Dokumentation der SchülerVZ-Crawling-Aktion

Unsere erste Quelle bei der Aufdeckung eines Datenlecks bei SchülerVZ hat die von ihre entdeckten Sicherheitslücken dokumentiert (PDF). Wir danke für die Zusammenarbeit. Gerne würden wir die Namen veröffentlichen, damit die beiden Personen auch etwas Ruhm für die Aktion abbekommen. Allerdings ist noch unklar, ob SchülerVZ juristisch gegen sie vorgehen würde. Daher verzichten wir noch darauf.

29 Ergänzungen

  1. Ruhm? Es ist eine Sache, Sicherheitslücken aufzudecken, es ist eine andere, sich damit brüsten zu wollen oder zu Helden oder dergleichen gemacht zu werden. Mal davon abgesehen, dass es immer noch das Letzte ist, zuerst an die Öffentlichkeit und dann an das Unternehmen zu treten.

  2. @Jeriko: Du hast doch keine Ahnung. Ich verstehe es, dass es Leute gibt, die versuchen das Ganze über einen „Mittelsmann“ zu regeln. Schließlich ist das Suchen / Finden einer Lücke mittlerweile strafbar. Und warum sollte man die Gefahr eingehen sich Ärger einzufangen, für eine Aktion, die man eigentlich nur „gut“ meint?

  3. Hmm, am Ende des Berichts eine @yahoo.de-Adresse – dann wissen ja bald China, Iran und bestimmt auch VZnet deren Identität ;)

  4. Was in dem PDF steht ist totaler blödsinn. Natürlich kann man die Supersuche benutzen und damit „Crawlen“, aber genau das ist der Sinn einer Suchmaschine. Alle Ergebnisse, die dann angezeigt werden, entsprechen der Privacy, kann man mit mehreren Profilen nachprüfen.

    Die Geschichte mit den IVs habe ich mir gerade mal angesehen, ganz normales verhalten und keine Sicherheitslücke. So wie es aussieht, wird der formkey mit dem IV als Routing für den AJAX-Request benutzt, somit weißt der Ajax-Handler, wohin er den Request schicken muss…

    Zum Thema Fotos, ich weiß nicht was die Jungs dort gemacht haben, aber wenn ich das mache, dann ist nach wenigen Sekunden das Foto nicht mehr abrufbar…

    Viel Wind um nichts. Und wenn man ernsthaft jemand bei VZ Netzwerke erreichen will, dann ist das eigentlich auch kein Problem…

    1 min Google: http://www.dailynet.de/InternetWeb/55038.php ganz unten steht ne Telefonnummer.

  5. Das ist zwar jetzt kein Geheimnis, aber dennoch hab ich da mal ne Vertraulichkeitserklärung unterschrieben.

    Die Fotos werden von der VZ-Gruppe ebenso wie von vielen anderen Communities auf externen Server-Farmen gehalten und stehen dort eigentlich offen im Netz.

    Bei der Löschung eines Fotos vergeht einige Zeit bis das Foto gelöscht wird, da diese Löschung nicht in Echtzeit geschieht.

    Das machen z.B. auch Google / Picasa oder Facebook so.

  6. #7, #8: Genau. Schuld sind diese dämlichen Teenies. Die sträflich-vorsätzlich naiv dahergehen und tatsächlich glauben, alles wäre ganz sicher. Daß das nicht so ist, „ist ja völlig klar“. „Selber schuld, wer da failt.“ Erstmal Business, dann so’n Gedöns wie Datenschutz, wa?

    Boah nä, schuldigung, gleich würfelhuste ich.

  7. @9:

    Und klar, die VZ lassen mit Absicht irgendwelche Sicherheitslücken offen, wie beschränkt muss man in seinem Denken sein, um auf solche Idee zu kommen? Was soll ein Unternehmen antreiben, welches auf so etwas nicht reagiert oder nicht reagieren will? Wenn die in dem PDF genannten Punkte korrekt wären, was hindert dann ein Unternehmen daran sie zu korriegen? Nichts? Richtig! Sie sind aber falsch, deswegen wird studiVZ sicher nicht die Formkey und IV Geschichte ändern und sie werden auch immer sagen, das sie alle Bilder löschen, weil es keinen Grund gibt, es nicht zu tun…

  8. Das letzte (mit den IV-Dingern) klingt nach einer CSRV-Vulnerability, wo fälschlicherweise alles als vertraulich behandelt wird, sobald der Cookie stimmt.

