Save the Cheerleader - Steal StudiVZ Pictures Part 2

Liebe StudiVZ-Verantwortliche,

da Ihr hier ja direkt mitlest, ist das ganz praktisch ... man kann ohne Umstände miteinander kommunizieren. :D
Dass Unkraut nicht vergeht, haben wir alle ja kürzlich erst feststellen müssen. Da habt Ihr mir aber anscheinend nicht geglaubt (siehe Kommentare hier) oder war das nur geschicktes Vertuschen?
Ich muss ehrlich sagen, dass ich es leid bin, die Arbeit von Euren Programmierern/Datenschützern zu übernehmen. Es nervt ...
Deshalb werde ich hier auch nur beweisen, dass beim StudiVZ mal wieder nichts so funktioniert wie es soll. Es gibt kein Disclosure, so dass kein Schaden entsteht. Ihr dürft mich aber gerne per Mail ansprechen, falls Ihr die Lücke nicht selbst findet oder Euch mal nen gut gemeinten Rat abholen wollt.

Ich stelle hier mal die Behauptung in den Raum, dass man ohne große Anstrengungen Fotogallerien jedes Nutzers einsehen kann, egal ob man Rechte dafür besitzt oder nicht. Das ist eine ziemlich grobe Verletzung der Privatsphäre der ganzen armen Studenten, die irgendwann den größten Fehler ihres Lebens begangen haben und sich beim StudiVZ angemeldet haben.

Ich dachte bis gestern, dass spezielle Vorbedingungen für die Lücke herrschen müssen, allerdings ist dem anscheinend nicht so.
Seit der Einführung des super-mega-tollen-imba Features, der Diashow mit zusätzlichem Funktionskrams, war dann auf einmal Tag der offenen Tür. Anscheinend ist man in Berlin ein wenig zu sehr mit dem Abmahnen von anderen Domains beschäftigt, als auf die eigene Sicherheit zu achten.

Grundlegendes Problem:
Eigentlich ist es recht simpel: Betreiber von Web 2.0 Anwendungen pumpen die Applikationen voller und voller mit teilweise absolut unnötigen Features, die lediglich eines tun; sie gefährden die Sicherheit der Anwendung an sich. Was teilweise an AJAX-Dschungel-Code produziert wird auf manchen Anwendungen ist einfach nur noch furchtbar.
Es is alles wie in einem schlechten Traum! Kleinere Portale, wie beispielsweise das gestern erwähnte blogage.de, müssen immer neue Features implementieren und Trends folgen, um im Rennen zu bleiben. Man achtet zu sehr auf Funktionalität und "in-sein" anstatt auf die Sicherheit.
Und wie jetzt zu sehen ist, hat das StudiVZ sich mit der Einführung ihrer neuen Bildergallerie ins eigene Bein geschossen. Ein Schritt zuviel wieder dem Trend gefolgt ... aber ist das wirklich was Neues?

Wie?
Ich bin auf diese "Lücke" durch reinen Zufall gestoßen. Es ist kein "Hack" ... es wurde nichts beschädigt, ich habe gegen kein Gesetz oder sonstiges verstoßen. Nein, eigentlich ist es zu primitiv hier erwähnt zu werden, wenn nicht auf einmal Millionen von Bildern sichtbar im StudiVZ rumschwirren würden.
Ich bin eigentlich ein strenger Vertreter von "responsible disclosure" ... deshalb werden/wurden die Infos dieser Lücke nicht weitergegeben. Allerdings wurde die 256-Euro Regelung abgeschafft und ich sehs nicht ein die Arbeit von inkompetenten Programmierern zu machen.

Ich will aber auf die Dringlichkeit hinweisen: Jeder, der ein wenig Ahnung von Webanwendungen hat, kann diese Lücke innerhalb von wenigen Klicks selbst finden!
Sowas darf nicht sein! Ich sorge mich nicht um das Wohlergehen des StudiVZ, sondern um das der Nutzer "... denn sie wissen nicht was sie tun".

Was ist möglich?
Man nehme ein total zufälliges Profil. Zufall heisst, ich kenne diese hier gezeigten Personen nicht ... und werde sie wahrscheinlich auch niemals kennenlernen. Zufall ist aber auch genau das, was das StudiVZ noch nie wirklich gut wusste zu bedienen.

Das zufällige Profil sieht also wie das folgende aus:
Das heisst, ich besitze eigentlich nicht die Rechte, die Bildergallerie dieses Nutzers einzusehen, richtig? Wenn dem nicht so ist ... dann bitte nicht mehr weiterlesen. Denn das is das ganze kein Bug, sondern ein Feature.
Ich hab aus unbestätigten Quellen auch mitbekommen, dass diese Lücke schon uralt sein soll. Wo kann ich sowas nachlesen? Warum informiert mich niemand? :D


Nun, ich frage mich halt, warum ich trotzdem sämtliche Bilder einsehen darf? Ist das nun gewollt oder nicht?
Und bitte: Ich habe keine besonderen Rechte ... ich kenn diese Person nicht.

Fazit:
Was heisst das konkret? Bilder im StudiVZ sind nicht sicher. Derzeit kann jeder mit ein wenig Wissen sämtliche Bilder von sämtlichen Nutzern einsehen, soweit ich das beurteilen kann.
Wenn Lischen Müller montags denkt, sie kann ihre Bilder vom Exzess am Wochenende sicher ins StudiVZ stellen, weil ja nur ihre Freunde diese sehen können ... dann hat sie sich wohl geirrt. Anscheinend legt man mehr Wert auf Umsatz als auf die Sicherheit der Nutzer beim VZ. Für mich persönlich nach all den Jahren nichts Neues ...

Zu guter letzt möchte ich noch den guten Bruce zitieren, weil er einfach verdammt Recht hat:

"Whenever you put data on a computer, you lose some control over it. And when you put it on the internet, you lose a lot of control over it."

Ich hänge an: "And if you put your pictures on StudiVZ, you lose all control over it!"

In diesem Sinne ... es hilft nur eins: Abmelden! Meiden! Großen Bogen ums StudiVZ machen! Und sich nicht dem Gruppenzwang hingeben!

Achja, falls es sich bei dem hier aufgezeigten um keine Lücke handeln sollte ... sondern alles total geplant läuft ... dann weiss ich auch nicht mehr wohin mit der Welt.