personal auftun oder die technische Inkompetenz :?:

  • 5

    by Torben Brodt (Wednesday, November 29th 2006, 10:32am)

    hier übrigens nochmal der Artikel zu den Misswahlen...
    http://www.blogbar.de/archiv/2006/11/23/…er-datenschutz/

    Die E-Mail vom Supportmitarbeiter ist auch enthalten... die ist echt die Krönung

  • 4

    by SoMeGuY (Tuesday, November 28th 2006, 7:37pm)

    Also wer für XSS anfällig ist, hat irgendwie keine Ahnung :roll:

  • 3

    by Torben Brodt (Tuesday, November 28th 2006, 6:03pm)

    Für Nicht-Studenten und Nicht-Datensammler ist das Thema bestimmt uninteressant...
    dennoch führe ich den Thread mal vor, weil ichs einfach nur toll finde ;-)

    Auf folgender Seite ist anschaulich gemacht, wie man denn die geheimen Schlüssel in Integer umwandelt...
    http://www.blogbar.de/archiv/2006/11/28/studivz-hell-in-the-making/

    Der geheime Schlüssel ermöglicht es alle verfügbaren Profile/Gallerien/... in einer inkrementellen Schleife auszulesen.

    Quoted

    Zunaechst ist erkennbar, dass sich die ID “von vorne nach hinten” und scheinbar aufsteigend aendert. Als naechstes stellte ich durch die Betrachtung einer groesseren Menge von IDs fest, dass es nur __32__ verschiedene Moeglichkeiten je Zeichen gibt: qVgT8z3L0Bnc2Rw7X19khS4Y56MjDpfx - nicht mehr und nicht weniger. [...]

    Die hinteren Ziffern veraendern sich seltener (was widerum die von-Links-nach-Rechts Theroei manifestiert), wodurch ich darauf schloss hier die Reihenfolge ermitteln zu koennen. Und voila, es war tatsaechlich moeglich. Somit ergab sich sich das von-links-nach-rechts gezaehltes Bitmuster wie folgt [...]

    Anschliessend teilt man den Dezimalwert durch die ermittelte magische StudiVZ-Zahl 283 - und schneidet nur noch die Nachkommastellen ab.

  • 2

    by Torben Brodt (Monday, November 27th 2006, 7:49pm)

    Das Studentenportal StudiVZ kommt nicht aus den Schlagzeilen. Waren es am Anfang nur merkwürdige Auftritte eines der Gründer und später Partyeinladungen im Nazi-Stil, tun sich auch kleine und große Probleme in Fragen der Datensicherheit auf. Am Montag wurde die Seite nach einen Phishingangriff dann zunächst einmal ganz abgeschaltet. [...]

    So sind Bilder die bei StudiVZ eingestellt werden unter einer festen URL abrufbar, auf die jeder Nutzer Zugriff hat. Wehe dem der seine Bilder vor fremden Blicken sicher wähnt. Diese Funktion nutzen einige männliche Mitglieder, um Bilder fremder Frauen auszutauschen und ohne deren Wissen eine Art "Misswahl" zu veranstalten und später in der Gruppe persönlich aufzusuchen. Don Alphonso, der diese Stalking-Vorwürfe dokumentiert, weist auch darauf hin, das StudiVZ sehr wohl über die Gruppe und deren Aktivitäten Bescheid wusste. Ein Support-Mitarbeiter und auch einer der Gründer von StudiVZ solle um Aufnahme in die Gruppe gebeten haben. [...]

    http://golem.de/0611/49151.html

  • 1

    by Torben Brodt (Tuesday, November 21st 2006, 7:57pm)

    Wer toppt 30 Sekunden ;-)

    Gerade mit einem Kumpel überlegt auch ein bisschen rumzuhacken.
    Sind natürlich alles Hacks, die keinem wirklich schaden (außer dem Image der StudiVZ Betreiber)

    Man erhält wirklich Zugriff auf alles, was man offiziell schützen kann
    * Fotoalben (showpeoplealbums)
    * Gästebücher (profile_guestbook_large)
    * Freundeliste (friends)
    * Liste mit Fotos auf denen Person x verlinkt ist (showalbum)

    Außerdem kann man die "Super-Suche" die es früher mal gab nachbilden, indem man die Parameterliste ergänzt.
    Wie sämtliche Parameter heißen findet ihr am besten über die basicinfo.php selbst heraus.

    relationship=1&sex=1 sucht z.B. nach weiblichen Singles ;-)


    //Update
    Hat zugegeben etwas länger gedauert, aber ich kann jetz auch in Gästebücher schreiben, auch wenn Leute in ihren Privatsphäre Optionen angegeben haben, dass sie das nicht wollen

    Quoted

    Besuchte Seiten von anderen Leuten
    Nein, ich will nicht gesehen werden und bleibe lieber anonym.
    Wer darf meine Seite sehen?
    Eingeschränkt


    Ach da gabs auch ein Button für? Naja.. mit URL Parametern gehts auch...

Add comment

Please enter the letters that are shown in the picture below (without spaces, and upper or lower case can be used). If you cannot identify the captcha even after reloading it please contact the administrator of this site.

Blog navigation

Next article

MonoDevelop 1.0 im März 2007

by Torben Brodt (Tuesday, November 28th 2006, 6:06pm)

Previous article

HOWTO Rails Hosting mit Apache2

by Torben Brodt (Sunday, November 19th 2006, 12:33pm)

Facebook

Google+

Categories

Used tags

Most recent

Blogroll