Das ist wirklich originell: Statt die Seite von Profis überarbeiten zu lassen oder am besten gleich alles neu zu programmieren, lockt studiVZ Hacker mit Prämien. Für jede gemeldete Sicherheitslücke zahlt das Startup 256 €: Und hier sind die Spielregeln: Es dürfen keine Daten von studiVZ missbraucht werden, es geht ausschließlich um XSS- und CSRF-Lücken, Ihr dürft die Lücken nicht dazu benutzen, um Daten einzustellen, zu ändern oder gar zu löschen. Es sollte uns also kein Schaden entstehen – insbesondere darf unser Server nicht überlastet oder lahm gelegt werden. Und bitte keine Brute-Force-Angriffe auf studiVZ. Außerdem dürfen die Lücken nicht veröffentlicht werden – wir brauchen erst etwas Vorsprung, um sie zu schließen. Dann geben wir natürlich bekannt, wer uns geholfen hat, wenn es demjenigen oder derjenigen recht ist. Außerdem: Wer zuerst kommt, malt zuerst. Wenn man das Blabla beiseite schiebt, handelt es sich um ein tatbestandausschließendes Einverständnis in die § 202a

66 Kommentare zu “studiVZ lädt Hacker ein”

1. Andreas meint: (30.11.2006 um 16:33) Antworten

   Tja, wer möchte da nicht mit"malen"? ;-)

2. Franz meint: (30.11.2006 um 16:35) Antworten

   Auch wenn ich die Software von studiVZ nicht gerade toll finde und daher Sinn und Zweck einer solchen Einladung nicht ganz verstehe, sollte man doch die Idee nicht einfach schlecht reden.
   Es kann ja sein, das es in Deutschland Leute gibt, die einfach alles mit ner Schrotflinte abknallen wollen, was sich ihrem tollen Schrebergarten unter 2m nähert. Aber es gibt auch Leute die das viel gelassener sehen. Den Aufschrei und das direkte Verweisen auf das StGB ist doch nahe an der Grenze zum Denunziantentum.

3. anonym meint: (30.11.2006 um 16:47) Antworten

   Da hat jemand den Sinn eines Sprichwortes nicht völlig verstanden.

4. Anonymous meint: (30.11.2006 um 16:58) Antworten

   Gerade dort gelesen:

   Pause
   Ene mene meck, die Seite die ist weg!
   Mit ein bisschen Glück kommt sie bald zurück!

   Ernsthaft Leute, wir hauen rein -auch ohne Kaffee- und sind bald wieder da!

5. MaxR meint: (30.11.2006 um 17:06) Antworten

   Ein guter Käferjäger macht für 256€ keinen Finger krumm. Da müssen also ziemlich banale Lücken existieren …

6. Michael meint: (30.11.2006 um 17:25) Antworten

   §202a dürfte schon deswegen nicht einschlägig sein, da dort vorausgesetzt wird, dass die Daten "gegen unberechtigten Zugang besonders gesichert sind", was ja hier gerade nicht der Fall zu sein scheint.

7. atari (Link) meint: (30.11.2006 um 17:30) Antworten

   "Ein guter Käferjäger macht für 256€ keinen Finger krumm. Da müssen also ziemlich banale Lücken existieren …"

   Das sind ja auch alles recht triviale php-scripte, von daher…

8. abc meint: (30.11.2006 um 17:47) Antworten

   Ich bin nun kein Hacker, aber wenn ich nun einer wäre und mich da beteiligen würde – wie könnte ich je "beweisen", dass ich der erste war, der die Sicherheitslücke meldete? Bei all diesen Wettbewerben via Net kann ja die ausschreibende Stelle immer behaupten, den entscheidenden Tipp schon zuvor von jemand anderem erhalten zu haben.

9. Jo meint: (30.11.2006 um 18:04) Antworten

   Ich sehe nicht wo die geannten §§ bei XSS-Lücken greifen – es werden keine geschützen Daten ausgespaäht und keine Daten verändert o.ä. Erst der kommende Gesetzwentwuf der Regierung wird, meiner ansicht nach, auf diese Art von "Angriffen" reagierenn.

10. Christoph Selzer meint: (30.11.2006 um 18:08) Antworten

    Andere Sachen könnten UV noch mehr Spaß machen:

    studiVZ scheint mir spontan "verantwortliche Stelle" im Sinne des BDSG zu sein. Da die User (gibt es dort nach den Berichten der letzten Tage überhaupt noch User?) beim Beitritt wohl kaum ihr Einverständnis damit erklärt haben, zur Zielscheibe von Hacking-Attacken zu werden, könnte hier ein Schadensersatzanspruch nach 7 BDSG bestehen (über den Umfang des Schadens wollen wir hier nicht diskutieren); parallel dazu gäbe es das BDSG als Schutzgesetz und § 823 II BGB. Böse Menschen könnten ein Ausspähen als Verletzung des allgemeinen Persönlichkeitsrechts werten und eine Aufforderung dazu als Anstiftung.

    Je nachdem was abläuft, liegt hier nämlich IMHO kein tatbestandsausschließendes Einverständnis vor, weil studiVZ dieses Einverständnis nicht für seine User erklären kann.

11. Martin (Link) meint: (30.11.2006 um 18:29) Antworten

    Bin zwar kein Anwalt, würde ich aber auch so sehen. Wird nicht StudiVZ damit selbst indirekt zum Täter? 256 € ist doch ein guter Stundenlohn… gibt da bestimmt einiges zu finden. Die sollen mal lieber ein paar tausend in einen Experten investieren. Die Leute vom CCC helfen da bestimmt gegen eine Spende gerne weiter.

12. Jens meint: (30.11.2006 um 19:00) Antworten

    Schade. Wollte mir auf die schnelle meine 256 Euro verdienen aber die studivz Seite ist nicht mehr da.

13. HobbyBlogger (Link) meint: (30.11.2006 um 19:20) Antworten

    @13 Jens
    Schon weggehackt?
    ;-)

14. sibbe (Link) meint: (30.11.2006 um 19:26) Antworten

    "tatbestandausschließendes Einverständnis"

    Gerade hab ich das für mein Strafrecht AT noch gelernt und wollte mir eine kleine Pause gönnen und jetzt erscheint es im Feedreader, wenn das kein Zeichen ist das ich weiterarbeiten soll ;)

15. Felix (Link) meint: (30.11.2006 um 19:34) Antworten

    "Statt die Seite von Profis überarbeiten zu lassen oder am besten gleich alles neu zu programmieren"

    Das beruht nicht auf wahren Tatsachen! Als Anwalt sollten Sie wissen was dieses bedeutet! Also, werde das mal an das StudiVZ weiter leiten. Mal sehen wie lange das hier noch steht.

16. Jochen meint: (30.11.2006 um 19:56) Antworten

    "Es sollte uns also kein Schaden entstehen – insbesondere darf unser Server nicht überlastet oder lahm gelegt werden."
    Das schönste Zitat überhaupt ist ja, dass dem StudiVZ kein Schaden entstehen sollte. Naja, wahrscheinlich sollte man die Seite ganz offline nehmen – dann ist der Schaden auf das kleinste Maß reduziert… :-)

17. simon23 meint: (30.11.2006 um 20:01) Antworten

    "Außerdem würde ich gern einen der Honorarprozesse führen."

    Mal als Laie gefragt: Was könnten den Anlässe bei dieser Sache für einen Honorarprozess sein?

18. fukurokuju meint: (30.11.2006 um 20:12) Antworten

    @18: Das würde mich allerdings auch interessieren.
    Danke für die Antwort.

19. Udo Vetter (Link) meint: (30.11.2006 um 20:27) Antworten

    Anlass könnte die Frage sein, ob es sich bei dem gemeldeten Umstand um eine relevante Sicherheitslücke handelte, ob diese vielleicht schon bekannt oder von jemandem anderen "gemeldet" war. Solchen vollmundigen Ankündigungen folgen ja nicht immer unbedingt auch die entsprechenden Zahlungen.

    Noch interessanter wäre aber vermutlich ein Prozess von Nutzern, die ihre Daten ungern zum Spielobjekt von eingeladenen Hackern machen. Kommentar 11 (Ch. Selzer) bringt die Sache auf den Punkt.

20. yojeb meint: (30.11.2006 um 20:42) Antworten

    > Noch interessanter wäre aber vermutlich ein Prozess von
    > Nutzern, die ihre Daten ungern zum Spielobjekt von eingeladenen
    > Hackern machen. Kommentar 11 (Ch. Selzer) bringt die Sache auf
    > den Punkt.

