Studivz: Die Rache der spannenden Technik

Bitter. Gestern schrieb der Datenschutzbeauftragte des Studivz: »Viel Interessanteres zu unserer Technik kommt in Kürze!«
In der Tat: mit der Privatsphähre ist das so eine Sache im Studiverzeichnis. Wie auch jetzt, Stunden nach dem Posting, auf der Studivz-Seite zu lesen ist, reicht es aus, die URL zu modifizieren und schwupps kann man sich die Pinnbretter, die Freunde und auch(!) die Fotoalben derer ansehen, die ihr Profil sowie auch jene Daten eben nicht für jedermann sichtbar im Netz stehen haben wollten. Also doch »StalkerVZ«?
Gut, okay, tangieren tut’s die VZ-Klientel eher nicht:

Wer wirklich hoch private Bilder für sich behalten will, der soll sie einfach nicht online stellen. Es gibt immer noch die Möglichkeit, guten Freunden einfach eine EMail zu schicken. (»Markus«)

 

Es ist total kontraproduktiv wie auf manchen Blogs nachzulesen das offlinestellen dieser Seite zu fordern denn jeder der ehrlich ist, findet diese Seite doch total genial um mit alten Freunden vernetzt zu sein, jemanden zu finden den man auf irgendeiner Party kennengelernt hat usw.
Es ist legitim von dem Entwicklerteam zu fordern in gewissen Bereichen “nachzubessern” bzw. tiefgreifend nachzubessern aber offlinestellen ist keine Lösung. (»Kiki«)

 

echt jungs, könnt ihr euch nicht endlich mal zusammenreißen und die jungs hier in Ruhe lassen? Was soll der blödsinn von wegen man kommt an alle Bilder ran? Als nächstest schreit ihr noch das man durch Bots die Passwörter knacken kann, weil es vielleicht in 10000Fällen einmal klappt.
Echt, ich verstehe euch nicht was euch zu so einer Hetzerei bewegt. (»Rafter«)

 

wie schon einige sagten:
Wieso zur Hölle stellt Ihr Bilder und oder Angaben über Euch ins Netz, wenn Ihr Angst vor Fremdzugriffen habt?
Und ich weiss aus eigener Erfahrung, dass jmd der nicht im Studivz angemeldet ist, die BIlder auch mit URL nicht sehen kann.
Wollte nem Kumpel Bilder zeigen von jmd im Studivz und er bekam nur ein “Du bist noicht angemeldet” auf den Screen- also! (»su-c«)

 
Gut, Dankbarkeit dafür zu erwarten, daß man 1.000.000 (abzüglich Fakeaccounts und Leichen) Spielkindern Ihr neustes, leuchtendes High-Tech-Spielzeug als rostiges Low-Budget-Produkt vorführt, wäre auch zuviel verlangt ;) Aber, ganz ehrlich, so ein wenig macht mir das Ausbleiben von kritischen Stimmen bzgl. Studivz und ähnlichen Datenkraken schon Sorge …
Aber zurück zur ach-so-hohen Datensicherheit: Wo hinsichtlich der Erratbarkeit der Foto-URLs gestern noch mit Millionen von Jahren argumentiert wurde, mag es stimmen oder auch nicht, hat es nur wenige Stunden gedauert, bis jemand eine weitere Unsicherheit im Studiverzeichnis fand und aufdeckte. Erraten von Fotonamen ist nun müßig, wer auf ein nicht einsehbares Profil stößt, kann nun einfachst die Fotoalben direkt im Studivz sich ansehen. Mag der Algorithmnus auch doppelt so sicher wie PIN & TAN bei den Banken sein, der Rest der Site ist es eher nicht, wie vor kurzem noch befürchtet.
Auf heise online bestreitet man seitens Studivz noch ein Datenschutzproblem: »“Nur die eigenen Freunde können geschützte Profildaten zum Beispiel die Kontaktdaten (Adresse, Telefon, Handy) oder persönliches wie Beziehungsstatus, Musikgeschmack oder Lieblingsfilme einsehen. Allgemeine Daten wie beispielsweise Name, Foto, Uni, Pinnwand (Gästebuch) und die Freunde sind für alle Nutzer sichtbar”, teilt das Unternehmen mit.«
Durch die neue Lücke ist es jedenfalls möglich, eben auch die Fotoalben nicht-öffentlicher Profile zu sehen; es bleibt nur zu hoffen, daß die Macher nun wirklich »rund um die Uhr« anfangen, an den Sicherheitsproblemen des Angebotes zu arbeiten. Sonst führen die mit viel völkischem Tamtam im Sommer abgehaltenen »Feiern bis zum letzten Mann« gradewegs in den Untergang … Der direkte Zugriff auf die Bilddaten ist im Web 2.0 augenscheinlich Usus; ich finde es zwar latent bedenklich, aber naja; was meines Erachtens aber ein umgehend zu begebender Schnitzer ist, ist die, so sieht es derzeit zumindest aus, Security-by-Obscurity bei Studivz — was das System dem User nicht anzeigt, davon wird er schon nichts wissen. Das halte ich, bei Web 1.0 und erst recht bei 2.0 für indiskutabel.

