Nachdem ich gestern im StudiVZ mit einem tollen Text aufgefordert wurde meine Mail-Adresse zu bestätigen und dadurch mein Passwort zurück zu setzen, läuteten schon mal alle Glocken. Was war passiert? Auf der selben Seite stand, dass es einen Angriff auf die StudiVZ Datenbank gab.
So etwas kommt vor. Keine Frage. Was mich irritierte: War das VZ nicht erst letztlich offline wegen Sicherheitsproblemen und deren Behebung? Wieso gab es nicht mehr Informationen? Ich war mir noch nicht mal sicher, ob da jemand die Domain geklaut hat wie letztlich bei google. Also ran an die Taste, E-Mail geschrieben (erst mal ne Kontaktadresse gesucht — gefunden habe ich sie dann im Impressum, nicht etwa bei Kontakt).
Hallo studiVZ,
was ist da los? Ist das ein Fake? Oder was ist da wirklich passiert? Wie begründet ist der Verdacht? Ein wenig mehr Information wären schon angebracht. Wie soll ich denn nun wissen, ob da nur einer Eure Seite nachgebaut und eure Domain irgendwie darauf umleitet?
Ich bitte Euch um schnelle Antwort, da ich vorher meinen Zugang nicht wieder freischalten werde.Viele Dank schon mal,
Martin
–
http://blog.schmart.de
http://www.schmart.de
Ab an vorzimmer@studivz.net. Kurz danach las ich dann bei heisse-online, dass es eben einen Angriff auf die Datenbank gab, dass sich aber wohl keiner in das VZ mit den gestohlenen Daten einloggen konnte. Nebenbei wurde na klar auch noch die privaten Daten gestohlen.
Der Entschluss das VZ zu verlassen reifte so langsam. Nach einem Gespräch mit einem Bekannten machte es dann auch “klick”. Wenn die wirklich Angst haben, dass sich jemand mit den Zugangsdaten einloggen könnte, sind die dann überhaupt verschlüsselt? Bei Unix/Linux ist es gang und gäbe, dass Passwörter verschlüsselt gespeichert werden. Der Vergleich des eingegebenen Passworts und des gespeicherten läuft wie folgt: Das eingegebene wird verschlüsselt und dann werden die beiden Werte miteinander verglichen.
Wenn es also so auch im VZ geschieht, dann bräuchten die keine Passwörter zurücksetzen. Speichern die etwa Passwörter als Klartext?
Keine Ahnung, ich für meinen Teil habe mich mal entschlossen, dass ich mein Konto im VZ in den nächsten Tagen erst mal lösche. Es hat einfach keinen Sinn. Die Benutzerfreundlichkeit ist realtiv bescheiden, die Sicherheit scheinbar auch. An der Entscheidung ändert auch die Antwort aus dem “Vorzimmer” nichts:
Hallo Martin Schmidt,
hier eine Erklärung zu den Ereignissen des gestrigen Tages:
Was ist passiert?
Gestern im Laufe des Tages hat es einen Angriff auf die Datenbank von studiVZ gegeben. Jemand hat Namen, Mailadressen, Zugangsdaten und Freundschaftsverbindungen illegal aus der studiVZ-Datenbank auslesen können.
Wir gehen davon aus, dass es dem Angreifer in der relativ kurzen Zeit nicht möglich war, die Passwörter zu nutzen, um sich unbefugten Zugang zu deinem Account zu verschaffen.Wir nehmen den Vorfall sehr ernst und haben deshalb auch Strafanzeige gestellt.
Wir haben in den letzten Monaten viel unternommen, um die Sicherheit bei studiVZ zu verbessern. Dass es nun trotzdem zu so einem Angriff gekommen ist, trifft uns. Vor allem aber möchten wir uns bei dir entschuldigen.
Wir werden unser Sicherheitskonzept nun noch mal nach Verbesserungsmöglichkeiten überprüfen und weitere Maßnahmen zum Schutz deiner Daten ergreifen.
Warum muss ich mein Passwort ändern?
Dein Passwort ist auf unserer Datenbank in verschlüsselter Form abgelegt. Wir müssen aber davon ausgehen, dass es dem Angreifer gelingt, die Passwörter zu entschlüsseln. Deshalb mussten wir schnell handeln und haben alle Passwörter zurückgesetzt. Mit dem neuen Passwort kannst du das studiVZ wieder normal nutzen.
Benutzt du dein studiVZ-Passwort auch für andere Dienste? Dann solltest du diese Passwörter sicherheitshalber auch ändern. Generell empfehlen wir dir, komplexe Passwörter zu verwenden, die aus Zahlen und großen und kleinen Buchstaben bestehen. Verwende auch unterschiedliche Passwörter für unterschiedliche Dienste.
Was ist mit meinen Daten?
Wir wissen derzeit noch nicht, wie viele Profile betroffen sind. Wir gehen davon aus, dass keine weiteren Daten als die oben stehenden eingesehen wurden.
Schier wäre die Mail im Papierkorb verschwunden.
Der Absender war: OTRS System
Der Betreff: : [Ticket#2007022710022311] Meldung: Sicherheitsmassnahme â?? bitte neues Passwort erstellen:
Scheinbar speichert das VZ die Passwörter nicht im Klaretext, aber wohl mit einer realtiv geringen Verschlüsselung oder einem einfachen Algorithmus. Jeder, der schon mal sein root-Passwort für ein Linux-System verlegt hat, weiß dass es auch anders möglich ist.
Meine Bitte daher: Geht ein wenig verantwortungsvoller mit unseren Daten um! Ein wenig Paranoia soll da gar nicht so verkehrt sein!
Ich für meinen Teil geh jetzt erst mal aus dem studiVZ raus. Vielleicht schau ich ja später nochmal rein.