    Genau dies strebe ich nun an und habe bereits die Kanzlei meines Vertrauens mit den nötigen Informationen versorgt. Ich sehe es als grob fahrlässig von der Geschäftsleitung dieses "Kopfgeld" als Pressemitteilung zu veröffentlichen – zudem vom Datenschutzbeauftragten, der die "_Spiel_regeln" definiert. Die einzige Sorge des StudiVZ: "Es sollte __uns__ also kein Schaden entstehen – insbesondere darf unser Server nicht überlastet oder lahm gelegt werden." – der Schaden entsteht den Nutzern, da das StudiVZ als Dienstleister nur die von den Usern eingereichten Beiträge darstellt und verteilt. Hier sollte die einzige Sorte nicht die Überlastung oder das Lahmlegen des Systems sein…

    *kopfschüttelnd*,
    dennis

21. yojeb meint: (30.11.2006 um 20:43) Antworten

    Gerade wurde der Eintrag im StudiVZ-Blog um folgenden Nachtrag ergänzt:

    Nachtrag zur Klarstellung (Danke an Udo für die Anregung):

    Bei der oben genannten Aktion muss die Kenntnisnahme von jeglichen Nutzerdaten unbedingt vermieden werden. Hierzu zählen insbesondere, ohne, dass die Aufzählung abschließend wäre, das Ansehen, Einsehen, Vervielfältigen, Speichern, Drucken, Nutzen, sowie jegliche Form des sich Verschaffens von Daten.

    Ausdrückliches Ziel der Aktion ist das Auffinden von Lücken im System selbst unter Auslassung der Nutzerdaten.
    Jegliche Störungen und Beeinträchtigungen der technischen und organisatorischen Abläufe des Systems müssen selbstverständlich ebenfalls vermieden werden.

22. Hootch meint: (30.11.2006 um 21:27) Antworten

    Mal ne andere Frage: Im Impressum des StudiVZ-Blogs heißt es: "StudiVZ Ltd.", Sitz in Berlin, Registergericht AG Charlottenburg etc.
    Kurze Frage: HÄ?!?

    Ich dachte bis jetzt eine Ltd. wäre soetwas wie eine GmbH mit weniger Stammkapital – dafür aber im Vereinigten Königreich. Wie geht denn das?

    Grüße!

23. med maxx meint: (30.11.2006 um 21:37) Antworten

    grins, Kategorie B-Kino, Amateurklasse, *lool*
    ich amüsere mich nur noch über StudiVz und vor allem, wie leicht Studies zu vergaggeiern sind

    unübersehbare Kompetenzen im Sektor Unterschichtenunterhaltung

24. poomerang meint: (30.11.2006 um 21:39) Antworten

    Viel Lärm um nichts. Ist ein völlig normaler Vorgang, seine Seite von Dritten überprüfen zu lassen. Auch die Form der Ausschreibung ist nicht unüblich. Wird im Ergebnis die Qualität der Seite verbessern.

25. benny meint: (30.11.2006 um 21:51) Antworten

    Hootch:
    Das ist eine im HR eingetragene Niederlassung.

26. Hootch meint: (30.11.2006 um 21:54) Antworten

    @ benny:
    Aha. Danke!

    Grüße!

27. Torsten meint: (30.11.2006 um 21:55) Antworten

    Udo: Honorarprozesse wird es wohl nicht geben – dazu ist die Summe zu gering. Im Zweifel packt StudiVZ das Geld aus der Tasche: billige PR.

    Spannender ist da schon etwas anderes: Die angesprochenen Sicherheitslücken kann man nicht wirklich überprüfen ohne Daten zu verändern oder zu löschen. Fake-Accounts sind ja laut AGB verboten. Die Spielregeln heben sich also selbst auf. Wer nicht grade einen Wurm programmiert, hat einen Freibrief…

28. HobbyBlogger (Link) meint: (30.11.2006 um 22:02) Antworten

    @ 26 poomerang
    …oder aber einige Hobby-Hacker auf den Plan rufen.
    Ein Betreiber der seine Seiten als unsicher bewirbt…
    …und auffordert diese zu Hacken…
    Es gibt sicher viele Hobby-Hacker die jetzt erst mal im Irrglauben handeln, da es ja jetzt legal sei sich ein wenig fortzubilden.
    Und das auf Kosten der Studenten-Daten.

29. toebi toggenburger meint: (30.11.2006 um 22:22) Antworten

    @ 26
    das ist – in 2 Worten – der ganze Streit ums Studivz zusammengefasst, viel Lärm um nix..sagen die einen… oder…eben böses böses Studivz (zieht sich durch viele Foren und Blogs)

    letztlich nutzt es den Machern doch nur, wenn sie überall aufmerksamkeit finden

    übrigens wird "es" gerade von Fakeaccounts geswampt

    *unschuldig gugg* :-))
    hatte neben Stalin, Karl V schon viele Promis auf meiner StudiVZ seite *grins* na ja der Begriff "färbouten" hatte schon immer was Magisches *doppelgrins*

30. ckd meint: (30.11.2006 um 22:44) Antworten

    "…würde ich gerne einen der Honorarprozesse führen".

