Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Markt > Eine Million SchülerVZ-Daten abgegriffen

Eine Million SchülerVZ-Daten abgegriffen

19. Oktober 2009, 8:01 Uhr | Lars Bube
Fortsetzung des Artikels von Teil 1

meinVZ und StudiVZ ebenfalls »abgesaugt«

Das Ausmaß des Angriffes auf die vz-Plattformen zeigt, dass hier wohl kein Anfänger oder »Script-Kid« am Werk war. Um die große Menge an Daten zu bewältigen, setzte der Datendieb offenbar einen so genannten »Crawler« ein, der sich über gültige Logins einloggt und dann die frei verfügbaren Daten »absaugt«. Im Verlauf der Gespräche mit dem Täter fanden die VZ-Betreiber außerdem heraus, dass er mit dieser Methode auch bei den Schwesterplattformen meinVZ und StudiVZ im großen Stil persönliche Daten eingesammelt hat. Allerdings beteuerte er, die noch nicht weitergegeben zu haben.

Laut den Verantwortlichen des SchülerVZ seien bei den Angriffen die Sicherheitsmechanismen wie CAPTCHA-Eingabefelder nicht gehackt oder ausgehebelt worden. Um eine Wiederholung zu vermeiden, habe man deshalb inzwischen unter anderem die Zahl der entsprechenden Sicherheitsabfragen deutlich erhöht. »Wir haben den Zugriff auf eine erhöhte Anzahl von Profilen in einem kurzen Zeitraum sofort eingeschränkt. Bitte haben Sie Verständnis, dass wir hier nicht näher ins Detail gehen können«, so die Betreiber von SchülerVZ. Zudem habe man auch rechtliche Schritte gegen den Täter eingeleitet. Dies ist allerdings etwas sonderbar, nachdem doch angeblich nur allgemein zugängliche Informationen über Mitglieder abgegriffen wurden.

Fachleute, die sich mit dem Fall auseinandersetzen vermuten, dass der Täter seinen Angriff über eine unzureichend gesicherte Schnittstelle bei der Online-Plattform durchführte. Bei dier Angriffsform der »Cross Site Request Forgery« (CSRF) werden Authentifizierungs-Informationen, die der Browser eines rechtmäßigen Users einer Web-Seite speichert, dazu genutzt, um Unbefugten den Zugang zu Web-Anwendungen zu ermöglichen. Möglich wird dies etwa, wenn Nutzer von Seiten wie StudiVZ oder SchülerVZ sich nach einer Session nicht ordnungsgemäß ausloggen und anschließend auf eine mit Schadcode präparierte Webseite gelangen. Die dort vorgehaltene Malware kann dann die Sitzungsdaten aus dem Browser des arglosen Users auslesen und in seinem Namen eine neue Session bei der Ziel-Plattform starten. Nach eigenen Angaben haben die Betreiber von SchülerVZ und StudiVZ die Web-Sites inzwischen auf solche Schwachstellen hin untersucht und diese geschlossen.

  1. Eine Million SchülerVZ-Daten abgegriffen
  2. meinVZ und StudiVZ ebenfalls »abgesaugt«
  3. AWD: Datendiebstahl schlimmer als angenommen
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
G DATA CyberDefense AG

G DATA CyberDefense AG
Softing IT Networks GmbH

Softing IT Networks GmbH
d.velop AG

d.velop AG
WatchGuard Technologies

WatchGuard Technologies
GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH