Sajonara.de – Internetmagazin

Bei Jörg-Olaf Schäfers stolperte ich darüber, dass es eine neue Sicherheitslücke bei StudiVZ gäbe. Der Kommunikationsinformatik-Student Carsten de Vries hatte die Lücke heute Früh gefunden und die Betreiber darüber informiert. Auf seiner Webseite hatte er zunächst lediglich den Hinweis auf das Sicherheitsloch veröffentlicht, erst nachdem die Betreiber von StudiVZ das Loch geschlossen hatten, ging er in seinem Blogeintrag ins Detail.

Es handelte sich um eine SQL-Injection. Über den Prozess, seine eigene Emailadresse verändern zu wollen, erhält man einen URL an die Email-Adresse geschickt, über die mittels einfacher Anhänge im URL ein schmuztiger Zugriff auf die Datenbank bei StudiVZ möglich gewesen wäre. Eine äußerst große Sicherheitslücke, die die Betreiber jedoch am gleichen Tag noch zu schließen vermochten. Prinzipiell hätten alle StudiVZ-Daten über diesen Weg gelöscht werden können.

Kinder, Kinder. Man stelle sich vor, 1e Million Nutzer hätten sich “neu” anmelden dürfen. Wieviele dann genervt gesagt hätten, “Nein, danke.”, ich kann es mir ausmalen. Sehr freundlich also von Herrn de Vries, dass er den Betreibern und den Nutzern nicht “den” Supergau schlechthin beschert hat. Gesetzt den Fall, die Betreiber haben eine ständige Datenbanksicherung, hätten Sie die Daten wieder aufspielen können. Dass eine Sicherung aber nicht immer hilfreich ist, wenn man das System zu sehr verändert, hat z. B. zuletzt der Blogbetreiber Blogger feststellen müssen.

Hinzufügen zu del.icio.us, Mr. Wong, LinkARENA, SEOigg
Tags Datenbank, de-Vries, Injection, Sicherheitslücke, SQL, StudiVZ
Kategorie Media · Autor Alexander Trust · 1 Kommentar