StudiVZ: Die Wortbrecher sind wieder da
{6}Ich hab erst überlegt, ob ich einen Nachtrag unter dem Wortbrecher-Artikel mache, mich dann aber dagegen entschieden. Auf jeden Fall ist das Studiverzeichnis wieder da, wohl über eine Stunde später als angekündigt/versprochen. Mit einer neuen Botschaft in der Hinweisbox in der linken Seitenleiste. Man lese und staune:
“Sicherheit geht vor:
Bitte erstellt euch ein neues Passwort NUR für studiVZ!
Es kann bis zu 24h dauern bis ihr die angeforderte eMail mit dem Bestätigungslink erhaltet.
Danke für eure Geduld.
VG ,
Ehssan Dariani.(Tipp für die Wartezeit: Besser Lernen!)” (StudiVZ)
Okay, sie sind wieder da. Sie wollten um 0:00 Uhr wieder da sein, sie waren es nicht. Deshalb und aus anderen Gründen verfasste ich den Wortbrecher-Artikel. Was jetzt kommt ist allerdings immernoch äußerst verantwortungslos. Eine kleine Box, die wesentlich weniger Platz einnimmt als das Zitat, wie ich es hier ablichte, soll ernsthaft Sorge tragen, 1,5 Millionen Studierenden über Sicherheitsbedenken in Kenntnis zu setzen?! “Sicherheit geht vor:” – Welch blanker Zynismus!!!
Es wird an anderen Stellen, zum Beispiel in der Blogbar, darüber diskutiert, vielmehr kommentiert, dass oder ob und wieviele Studierende ein und dasselbe Passwort für ihre Emailaccounts benutzen. Doreen hat zum Glück nur dasselbe Passwort für Belustigungsangebote wie StudiVZ. An alle Campus Captains da draußen: Wenn ihr euch vorher für die Gewinnung der Studis eingesetzt habt, tut euren KommilitonInnen jetzt bitte den Gefallen und sprecht an euren Unis die AStEn an, sie mögen in der nächsten Ausgabe ihrer Informationsschriften (hier in Aachen die 90 Sekunden) einen Hinweis darin veröffentlichen, was mit dem StudiVZ geschehen ist und die Studis dafür sensibilisieren, sie mögen doch ihre Passwörter überprüfen, und gegebenfalls verändern. Ich mag die Macher vielleicht nicht mögen, oder eigentlich nur ihr Geschäftsgebahren, aber gegen die Studierenden im Allgemeinen und gegen Spaß und alles andere habe ich nichts einzuwenden.
Umso wichtiger: Der Mensch ist gemütlic, ja. Und bei Jörg-Olaf, in der Blogbar und andernorts haben sich Leute schon geoutet, bzw. geäußert, ob oder ob nicht sie ein und dasselbe Passwort für das StudiVZ und eventuell andere Accounts ebenfalls verwendet haben. Das ist keine Kleinigkeit und je nachdem wieviel subversive Kraft in demjenigen steckt, der gestern die Daten aus dem StudiVZ entwendet hat. Wenn er will, und eure Passwörter entschlüsselt, dann wird er vielleicht recht bald sich einen Spaß daraus machen und eure Emails lesen oder sonstigen Schabernack anstellen. Das gilt natürlich nur für den Fall, wenn ihr im StudiVZ dieselben Passwörter verwendet, wie anderswo. Deshalb überprüft eure Passwörter, wo ihr sie verwendet und seht zu, dass ihr sie recht bald sofort verändert, falls es dieselben sind. Die Datensätze sind wohl verschlüsselt gewesen, aber es kann schon binnen der letzten Stunden der Hacker die Passwörter entschlüsselt haben. Ich hab ne Menge Phantasie, und kann mir viele Szenarien ausdenken. Aber ich möchte keine Panik verbreiten, sondern den Leuten nur raten, tut was!