    Bei der Sache mit den Bildern, die nicht gelöscht werden, fehlt mir irgendwie der Satz Wir haben natürlich geprüft, dass das Bild nicht aus dem Browsercache kommt ;-)

    Alles in allem wirkt das allen ziemlich unprofessionell. Schon dadurch, dass so gut wie keine Fachwörter benutzt werden (nicht mal Cookie, das muss man sich dann dazudenken). So ein langes Geschwafel nur für letztendlich 4 potentielle Sicherheitslücken. Durch die ganzen Rechtschreib- und Formfehler wird’s nicht besser.

    Naja, sind halt Schüler, die werden auch noch professioneller :)

    Ansonsten bestätigt es halt, was wir eh über SchülerVZ und Konsorten denken.

  9. Liebe „Quelle“, lieber Markus,
    ich halte es für einen großen Fehler, die PDF hier zu veröffentlichen, denn damit ist die Identität der „Quelle“ offengelegt. Die selbe PDF wanderte Anfang des Monats inklusive des hier fehlenden Kapitels und inklusive URLs zu den Websiten der „Quelle“ durch (hoffentlich dichthaltende, aber dennoch öffentliche) Kreise, mit der Frage, wo man das veröffentlichen könne (Jaja, sucht nur, über Google findet man es immerhin wahrscheinlich nicht). Eine „Quelle“ bloggt unter einer .de-Domain, eingetragen auf eine Person, deren Vorname mit „M“ beginnt, die andere „Quelle“ bloggt auf *.wordpress.com, ihr Vorname beginnt mit „F“. Richtig? Ich hoffe, dass ich es mit diesem Kommentar nicht noch schlimmer gemacht habe.

    (Ich habe zwar bei diesem Kommi keinen Namen für die Öffentlichkeit sichtbar angegeben, aber meime richtige E-Mail-Adresse, damit man notfalls mit mir Kontakt aufnehmen kann)

  10. Ich frage mich ehrlich gesagt auch, warum diese Story so gehypet wird, u. a. ja auch von den Maintream-Medien. Das Ganze ist aus technischer Sicht wirklich äußerst unbeeindruckend. Einen Crawler zu schreiben, der bei vorhandenen Zugriffsrechten Daten von einer Website abruft, die mit diesen Rechten zugänglich sind, ist extrem trivial. Der CSRF-Bug könnte evtl. etwas sein (mal abgesehen davon, dass solche Bugs in Web-Applikationen leider sehr häufig sind), aber die vorgelegte Dokumentation lässt hierzu kein schlüssiges Urteil zu. Gehen die Requests z. B. auch noch durch, wenn keine gültige Session besteht? Ohne genauere Erläuterungen muss man davon ausgehen, dass die in Kommentar #7 gelieferte Erklärung plausibler ist.
    Zeigt dieses Experiment also, dass Daten in sozialen Netzwerken öffentlicher sind, als manch einer glaubt? Dass Jugendliche deshalb dringend schon frühzeitig eine entsprechende Medienkompetenz entwickeln sollten? Ja.
    Wurde hier, technisch gesehen, eine gravierende Sicherheitslücke aufgedeckt? Ich lese allein von Berufs wegen jeden Tag Websites, Blogs und Mailinglisten, wo das geschieht. In dem Papier des SchülerVZ-„Hackers“ sehe ich so etwas jedoch bisher nicht.

  11. Ich versteh die Aufregung ehrlich gesagt auch nicht. So ein Crawler ist ratz fatz zusammengebastelt. Mit ein bischen mehr Aufwand auch gleich der Captcha Knacker dazu. Ansonsten dauert es halt etwas länger.
    Die Daten die damit abgegriffen werden sind so oder so öffentlich einsehbar. Und was öffentlich ist kann auch statistisch erfasst werden.
    Muss der Burda komplex sein. Man will es zwar öffentlich haben aber keiner soll es von „aussen“ einsehen können.

