Unglaublich aber war: Ich wollte mich gerade eben ins studiVZ einloggen, bekam aber eine Fehlermeldung, dass studiVZ ne Pause macht mit dem Hinweis „Wir wollten Euch aus Sicherheitsgründen ein neues Passwort zukommen
lassen. Die zahlreichen Abfragen von Passwörtern haben nun aber unsere
Datenbank in die Knie gehen lassen.“
Ich dachte mir: Das darf nicht wahr sein, da hat sicher jemand die Datenbank gehackt.
Und tatsächlich. Wie ich über Technorati.com und dann auch Golem erfuhr hat ein Unbekannter die Datenbank aufgrund einer Sicherheitslücke geknackt und ist an E-Mail-Adressen, Zugangsdaten und Freundschaftsverbindungen herangekommen.
Welche Profile betroffen sind ist nocht nicht klar und so hat studiVZ pauschal die Passwörter aller Teilnehmer zurückgesetzt und die User erhalten die neuen Passwörter wohl per mail zugesendet. Die Passwörter sind zwar verschlüsselt in der Datenbank gespeichert, aber diese Verschlüsselung ist nicht wirklich wirksam, wenn das Passwort ein Wort aus dem Wörterbuch ist, dann könnte der Angreifer pauschal alle gebräuchlichen Wörter verschlüsseln und sehen, ob das Passwort matched, oder eben auf herkömmliche Art mit viel Rechenaufwand knacken.
Was mich ein wenig beunruhigt ist die Tatsache, dass nicht nur Passwörter geknackt wurden, sondern vielleicht extrem viel mehr. Nachrichten, Private Profildaten, etc.
Das Auslesen war möglich durch eine Softwarefehler, der laut studiVZ aber mittlerweile behoben ist.
Meine Gedanken dazu: Das darf einfach nicht wahr sein. Wie ein so teures Unternehmen derartige Sicherheitslücken aufweisen kann ist mir unverständlich. Mag sein, dass die Sicherheitslücke hochkomplex war etc. Aber meiner Meinung nach sollten die Sicherheit im Vordergrund stehen und einen hochen Prozentsatz des Gesamtbudgets ausmachen.
In letzter Zeit wurde studiVZ in der Blogsphäre bereits scharf kritisiert wegen diverser Sicherheitslücken. Nicht sicheren privaten Fotos, auslesbaren öffentlichen Profilen, etc. etc., aber einen derartigen Vorfall hat es noch nie gegeben.
Ist studiVZ noch haltbar? Es gibt bereits viele User, die sich aufgrund dieser Dinge erfolgreich abgemeldet haben.
Schreibe einen Kommentar