Einige Webblogs berichteten über dieses Projekt, es wurde sogar von Don Alphonso auf blogbar.de erwähnt. Es gab unzählige Diskussionen, wir gaben sogar Interviews.
Auch toll war natürlich die Tatsache, dass 2 Wochen später das Studivz an alle (!) 1,5 Millionen Studenten neue AGBs versendete, in denen explizit unser Vorgehen verboten und unter Strafe gestellt wurde.
Hier ein paar tolle Links:
Badische Zeitung vom Freitag, 29. Juni 2007
Informationen von 10 000 Seiten automatisch eingesammelt : "Es war eigentlich ganz einfach"
Author: Sebastian Kaiser
Trotz vieler Zusicherungen des Betreibers, offensichtlich klaffende Sicherheitslücken zu schließen, scheint sich bei StudiVZ nur wenig geändert zu haben, wie nun die beiden Studenten Bert S. und Tobi L. der Stuttgarter Merz Akademie bewiesen: "Wir wollten einmal sehen, was dort noch möglich ist, nachdem die Seite so lange in der Kritik stand" , erklärte einer der beiden Studenten, der in der Nähe von Freiburg heimisch ist. Es war viel möglich.
Auf der Internetplattform StudiVZ tummeln sich rund 1,5 Millionen Studenten, die die Möglichkeit nutzen, Informationen über sich auszutauschen und Kontakte zu knüpfen. Die dort gesammelte bunte Vielfalt an Persönlichem war deshalb schon öfters Zielscheibe von Hackern, die sich Adressen, Passwörter und Informationen beschafften, um diese dann kommerziell weiter zu verbreiten.
Im Rahmen einer Arbeit des zweiten Fachsemesters unter Betreuung ihres Dozenten Dragan E. nahmen sich die angehenden Netzdesigner nun das StudiVZ vor: Nach eingehender Untersuchung täuschten sie dem Portal mittels eigenem Server vor, sich als User einzuloggen. Getarnt als "Lovebot" und "Hoebot" ging ihr Programm dann auf Beutezug. In drei Wochen konnten die beiden mit ihrem automatisierten Programm rund 10 000 Nutzer kontaktieren und "gruscheln" , das heißt, sie hinterließen Spaßnachrichten und Flirttipps, sammelten aber nebenbei unbemerkt sämtliche auf der Seite vermerkten Informationen.
In der Zwischenzeit hatten sich "Lovebot" und "Hoebot" von Stuttgart aus, über Offenburg, Karlsruhe und Freiburg immer weiter verbreitet und fleißig Namen, Handynummern, Adressen und Bilder gesammelt. Ein Prozess, der wohl immer weitere Kreise gezogen hätte, wenn die beiden ihre Aktion nicht abgebrochen und alle Daten gelöscht hätten.
Was einigen Benutzern schon bald aufgefallen war, dämmerte den Seitenbetreibern erst spät. In einer an alle 1,5 Millionen User verschickten Änderung der Allgemeinen Geschäftsbedingungen kündigte sie dann an, dass das automatisierte Abrufen der Seiten nicht mehr erlaubt sei.
"An der Struktur der Seite hat sich grundsätzlich aber nichts geändert. Das, was wir gemacht haben, ist immer noch genauso möglich" , erklärt die studentische Arbeitsgruppe, die darauf Wert legt nicht in einen Topf mit kriminellen Hackern geworfen zu werden: "Wir haben nicht einmal unsere IP-Adresse, die wie ein Fingerabdruck die Rückverfolgung ermöglicht, verschlüsselt. Wir waren anfangs selbst überrascht, wie leicht es uns gemacht wurde und wollten dann zeigen, dass es sich um eine öffentliche Datenschleuder handelt."
"Uns ist bekannt, dass es Sicherheitslecks beim StudiVZ gibt" , sagt der Datenschutzbeauftragte des Landes Schleswig-Holstein. Nach der Übernahme durch die Verlagsgruppe Holtzbrinck, seien die Verantwortlichen aber schon aus Imagegründen bemüht, die Sicherheit der Seite zu verbessern. Konkrete Lösungsvorschläge seien jedoch noch nicht bekannt.
Bei StudiVZ geht man davon aus, die Sicherheitslücke geschlossen zu haben. "Trotzdem ist es im Internet immer ein Spiel zwischen Fuchs und Hase" , erklärt Julian Artopé. Deshalb müsse dem User grundsätzlich bewusst sein, dass er sich auf einer öffentlichen Seite bewege, die grundsätzlich für jeden einsehbar sei.
Rechtliche Folgen für ihren Computerangriff müssen die beiden Studenten wohl nicht befürchten. "Wir sind alle selbst Studenten. Die Jungs haben uns letztendlich nur auf eine Sicherheitslücke aufmerksam gemacht" , so Artopé.