StudiVZ zum Abschuss freigegeben

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • StudiVZ zum Abschuss freigegeben

      Scheint so, als sei StudiVZ zum Abschuss freigegeben

      StudiVZ ist ein auf Studenten spezialisiertes soziales Netzwerk, das in den letzten Monaten zu großer Popularität gelangte, aber auch wegen ziemlich seltsamer Aktionender Betreiber in die Kritik geriet.

      In der vergangenen Woche konnte das Unternehmen den millionsten Account feiern. Hier können Studenten ihre Kontakte pflegen, Fotoalben anlegen und miteinander kommunizieren.

      Zum Hacken wird lediglich ein StudiVZ account benötigt (zumindest für die bekannten hacks)

      [...] Get-Privacy-Blogger Christian Sickendieck lässt diesen Einwand nicht gelten: "Ich kann in zwei Minuten einen Fake-Account anlegen und so Zugang zu allen Daten bekommen." Dem hält Studivz auf Anfrage von heise Online entgegen: "Es gibt die Möglichkeit, Fotoalben anzulegen, die nur von Freunden gesehen werden können. Das Album wird dann nur bestätigten Freunden innerhalb von studiVZ angezeigt. Nicht-Freunde sehen keine Hinweise auf die Existenz eines solchen Albums und der darin enthaltenen Bilder."

      * http://www.heise.de/newsticker/meldung/81373/from/rss09
      * http://fx3.org/blog/2006/11/21/studivz-unseren-tglichen-privacy-gau-gib-uns-heute/

    • Wer toppt 30 Sekunden ;)

      Gerade mit einem Kumpel überlegt auch ein bisschen rumzuhacken.
      Sind natürlich alles Hacks, die keinem wirklich schaden (außer dem Image der StudiVZ Betreiber)

      Man erhält wirklich Zugriff auf alles, was man offiziell schützen kann
      * Fotoalben (showpeoplealbums)
      * Gästebücher (profile_guestbook_large)
      * Freundeliste (friends)
      * Liste mit Fotos auf denen Person x verlinkt ist (showalbum)

      Außerdem kann man die "Super-Suche" die es früher mal gab nachbilden, indem man die Parameterliste ergänzt.
      Wie sämtliche Parameter heißen findet ihr am besten über die basicinfo.php selbst heraus.

      relationship=1&sex=1 sucht z.B. nach weiblichen Singles ;)


      //Update
      Hat zugegeben etwas länger gedauert, aber ich kann jetz auch in Gästebücher schreiben, auch wenn Leute in ihren Privatsphäre Optionen angegeben haben, dass sie das nicht wollen
      Besuchte Seiten von anderen Leuten
      Nein, ich will nicht gesehen werden und bleibe lieber anonym.
      Wer darf meine Seite sehen?
      Eingeschränkt


      Ach da gabs auch ein Button für? Naja.. mit URL Parametern gehts auch...

    • Das Studentenportal StudiVZ kommt nicht aus den Schlagzeilen. Waren es am Anfang nur merkwürdige Auftritte eines der Gründer und später Partyeinladungen im Nazi-Stil, tun sich auch kleine und große Probleme in Fragen der Datensicherheit auf. Am Montag wurde die Seite nach einen Phishingangriff dann zunächst einmal ganz abgeschaltet. [...]

      So sind Bilder die bei StudiVZ eingestellt werden unter einer festen URL abrufbar, auf die jeder Nutzer Zugriff hat. Wehe dem der seine Bilder vor fremden Blicken sicher wähnt. Diese Funktion nutzen einige männliche Mitglieder, um Bilder fremder Frauen auszutauschen und ohne deren Wissen eine Art "Misswahl" zu veranstalten und später in der Gruppe persönlich aufzusuchen. Don Alphonso, der diese Stalking-Vorwürfe dokumentiert, weist auch darauf hin, das StudiVZ sehr wohl über die Gruppe und deren Aktivitäten Bescheid wusste. Ein Support-Mitarbeiter und auch einer der Gründer von StudiVZ solle um Aufnahme in die Gruppe gebeten haben. [...]

      http://golem.de/0611/49151.html

    • Für Nicht-Studenten und Nicht-Datensammler ist das Thema bestimmt uninteressant...
      dennoch führe ich den Thread mal vor, weil ichs einfach nur toll finde ;)

      Auf folgender Seite ist anschaulich gemacht, wie man denn die geheimen Schlüssel in Integer umwandelt...
      http://www.blogbar.de/archiv/2006/11/28/studivz-hell-in-the-making/

      Der geheime Schlüssel ermöglicht es alle verfügbaren Profile/Gallerien/... in einer inkrementellen Schleife auszulesen.

      Zunaechst ist erkennbar, dass sich die ID “von vorne nach hinten” und scheinbar aufsteigend aendert. Als naechstes stellte ich durch die Betrachtung einer groesseren Menge von IDs fest, dass es nur __32__ verschiedene Moeglichkeiten je Zeichen gibt: qVgT8z3L0Bnc2Rw7X19khS4Y56MjDpfx - nicht mehr und nicht weniger. [...]

      Die hinteren Ziffern veraendern sich seltener (was widerum die von-Links-nach-Rechts Theroei manifestiert), wodurch ich darauf schloss hier die Reihenfolge ermitteln zu koennen. Und voila, es war tatsaechlich moeglich. Somit ergab sich sich das von-links-nach-rechts gezaehltes Bitmuster wie folgt [...]

      Anschliessend teilt man den Dezimalwert durch die ermittelte magische StudiVZ-Zahl 283 - und schneidet nur noch die Nachkommastellen ab.

    • ich würd sagen die technische inkompetenz, da sie letztendlich mehrere Leute betrifft und ein hohes Ausmaß haben...

      allerdings ist es moralisch unhaltbar, was de Leute da tun. Man merkt halt, dass sie noch nicht ganz im Unternehmertum angekommen sind. Ordentliche Unternehmer würden solchen Pannen gleich von vornherein entgegenarbeiten.

      Naja, zum Glück gibt es genug Leute, die sich mit dem Thema beschäftigen, daher will ich mich hier nicht weiter dazu auslassen...


      cya