Ernste Sicherheitslücke in SchülerVZ entdeckt (Update)

[Annika_Kremer]

Im sozialen Netzwerk SchülerVZ gibt es eine Sicherheitslücke, die das Auslesen von Account-Daten, Cookies und privaten Nachrichten sowie das Unterschieben von Schadcode ermöglicht. Die Lücke kam durch die kürzlich erfolgte Einführung klickbarer Links zustande.

zur News

[TUNNY]

Naja mal ganz ehrlich, auf welcher Seite wurde noch nie eine Lücke gefunden?

Google? Ne die wurde auch mal auseinander genommen von den Türken und Chinesen.

[TalkToFrank]

nur ist es bei einer Seite auf der sich schon leute von 12+ Jahren bewegen besonders kritisch da diese nicht immer klare Vorstellungen haben, in was sie geraten könnten.

[CommandeRip]

nur ist es bei einer Seite auf der sich schon leute von 12+ Jahren bewegen besonders kritisch da diese nicht immer klare Vorstellungen haben, in was sie geraten könnten.

Es hängt nicht davon ab, wie alt die Leute sind, sondern wie viele private Informationen sie im Internet preisgeben - egal ob auf SchülerVz, bei Facebook, Google, eBay und so weiter, und so fort.

[Annika_Kremer]

Nicht nur. Wenn dir beispielsweise Malware untergejubelt wird, ist das unabhängig von deiner Einstellung zur informationellen Selbstbestimmung ein Problem. Und das wäre mit diesem Angriff im Bereich des Möglichen, wenn Exploits ausgenutzt werden.

[TalkToFrank]

Das sind natürlich auch mit Gründe...aber speziell bei Schuelervz sollte man aufgrund des Minderjährigen Publikums mehr Vorsicht walten lassen.

[Baddezzed]

Hat sich der erste Hacker nicht aufgehängt?

edit:// nicht zu Ende gelesen.

Ich bin so wütend über die Sorglosigkeit im Umgang mit persönlichen Daten im Internet, wie man machtlos gegenüber der Masse ist, die blindlings über eine Autobahn stoplert.

[Priv8]

HIER gibt es noch einen Artikel zu diesem Thema, der euch als Quelle hat.

Letztenendes könnten auf "Armin", falls er wirklich so heißt, nun extreme schwiegigkeiten zukommen.
Es wurde gegen Hackerparagraphen verstoßen!!!

Außerdem sind die Infos zur Lücke 2much, jeder der sich halbwegs mit XSS auskennt, wird die Lücke nun anfangen zu nutzen - auch die wirklich bösen Jungs.

Das kommt ja schon an ein Full Disclosure ran. Gulli.com hätte erst die Lücke melden sollen, warten bis sie geschlossen wird und im Anschluss hier schreiben.
Dann wäre auch nichts unter den teppich gekehrt worden, ihr hättet eure Schlagzeile, und die Gefahr bestünde nicht für 10000e von Benutzern, dass ihnen Malware untergejubelt wird, da es sich tatsächlich um eine Persistent XSS handelt!

[CND_]

Sehe ich das richtig, man kann überall da Code injecten, wo man Links posten kann?
Dann müsste man ja nur ein Script unterschieben, dass den Cookie ausliest und diesen dann nutzt, um Accounts zu "infizieren" und sich von diesen aus weiter zu verschicken. In kurzer Zeit könnte man so wohl jedes Mitglied des SchülerVZ erreichen und dann auch durch diverse Exploits versuchen, Malware auf die Systeme der Opfer zu bringen. Alternativ könnte man auch eifnach ein sich selbst verbreitendes Script, das nebenbei noch z.B. gulli.com/index.php lädt, schreiben und somit nen ziemlich verheerenden DDos-Angriff durchführen.

[Ghandy]

Hat sich der erste Hacker nicht aufgehängt?

Nein, wird er nicht - wir schützen unsere Quellen!

[Priv8]

Nein, wird er nicht - wir schützen unsere Quellen!

Bedeutet das: Gezielte Falschinformationen (Armin, Mitglied des SchülerVZ)?

Wenn er Mitglied des SVZ ist, wird ihn das Team dort schnell ausfindig machen, die Speichern alle Eingaben. Es reichen einige Abfragen in der mysql und dann finden sie ihn.

Ich bin gespannt.

[buggerman]

Ghandy, er meint den User, der sich wirklich in der Zelle erhangen hatte (Medien berichteten).

Sehr informative News! Danke Annika.

[Annika_Kremer]

Ja, da hat Ghandy was verwechselt. Es ging um "exit" bei der Bemerkung mit dem Aufhängen. Und bei dem stimmt es leider.

[MagixXxX]

Naja, schuelerVZ hat eh dauernd Probleme, anstatt sich um Sicherheitslücken zu kümmern arbeitet das Team an neuen features die eigentlich sinnlos erscheinen und meißt gar nicht richtig funktionieren *hust* Plauderkasten(der hängt sich zu 90% eh immer auf) *hust*

[bru2k]

Sollte man für das auffinden sowie aufdecken von Sicherheitslücken nicht dankbar sein? Studi/SchülerVz gehört für diese Arroganz bestraft, mehr gibt es dazu nicht zu sagen.
Wie sehr man jemanden unter Druck setzen muss das jener sich das leben nimmt scheint mir unvorstellbar und es überkommt mich der pure Hass auf die Betreiber und verantwortlichen dieser Seiten.

[VaLLe95]

Die Captchas wurden vor ein paar Monaten übrigens KOMPLETT entfernt wegen ein paar quengelnden Kindern die zu dumm waren sie einzugeben... oO

[Shadow27374]

Die Captchas wurden vor ein paar Monaten übrigens KOMPLETT entfernt wegen ein paar quengelnden Kindern die zu dumm waren sie einzugeben... oO

Die waren aber auch so nervig das ich diesen Schritt begrüße. Es muss andere Wege geben.

[Ghandy]

Ja, da hat Ghandy was verwechselt. Es ging um "exit" bei der Bemerkung mit dem Aufhängen. Und bei dem stimmt es leider.

ja, so meinte ich das auch!

[Knuffbox]

Nicht auf Links von Unbekannten klicken. Punkt

Aber die VZs sollte da mal bei der Bibliothek nachbessern, jetzt wo die Probleme bekannt sind.

[blahblah]

Wer sich bei solchen Netzwerken anmeldet, dem sind seine Daten und Datenschutz doch eh egal.

Ich begrüße solche Sicherheitslücken. Etwas Abschreckung vor diesem Mist kann nicht schaden.

Edit:

Das kommt ja schon an ein Full Disclosure ran. Gulli.com hätte erst die Lücke melden sollen, warten bis sie geschlossen wird und im Anschluss hier schreiben.
Dann wäre auch nichts unter den teppich gekehrt worden, ihr hättet eure Schlagzeile, und die Gefahr bestünde nicht für 10000e von Benutzern, dass ihnen Malware untergejubelt wird, da es sich tatsächlich um eine Persistent XSS handelt!

Daraus würde aber niemand lernen.