  12. @Anonyme Quellen:

    Jeder halbwegs begabte Googler kann mit Hilfe des PDFs eine „vollständige“ Version des Textes finden.. inkl. Quelle. Hat bei mir innerhalb von 20 Sekunden geklappt.

    1. Danke für die Hinweise. Hab es leider versäumt, das PDF vor Veröffentlichung zu googlen. Werde ich beim nächsten Mal dran denken.

  13. Krasse Scheiße finde ich, dass SchülerVZ behauptet, sie würden alles löschen, wenn man sein Profil entfernt, die Bilder dann aber trotzdem weiterhin speichern. Kann man die Holtzbrinck AG da nicht zwingen, das korrekt zu machen oder wenigstens die Eier zu haben, hinzustehen und zu sagen: „Egal, was ihr löscht, wir behalten eure Daten!“

  14. „Kapitel entfernt-Wir möchten anonym bleiben“

    Wäre dann vllt. nicht doof das Original vom eigenen(!!!) Webserver zu entfernen.

  15. Ich habe mir auch mal die „zensierte“ Version angetan… Die dort genannten „Bugs“ oder „Lücken“, findet man im Grunde in jedem größeren Netzwerk von heute hat, was seine Daten auf viele viele Server aufteilt… Ob das jetzt gut oder schlecht ist, will ich gar nicht beurteilen, aber anstatt ständig auf den Netzwerken rumzuhacken, könnte man auch mal den schwarzen Peter in Richtung Eltern/Schule/Medien schieben, weil dort wurde einfach in den letzten Jahren verpasst die Menschen zu sensibilisieren, dass (auch wenn man nichts zu verbergen hat) man seine Daten schützen sollte und das man auch ziemlich viel Blödsinn mit diesen (personenbezogenen) Daten machen kann. Evtl. sollte man da mal den Hebel ansetzen und die Menschen mal ordentlich aufklären… am Besten so, dass das auch der letzte „Mohikaner“ versteht.

  16. Hi,

    Die Sache mit den Bildern stimmt meinem ebigen Test zufolge nach wie vor. Die Sicherheitslücke wurde aber natürlich längst behoben. Das Problem bei der Suchfunktion lag schlicht und einfach darin, dass keine Captchas aufgetaucht sind, obwohl die Supersuche ja schon ganz gute Details bietet. Das Problem bei den Captchas war, dass sie recht unsicher und mittels einer relativ kleinen Datenbank gelöst werden konnten (womit wir uns allerdings nicht beschäftigt haben). Und ja, bei der Sache mit den Bildern haben wir unser Cache gelöscht, wir sind ja nicht von Gestern.

    Das Problem an diesem Artikel hier ist, dass die Dokumentation jetzt rein gar nicht mehr Spektakulär ist, da veraltet, sowohl der Inhalt als auch aus orthografisch-grammatikalischer Sicht.

    Und ganz ehrlich: Wir verstehen auch nicht, warum da so viel Wirbel um die Sache gemacht wird. Etwas zu viel Hysterie für den wenigen Aufwand, den wir uns gemacht haben.
    Andererseits kann es auch nicht schaden, so wird den Leuten über die Medien eine gewisse Angst wegen den Daten im Internet vermittelt, die gewiss nicht schaden kann.

    Wer nochmals eine überarbeitetere Version und ein detaillierteres Nachwort lesen möchte, findet diese hier: http://filebin.ca/xmmfgc

    Na ja, wie auch immer. Was uns im Nachhinein übrigens gar nicht gefallen hat, war die einseitige Berichterstattung, schließlich hatten wir ja auch noch anderes zu bieten, als nur diese eine Sache mit der Suchfunktion. Aber das steht auch nochmal im Nachwort, das ist eigentlich relativ lesenswert.

    Hoffe mal, das ist kein Fehler, hier einen Kommentar ‚reinzuschreiben.

    Gruß.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.