Vor ein paar Wochen hatte ich vor einen kurzen Artikel über die Eskapaden von Ehssan Dariani zu schreiben, der bekanntlich einer der Mitbegründer des StudiVZ ist. Ich habe mich damals dagegen entschlossen, weil ich nicht Teil einer überzogenen Hetzkampagne werden wollte.

In den darauffolgenden Wochen wurde aus einem kleinen Fehltritt eines Gründers allerdings eine mittelschwere Katastrophe. Hier eine kurze Zusammenfassung:

Das StudiVZ kämpft mit täglich neuen Sicherheitslücken, die die Sicherheit der Nutzerdaten zum Teil massiv gefährden (Zumeist XSS- und CSRF-Lücken). So war es zum Beispiel möglich, die Profile beliebiger Nutzer einfach über die Angabe der Nutzerid, die nach der Reihenfolge der Anmeldung vergeben wurden, abzurufen. Zudem sind Fotos, die eigentlich als „privat“ eingestellt wurden, für jeden zugänglich, sobald er eine kurze Buchstabenfolge kennt, die angeblich leicht zu entschlüsseln ist.

Diese und weitere haarsträubende Sicherheitslecks haben mich dazu bewogen einige meiner Daten schnellstmöglich aus dem StudiVZ zu entfernen. Einen kompletten Rückzug halte ich jedoch für übertrieben, da alle Daten, die dort nun über mich zu erfahren sind auch auf anderem Weg aus dem Netz zu beziehen sind und ich nicht auf die Netzwerkfunktionen des VZ verzichten möchte.

Teilweise frage ich mich jedoch, ob man solch gravierende Sicherheitsmängel nicht viel früher hätte bemerken müssen. Schließlich handelt es sich bei vielen dieser Fehler wirklich um Anfängerfehler, die einem erfahrenen Programmierer nicht unterlaufen dürfen. Erst recht nicht, wenn es um die Daten von über einer Million Nutzern geht.

Wer sich umfassend über die Thematik informieren möchte sollte sich mal intensiv bei der Blogbar umschauen, wo Don Alphonso mit teilweise sehr überzogenen Artikeln den Stein erst ins Rollen gebracht hat. Auch das Blog des StudiVZ hält einige Informationen, insbesondere zur Behebung von Sicherheitslücken bereit.