    Werbung aufs Mandat im Einzelfall? :p

31. Andy meint: (30.11.2006 um 22:48) Antworten

    Ooooooh Udo Vetter lässt sich von Manfred, dem Verantwortlichen für IT und Datenschutz in Personalunion (seit wann geht das????) bei studiVZ, duzen.

32. PHP-Programmierer aka studiVZ-Nutzer meint: (30.11.2006 um 22:50) Antworten

    Atari: "Das sind ja auch alles recht triviale php-scripte, von daher…"

    Wenn die so trivial sind, dann kannst du das bestimmt besser und deine Software würe sogar bei 1.000.000.000 Mitgliedern noch höchst performant laufen.
    Ich denke mal, da hat jemand (also atari) keine Ahnung und reißt nur den Mund auf. Btw.: aus dem Bereich Software-Engineering ist bekannt, das 60% aller Bugs erst nach der Auslieferung einer Software erkannt werden und somit behoben werden können.
    Was die Leute da auf die Beine gestellt haben ist tolle Arbeit. Nur, wie sie es nun vermarkten und mit ihrem Handeln niederstrecken, das ist absolut daneben.

33. schorsch meint: (30.11.2006 um 22:53) Antworten

    @ 34
    erinnert mich an eine laudatio über Dieter Bohlen:

    " was er mit der hand aufbaut, reist er mit dem Arsch wieder ein"

34. semteX meint: (30.11.2006 um 23:29) Antworten

    Hochperformante seiten zu bauen haben scho mehr geschafft, das ist keine allzu große kunst.

    Vor allem dann nicht wenn man nicht weiß welche und wieviele server im Hintergrund arbeiten (weiß man das, ich hab keine ahnung, das thema interessiert mich auch nur am rande). Es gibt immer 2 Möglichkeiten an so ein Performance – Problem heranzugehen. a) Script verbressern, irgendwann steht ma aber auch mit dem ausgefeiltesten caching an und b) mehr power.

    und bei denen mangelts am moos im moment sicher ned…

    da find ich youtube schon wesentlich beeindruckender von der "leistung"…

35. Drizzt (der Zweite…) meint: (30.11.2006 um 23:32) Antworten

    Ich würde immernoch sagen, dass niemand, der einen Fehler meldet, auch überprüfen kann, ob er alle Auflagen erfüllt hat um in den Genuss der 256€ zu kommen… Und da das nicht der Fall ist, kann man eben davon ausgehen, dass sich das StudiVZ hier auf billigste Weise ein Code-Review "erschleichen" will. Einige Punkte habe ich ja schon unter http://www.studivz.net/blog/?p=91#comment-5866 aufgeführt, aber es gibt noch diverse weitere. Ich nehme an, dass zwei ganz große Punkte zu dieser Entscheidung geführt haben:
    1.) das ist medienwirksam und lässt einen (möglicherweise) in dem Licht erscheinen, dass etw. (ähm, nein alles) getan wird um Fehler (die es ja laut Hilfe/FAQ sowieso nicht gibt) auszumerzen.
    2.) man keine Entwickler einstellen muss (auch wenn da ein Job-gesuch bei Jobpilot.de rumgegeistert ist), dass spart richtig Geld. Außerdem werden gute Entwickler da wahrscheinlich sowieso keine Minute hineininvestieren – man kann sich seinen Namen damit eigentlich nur noch kaputt machen… und schlechte Coder haben sie ja schon ausreichend ;)

    Grüße,
    Drizzt

    P.S.: Ich hoffe mal, diese Blog nimmt diesen Post jetzt (endlich) an….

36. Andy meint: (1.12.2006 um 01:12) Antworten

    Kuckst Du

    <a href="http://www.frickelvz.net" rel="nofollow">www.frickelVZ.net</a>

37. Andy meint: (1.12.2006 um 06:09) Antworten

    > Hochperformante seiten zu bauen haben scho mehr geschafft, das > ist keine allzu große kunst.