Ein Hinweis von Ehssan in einer kleinen Box “Bitte erstellt euch ein neues Passwort NUR für studiVZ!” (Ehssan Dariani) ist eindeutig zum Kotzen verantwortungslos. Sorry für die grobe Wortwahl. Ich saß in einer Vorlesung mit einigen Hundert Studierenden, und es sollte ein Programm zur Literaturverwaltung vorgestellt werden. Es wurden im Endeffekt drei Sitzungen darauf verwendet und sie hatten es immer noch nicht gerallt. Wenn man mitbekommen hat, wie wenig Medienkompetenz die Einzelnen besessen haben – doch es geht nicht darum, sie dumm sterben zu lassen. Es geht darum, ihnen unter die Arme zu greifen! Was ist denn mit dem Versprechen, sich für die Studierenden zu engagieren?! Es geht nicht darum, sich ein Passwort NUR für StudiVZ einzurichten. Who cares about StudiVZ?!!!! Es geht doch jetzt darum, die Leute darüber aufzuklären, was der Daten-Klau für ihre restlichen Daten bedeuten kann. Menschenskinder. Das will mir nicht in den Kopf.
Stellt euch vor, ihr habt dasselbe Passwort verwendet. Ihr habt DORT auch eure Emailadresse hinterlegt. Was nun?! Gesetzt den Fall, das Passwort wird entschlüsselt, surft der Hacker den Emaildienst eures Vertrauens an, loggt sich ein und tut, was immer er will. Frank ist sich im Kommentar an der Blogbar sogar sicher, dass es nicht lange dauern kann, einfache Passwörter zu entschlüsseln. Ist er voyeuristisch veranlagt, wird er sich vielleicht eure Texte durchlesen oder irgendwelche Bilder und Dateien angucken, die ihr so durch die Weltgeschichte verschickt. Hat er noch mehr subversives Element in sich, wird er Leuten aus euren Adressbüchern bei Web.de oder GMX, oder wo sonst auch immer – er könnte diesen Leuten ungebetene Post schicken. Er könnte EUREN Namen besudeln und ihr hättet vielleicht nur die Hoffnung, dass ihr ein Alibi habt und man außerdem mit der Hilfe der Nachrichten über den Hack und der verständnisvollen Mitarbeit der Emailanbieter den Täter ausfindig machen kann. Zumindest aber belegen, dass IHR es nicht wart. Es können noch viel schlimmere Dinge geschehen, die mit Freunden, Familie, Arbeitgeber oder Geschäftskollegen zu tun haben. Es könnte sogar geldwerter Schaden entstehen. Auszuformulieren brauche ich wohl nicht, was genau alles vorstellbar und vor allem, was dann jetzt auch möglich ist. Seht zu, dass ihr eure Passwörter ändert, wenn sie dieselben wie im StudiVZ waren, und DANKT Ehssan, dass er euch so sehr darüber aufklärt. Dankt jemandem, der so sehr am Geldverdienen interessiert ist, dass er offensichtlich wenig soziale Kompetenz und Verantwortung gegenüber seinen Mitmenschen an den Tag legt. Die Kollegen von F!XMBR würden sich dieser Verlautbarung wohl anschließen, wie ich denke. Spread the words. Auf dass am Ende so wenig Schaden wie möglich entstehe!
Immerhin scheinen andere Leute wenigstens ihn aufzuklären, hat er doch aus dem “Tip” nun den “Tipp” gemacht, wie Thomas Matterne in seinem Blog angemerkt hatte. Das allerdings ist in Anbetracht der Geschehnisse wirklich der berüchtigte Tropfen auf den heißen Stein.
Hinzufügen zu del.icio.us, Mr. Wong, LinkARENA, SEOigg
Tags Dariani, Hack, Holtzbrinck, Sicherheit, StudiVZ, Versprechen
Kategorie Media · Autor Alexander Trust · 6 Kommentare
February 28, 2007 · 12:20 pm
tja hm alles nicht schön.
Man sollte sich für Communities usw. natürlich sowieso nicht mit einer E-Mail Adresse anmelden die den Namen enthält und relevante E-Mails. Das würde ich auch nicht bei gotfriends machen.
Aber an diese Grundregel haben sich viele sicher nicht gehalten.
