Kaum hat Konstantin Urban, der Chef von Holtzbrinck Networks, ein Interview auf dem Manager-Magazin gegeben, gibt es schon erste öffentliche Reaktionen:
Liebe StudiVZler.
January 11th, 2007Der neue offizielle Eigentümer euer persönlichen Daten, Konstantin Urban von Holzbrinck Networks, scheint genauso wenig vom Thema Sicherheit zu verstehen, wie die Simulanten denen ihr bisher schon zu viele Details über euch anvertraut habt: gar nichts. So behauptet er dummdreist, der Chaos Computer Club hätte “vergeblich versucht das System zu hacken” und deswegen sei nun alles total sicher. Wörtlich behauptet Konstantin Urban im “manager magazin”:
“Selbstverständlich musste man nachrüsten, und das hat StudiVZ getan. Die Datensicherheit ist jetzt gegeben. Unlängst hat der Chaos Computer Club vergebens versucht, sich ins System zu hacken. Auch die Seite ist jetzt stabil.”
[http://www.manager-magazin.de/it/artikel/0,2828,druck-458408,00.html]
Das ist leider komplett falsch.
Der Chaos Computer Club beteiligt sich nicht an solchen “Hackt uns doch”-Mätzchen wie den von studiVZ ausgerufenen Wettbewerb. Es kommt leider vor, dass einzelne Spinner von sich behaupten “im Namen des CCC” zu handeln, wie wohl auch hier geschehen. Mit dem Chaos Computer Club hat das jedoch nichts zu tun.
Der Chaos Computer Club beschäftigt sich gerade mit wichtigeren Dingen, z.B. dem Vertrauensverlust durch Wahlcomputer, den Gefahren von biometrische Reisepässen und dem Kampf gegen die Totalüberwachung durch die sogenannte Vorratsdatenspeicherung. Vielleicht habt ihr ja auch besseres zu tun, als eure Daten freiwillig in den Rachen einer gewinnorientierten Verwertungsgesellschaft zu kippen und kümmert Euch mal um Euer Leben, die Welt da draußen und die wirklichen Probleme der Menschheit.
Vielen Dank
Dies ist eine maschinengenerierte Meldung im Interesse der öffentlichen Sicherheit. Sie ist ohne Unterschrift gültig.
Interessanterweise war dieser kritische Text genau da zu lesen, wo man ihn am wenigsten vermutet hätte: Auf dem Blog des Studivz. Nach einigen Minuten wurde der Artikel zwar gelöscht und dannach der Blog ganz vom Netz genommen, jedoch konnten ich und einige andere Blogger die Inhalte vorher sichern. Hier ein Screenshot unmittelbar vor dem Eingreifen:
Und wenigen Minuten darauf:
Weitere Blogger, die die was bemerkt haben: Arno, Robert, Thomas, Seclog und F!XMBR
Der genutzte Exploit dürfte dieser hier sein, ein “SQL-Injection Admin Hash Disclosure Exploit”. Als Workaround kann man raten, die anfällige Datei wp-trackback.php zu löschen und bei Verfügbarkeit den Patch einzuspielen.
{ 1 trackback }
{ 0 comments… add one now }