»Sicherheitsbedenken unbegründet« oder doch »Datengau« bei Studivz?

Don Alphonso serviert derzeit an seiner blogbar Direktlinks ins Image-Grab der Studivz, die Meute ist sich uneins, ob das Enthüllung oder Olle Kamellen sind. Derweil blogt der frischgebackene Datenschutzbeauftragte der Studivz darüber, daß »die Suche nach einem beliebigen Code, wie beispielsweise Ev4M21/Z3uP7KA-5819, der Zahlen und Buchstaben enthält, viele Millionen Jahre benötigen« würde. »Die Kombination des von [Studivz] verwendeten Codes ist bedeutend komplexer als die Kombination aus PIN und TAN beim Online Banking« — sicher ist eben sicher.
Gut, daß man, wenn man »…/Ev4M21/« schon kennt (Existenz eines solchen Albums durch Veröffentlichung z. B. bekannt geworden oder durch Leute, die es sehen dürfen, bekannt gemacht), nur noch »Z3uP7KA-5819« erraten muß und ferner, wie Don vorführt, bei in kurzer zeitlicher Abfolge hochgeladenen Bildern sich nur 3 Zeichen vorne sowie der Teil hinterm Bindestrich ändern, naja. In Kombination mit der nicht übermäßigen Webserverperformance kann man das derzeit wohl als »sicher« in dem Sinne bezeichnen, daß praktisch jede Bruteforce-Attacke zu lange dauert. Blöd wird’s nur, falls das lange versprochene »studiVZ – on SpeeeeED!« tatsächlich noch mal kommt.
Man kann nur hoffen, daß der »bedeutend komplexere« Code für’s Verstecken der Bilder vor neugierigen Direktzugriffen korrekter ist als der, der die Mitglieder in Gruppen aufzählt. Denn bei meinen Streifzügen durch Studivz sind mir mehrfach die Nutzerzähler ausgetickt, siehe Bild oben. Für 31 Mitglieder einer Gruppe braucht man keine 162 Seiten mit je 12 Bildern — falls doch, muß mein bc(1) kaputt sein.
Personalie am Rande, damit’s nicht untergeht: Ehssan Dariani, kürzlich noch als CEO im JobTV, weilt im wohlverdienten Gründerurlaub.
So zumindest deutet Don an und bestätigt auf Nachfrage das in die Welt gesetzte Gerücht:

Soweit ich aus gewöhnlich gut unterrichteten Quellen weiss, sollen ihm die Gesellschafter Ende letzter Woche gesagt haben, dass es so nicht weitergeht, und er solle mal ne Pause machen nach dem Jahr. Es gab Mitte letzter Woche noch ein paar Rettungsversuche […], und irgendwann war wohl allen Beteiligten klar, dass es kein Spass mehr wird. Es kann gern mal einer in Berlin anrufen und nach ihm fragen. *g*

 
Gut, als Gründer wird er sicherlich noch erkleckliche Anteile halten, insofern wird er seine ehemaligen »25.000 Euro Schulden« (Netzzeitung) sicher abzahlen können, falls nicht schon geschehen, wenn die restlichen Gründer und Investoren den Briefkasten bis Jahresende zu Geld machen.
Sollte ihnen das nicht gelingen, könnten Aushilfsadmins¹ zum Jahresende, vielleicht, das Thema der Datensicherheit bei Studivz noch einmal völlig neu beleuchten — und ob jene auf Don Alphonso (»Das sind daten, da hängen Leben dran«) hören?
Wir werden es erfahren ;)
¹ Dank an YAMB.BETA² für den Hinweis auf den CCC.