Studenten-Portal studiVZ honoriert Auffinden von Sicherheitslücken mit Belohnung (11.12.2006)

Studenten-Portal studiVZ honoriert Auffinden von Sicherheitslücken mit Belohnung

Berlin 30. November 2006 (stz). Das Studenten-Portal studiVZ hat heute eine Belohnung von 128 Euro für Hinweise ausgelobt, die auf Sicherheitslücken in seinem System aufmerksam machen.

„Es kommt vor, dass uns Nutzer Sicherheitslücken melden. So haben wir auch in dieser Woche einen wichtigen Hinweis auf eine Schwachstelle in unserem System erhalten“, erläutert Manfred Friedrich, Datenschutzbeauftragter von studiVZ. „Wir konnten das Problem schnell beheben und sind natürlich für solche Hinweise sehr dankbar.“

studiVZ bietet nun für die Meldung von weiteren XSS- oder CSRF-Sicherheitslücken eine Belohnung von 128 Euro an. Bedingung ist allerdings, dass die Seitenbetreiber Zeit erhalten, das Problem zu beheben, ohne dass die Schwachstelle vom Hinweisgeber bereits technisch ausgenutzt oder veröffentlicht wird.

studiVZ hat sich zum Ziel gesetzt, die Sicherheit seines Angebots weiter aktiv zu verbessern, nachdem zu diesen Aspekten in den vergangenen Wochen wiederholt Kritik geäußert wurde. So hatte das Unternehmen bereits vor einigen Wochen externe Experten mit der Suche nach Sicherheitslücken beauftragt. studiVZ hat außerdem Sicherheitsmaßnahmen ergriffen, um das automatisierte Auslesen von Daten aus öffentlich zugänglichen Nutzerseiten („Crawling“) zu erschweren.

In der Vergangenheit ist mehrfach von Nutzern der Studenten-Plattform der Versuch unternommen worden, Nutzerdaten auf studiVZ mittels derartiger automatisierter Verfahren auszulesen.

„Es ist bedauerlich, wenn einzelne Nutzer versuchen, Daten von anderen Studenten selbst oder mit Hilfe von automatisierten Verfahren auszulesen. Diesem Missbrauch schieben wir, so gut es technisch möglich ist, einen Riegel vor. Wer versucht, Daten auszulesen, wird gesprerrt“, so Manfred Friedrich. „Crawler-Angriffe sind ein generelles Problem für soziale Netzwerke im Internet, weil als ‚öffentlich’ geschaltete Informationen von den registrierten Nutzern aber genauso auch von automatisierten Abfrage-Scripten gelesen werden können. Auf ‚privat’ geschaltete Daten können aber weiterhin auch nur von dem Personenkreis eingesehen werden, den der Nutzer selbst festlegt.“

Weitere technische Hinweise unter www.studivz.net/blog/