Kaum gebloggt, schon merke ich, dass ich eine Pressemitteilung im Postfach habe:
Nutzer erhalten neue Passwörter. Unternehmen stellt Strafanzeige.
Berlin, 27.02.2006. Wie die Berliner Studierendenplattform studiVZ heute mitteilte, hat eine bislang unbekannte Person während des heutigen Tages Mailadressen, Zugangsdaten und Freundschaftsverbindungen illegal aus der studiVZ-Datenbank auslesen können. Wie viele Profile davon betroffen sind ist zum jetzigen Zeitpunkt noch offen. schülerVZ und die internationalen Seiten des studiVZ sind nicht betroffen. Die Passwörter in der studiVZ-Datenbank sind verschlüsselt. Um die Nutzer zu schützen, hat das Unternehmen alle Passwörter zurückgesetzt. „Wir gehen nach jetzigem Wissensstand davon aus, dass es dem Angreifer in der kurzen Zeit noch nicht gelungen ist, mit den ausgelesenen Passwörtern Schaden zu verursachen.
Der Programmfehler ist wohl behoben worden und Schritte gegen den Angreifer eingeleitet. Auch werden die Nutzer um Nachsicht gebeten:
„Wir sehen uns gegenüber unseren Nutzern in der Verantwortung und entschuldigen uns deshalb. Der Angriff ist gerade deshalb für uns bitter, weil wir in den letzten Monaten viele Anstrengungen unternommen haben, um den missbräuchlichen Zugriff auf die Daten unserer Nutzerinnen und Nutzer zu erschweren. Wir arbeiten daran kontinuierlich weiter und nehmen den Vorfall zum Anlass, unsere Anstrengungen weiter zu verstärken. studiVZ wird weiter aktiv dafür Sorge tragen, einen kommunikativen und sicheren Service zu bieten“, erklärte Dariani.
Ich finde es in dieser Situation gut, dass man einen Schritt wie das komplette Umstellen aller Userpasswörter umgehend einleitet und mit der Presemitteilung reinen Wein einschenkt. Sicherheitslücken gibt es sicher in fast allen Anwendungen, allerdings wiegen diese bei so großen Portalen wie dem StudiVZ sehr schwer.
Daher muss man um so mehr Aufwand treiben, diese Mängel gleich zu beseitigen. In diesem Sinne war das wohl wieder eine Erinnerung an das StudiVZ.
{ 2 trackbacks }
{ 5 comments… read them below or add one }
Es wäre freilich jetzt gut, wenn alle sich beteiligten, die Studis darüber aufzuklären was das hier schlimmstenfalls bedeuten kann.
Was mich irritiert: Wenn die Passwörter wirklich verschlüsselt in der Datenbank abgelegt waren, wie kann man diese Missbrauchen und damit einen Schaden anrichten?
nunja, mit genügend aufwand kannst du eigentlich jede verschlüsselung knacken. und gerade bei dem beliebten md5 und anderen gerne eingestzten gibts ja rainbow-tables, mit denen man schon einen großteil aufdecken könnte…
nunja, mal schaun, was passiert…
Ich bin ja sehr gespannt, wann der erste Spam kommt. Habe glücklicherweise eine eigene StudiVZ Adresse eingerichtet
ich bin selber bei studi vz.und kann meine narichten nicht lesen oder verschic
liegt es an dem hacker…wenn jemand was weiss informiert mich bitte per mail.danke.eure sarah 
ken seit paar tagen…und keiner weiss wa
rum