Das ist jetzt der erste Vorgang bei StudiVZ für mich persönlich den ich als kritisch einschätzen würde, wobei ich zu wenig Ahnung von technischen Dingen habe um sagen ob sie jetzt fahrlässig gehandelt haben oder nicht, das ist wohl eher fahrlässig jetzt zu sagen ohne das man die technischen Details kennt. Später kann man das sagen.
Ich unterstelle jetzt mal das die Blogosphäre eine klammheimliche Freude verspürt über den gestrigen Vorfall, also zumindest bei einem bin ich mir da relativ sicher, wie siehst du das Alexander? Also von solchen Nebensächlichkeiten wie 30 Minuten zu spät die Anzeige aktualisiert. Findest du es ok, dass der Hacker strafrechtlich zur Verantwortung gezogen werden sollte?
February 28, 2007 · 12:26 pm
Ja, ich finde es okay, wenn dort ein Verfahren angestrengt würde, insofern man ihn drankriegt. Allerdings: Sagen wir, ich könnte auch damit leben, wenn beide Seiten einen Vergleich erreichen und er nicht bestraft würde, sondern z. B. eine Erklärung unterschreibt, nichts mit den Daten angestellt zu haben, und StudiVZ hätte dann eine Versicherung. Sollte trotzdem was passieren hat er gelogen. Das bei einem Vergleich ja sowieso Gerichtskosten anfallen… aber so könnte man sagen, StudiVZ hat gemerkt, dass sie nicht sicher sind.
Ich bin mir sicher, dass viele Studis nicht wissen, was da passiert ist, und “wenn” der Typ subversive Kräfte hat, na ja… dann möchte er auch Schaden anrichten. Und ich wollte mich dann nicht mit dem Finger hinstellen und sagen ätsch bätsch, ihr seid aber die doofen Studenten.
February 28, 2007 · 1:51 pm
Moin Alexander,
Karsten vom Kasi Blog hat anscheinend schon eine Email von den Crawler Jungs bekommen:
http://www.karsten-wenzlaff.de/?p=222
February 28, 2007 · 3:48 pm
…und immer wenns mal nicht so gute läuft im Booonnnnkkkerrrr, dann ruft man mal wieder irgendein Sicherheitsbeauftragten aus:
Ab April wird bei studiVZ ein eigener Sicherheitsbeauftragter installiert, der sich ausschließlich der Qualitätssicherung zum Thema Sicherheit widmen soll. “Wir haben bereits seit November eine Vielzahl von Maßnahmen ergriffen, deshalb ist diese Geschichte natürlich besonders bitter. Wir nehmen die Angelegenheit ernst und werden auch bald dazu informieren, was wir nun noch zusätzlich tun werden”, so Helmreich gegenüber pressetext.
http://www.pressetext.de/pte.mc?pte=070228022
Eigentlich müssten die doch schon einen haben, oder? Glaub ab 20 Personen bräuchte man sowas eh.
Und was ist ist eigentlich aus dem Manni geworden? Der war doch auch irgend so nen Beauftragter? Genau Datenschutzbeauftragter! *haha*
Wie schnell man bei StudiVZ wieder zum Alltag übergeht und die Nutzer wieder im Unwissenden lässt, zeigt der neue Sidebartext. Dort steht jetzt nur noch kurz und bündig:
“Du brauchst ein neues Passwort für studiVZ.”
Sonst nix mehr, kein Hinweis mehr was passiert ist, null njente! Aber hey, scheiß drauf, is ja nur der schlimmste Gau , der so einer Community und seinen Nutzern passieren kann. Das ist alles schon wieder so schlecht, dass ich aus dem lachen nich mehr rauskomm.
March 1, 2007 · 10:03 am
Naja, Vergleich? Da ist ne Anzeige schon das richtige!
Und zu den Usern die das gleiche Passwort woanders benutzen – was kann StudiVZ dafür?
March 1, 2007 · 1:56 pm
Ehm, ne Anzeige ist ne Anzeige. Nach einer Anzeige kommt es zu einem Gerichtsverfahren. Und dort wird eben ein Urteil gesprochen, oder die Parteien einigen sich auf einen Vergleich.