zurück zum Artikel

StudiVZ unter Beschuss [Update]

Torsten Kleinz

Ein Phishing-Angriff hat Deutschlands grĂ¶ĂŸtes Studentennetzwerk lahm gelegt. Die Daten von 32 Usern seien kompromittiert worden, ein ernsthafter Schaden aber verhindert worden, erklĂ€rten die Betreiber am Abend. Inzwischen ist StudiVZ wieder online.

Vor verschlossenen TĂŒren standen heute die zirka eine Million Nutzer des Studentenportals StudiVZ [1]. Ab Montagmittag war die Seite komplett offline – erst gegen Abend bekamen die Nutzer eine Fehlerseite angezeigt. Seit wenigen Minuten ist die Seite wieder erreichbar. Ein Sprecher von StudiVZ bestĂ€tigte am Abend einen Angriff auf die Mitgliedsdaten der Plattform: "StudiVZ hat heute um 12 Uhr einen Phishing-Angriff bemerkt und erfolgreich abgewehrt. Um die Datensicherheit von StudiVZ fĂŒr die Nutzer zu gewĂ€hrleisten, wurde die Seite offline geschaltet."

Auf Nachfrage von heise online gab StudiVZ weitere Details zu dem Angriff bekannt. Der oder die Angreifer haben demnach auf einem fremden Server ein gefĂ€lschtes Login-Formular im StudiVZ-Design angelegt. "Mittels JavaScript wurden die Login-Daten ausgelesen und wiederum an den StudiVZ-Server ĂŒbertragen, wo mittels XSRF [2] automatisiert ein Pinnwandeintrag generiert wurde. Dieser enthielt einen Teil-String der so ausgelesenen Daten", erklĂ€rte ein Sprecher. Dies deckt sich mit der Darstellung in einigen Weblogs [3]. Bei dem Angriff sind demnach die E-Mail-Daten der Mitglieder im Klartext auf einer allgemein zugĂ€nglichen Pinnwand innerhalb des StudiVZ abgelegt worden – das Passwort wurde aber nicht veröffentlicht.

32 Nutzer sollen den Angaben zufolge von dem Datenklau betroffen gewesen sein. Die Betreiber hĂ€tten die Nutzer sofort kontaktiert und die betroffenen Passwörter geĂ€ndert, um einen Missbrauch zu verhindern. Die Nutzerdaten seien nicht aus der StudiVZ-Datenbank ausgelesen worden sein. "Um den Sachverhalt zu untersuchen und eine GefĂ€hrdung der Nutzer auszuschließen, hat StudiVZ seine Website umgehend abgeschaltet", erklĂ€rte der Sprecher. Die XSRF-LĂŒcke sei inzwischen behoben und alle dadurch entstandenen DatensĂ€tze gelöscht worden. Die lange Offline-Zeit erklĂ€rt der Sprecher mit weiteren Wartungsarbeiten.

In den vergangenen Tagen war wegen des Umgangs mit Nutzerdaten wiederholt Kritik laut geworden [4]. Heute wurde eine weitere LĂŒcke im System bekannt. Der Paderborner Blogger Jörg-Olaf SchĂ€fers dokumentiert in seinem Weblog [5] eine Möglichkeit, an private Daten der StudiVZ-Nutzer heranzukommen, ohne dafĂŒr autorisiert zu sein. SchĂ€fers machte sich die "Super-Suche" des Portals zunutze, die zwar derzeit nicht bei StudiVZ verlinkt wird, aber dennoch per URL-Aufruf verfĂŒgbar ist. Durch gezielte Suchanfragen konnte SchĂ€fers zum Beispiel den Beziehungsstatus eines Nutzers erfahren, der sein Profil auf privat geschaltet hatte. Zwar wurde die Profilseite selbst nicht angezeigt, auf den Ergebnisseiten waren die Daten aber dennoch in Erfahrung zu bringen. Kontaktdaten wie E-Mail-Adresse oder Telefonnummern waren von dem Angriff offenbar nicht betroffen.

Der StudiVZ-Sprecher bestĂ€tigte gegenĂŒber heise online die LĂŒcke und versprach Nachbesserung: "Die Programmierung von StudiVZ wurde umgehend angepasst." Die Super-Suche lasse ab sofort keine RĂŒckschlĂŒsse mehr auf Profildaten zu, wenn ein Nutzer das Merkmal privat auswĂ€hlt. Die Suche wurde dahingehend geĂ€ndert, dass Mitglieder, deren Sichtbarkeit nicht auf "fĂŒr alle" gesetzt ist, bei der Suche nach erweiterten Kriterien nicht angezeigt werden. In Zukunft soll es erweiterte Einstellungen geben, bei denen jeder Nutzer selbst festlegen kann, in welchen FĂ€llen er gefunden werden möchte. Beschwerden ĂŒber vermeintlich verlorene Nachrichten fĂŒhrt das Unternehmen auf einen Synchronisierungsfehler beim Neustart des Systems zurĂŒck. Es seien keine Daten verloren gegangen, betonen die StudiVZ-Betreiber.

[Update]:
Eine weitere XSS-LĂŒcke wurde noch in der Nacht geschlossen. Ein Leser von heise online hatte eine Methode [6] entdeckt, Sessions zu ĂŒbernehmen und so fremde Accounts zu kapern. Nachdem die Firma informiert worden war, nahmen die Verantwortlichen die Server in der Nacht ein zweites Mal vom Netz und korrigierten den Fehler umgehend.

Die XSS-LĂŒcke trat diesmal beim Löschen von Lehrveranstaltungen auf. Über diesen Aufruf ließ sich Javascript-Code einschmuggeln, der dann vom Server nicht ausgefiltert, sondern wieder zurĂŒck an den Browser gesendet wurde. Wenn ein angemeldetes Studivz-Mitglied einen manipulierten Link anklickte, konnten auf diese Weise die Session-Daten an einen fremden Server ĂŒbermittelt werden. Mit Hilfe dieser Daten konnte ein Angreifer ein Cookie generieren, das ihm den Zugriff auf einen fremden Account ermöglichte. Mit dieser Methode konnten nicht nur Daten ausgelesen sondern direkt verĂ€ndert werden - der Angreifer hatte vollen Zugriff auf den fremden Account. Ähnliche LĂŒcken traten frĂŒher bei Webmail-Diensten [7] auf. (Torsten Kleinz) / (pmz [8])

URL dieses Artikels:
https://www.heise.de/-121547

Links in diesem Artikel:
[1] http://www.studivz.net
[2] http://de.wikipedia.org/w/index.php?title=Cross-Site_Request_Forgery&oldid=24193720
[3] http://www.fixmbr.de/studivz-durch-wurm-lahmgelegt/
[4] https://www.heise.de/news/Weiter-Wirbel-um-StudiVZ-121040.html
[5] http://fx3.org/blog/2006/11/27/studivz-sicherheitsbedenken-sind-mehr-als-begrndet/
[6] http://www.darktec.org/studivz.cgi
[7] https://www.heise.de/news/Sicherheitsluecke-bei-Yahoo-Mail-61533.html
[8] mailto:pmz@ct.de

Copyright © 2006 Heise Medien