    Doch ist es und deiner Aussage zu Urteilen hast du zu dem Thema keine eigenen Erfahrungen. Du musst auch bedenken, dass die Herrschaften vom StudiVZ nicht von Anfang an die Millionen im Rücken hatten. Wenn man dem Blog wenigstens in den technischen Belangen, die nicht von der komischen Gallionsfigur Ehsan getextet worden sind, glauben schenken kann, dann war fehlende Hardware auch genau das Problem. Dies haben sie eine Weile mit der von dir unter a) beschriebenen Möglichkeiten probiert (hat man zeitweise auch extrem gemerkt) bis sie sich dann b) leisten konnten.
    Nachdem die Seite wieder ordentlich Antwortzeiten hatte stiegen auch wieder die Mitgliederzahlen kräft. Ich würde es mal kritische Masse nennen. Ab da an wird man Freiwild und wem hier die nötige Erfahrung im Bereich von Sicherheit und Verfügbarkeit fehlen, und davon muss man bei einer Studententruppe nun einmal von ausgehen, muss jetzt einiges aushalten.

    Meiner Meinung nach ist die Führung vom StudiVZ auch gar nicht so erfreut um die "billige PR". Das ist mir klar geworden, als sie den Author eines Progrämchens, welches sich beim StudiVZ einloggt und CLIQUEN-Graphen malte, gebeten haben dieses nicht zu veröffentlich. Hier sollte man bedenken, dass dieses Programm nichts macht, was man auch hätte manuel machen können.

38. Tim meint: (1.12.2006 um 08:59) Antworten

    Außerdem würde ich gern einen der Honorarprozesse führen.

    Pro bono?

39. Jens meint: (1.12.2006 um 10:01) Antworten

    Naja ein bischen übertrieben ist die Hysterie dann doch. Was bisher da an Sicherheitslücken aufgetaucht ist war eher theoretisch gefährlich. Da gabs in der Vergangenheit bei anderen Webseiten ganz andere Kaliber.

    Im großen und ganzen scheint mir da doch der Neidfaktor eine gewisse Rolle zu spielen. Da haben ein paar mit Ihrer Idee Erfolg. Sicherlich – einiges wirkt da noch ein wenig unprofessionell insbesondere bzgl. der Kommunikation aber man sollte nicht vergessen das das Jungunternehmer sind.

    Ein paar kleine Tipps am Rande an die Leute von StudiVZ:

    Sicherheitslücken können bei jeder Webseite auftauchen, ist in der Verganenheit bei großen Banken und Unternehmen mit weitaus sicherheitsrelevanteren Daten passiert.

    Wichtig ist vor allem wie man drauf reagiert:
    1. Ernst nehmen.
    2. Schnellstens beseitigen. Im Zweifelsfall bestimmte Funktionen vorerst deaktivieren oder ein Dirty Hack der das Problem vorläufig beseitigt auch wenns vielleicht zunächst mit Verlust an Benutzerkomfort einhergeht.

    Ganz falsch war die bisherige Strategie: Probleme herunterspielen und zögerlich anfangen an der Seite rumzuwerkeln.

40. Leo (Link) meint: (1.12.2006 um 10:02) Antworten

    Oh, auch hier StudiVZ Bashing. Und wieder ein Blog weniger in meiner Liste. Schade Udo, ich hätt dir mehr zugetraut :(

41. Andy meint: (1.12.2006 um 10:48) Antworten

    @42
    Ich glaube, auf augenverschließende Studenten wie Dich kann jeder Blogger mit einem Lächeln verzichten. ;)

42. H. meint: (1.12.2006 um 11:07) Antworten

    "Was bisher da an Sicherheitslücken aufgetaucht ist war eher theoretisch gefährlich"

    Stimmt nicht.

    buha.info/board/showpost....p=373844&postcount=35

    Dank der Privatsphären- und Sicherheitslücken ist es z.B. möglich, sämtliche Profildaten von Nutzern zu spidern, sie lokal abzuspeichern und dann extensives Datamining zu betreiben.

    Sowas IST ein massives, echtes Datenschutzproblem und keine theoretische Diskussion.

43. Jens meint: (1.12.2006 um 11:38) Antworten

    @44
    Versteh ich nicht. Das hat doch nichts mit Sicherheitslücke zu tun. Das kann ich doch bei jeder Webseite machen. Ich kann z.B. alle Seiten vom lawblog crawlen und dann eine Statistik machen wie oft jemand mit dem Kürzel H. oder dem Namen Jens einen Kommentar eingestellt hat oder was sonst noch an Daten zur Verfügung steht. Und Crawler Erkennung ist so gut wie unmöglich wenn das geschickt gemacht ist. Man kann Crawler lediglich ausbremsen. Es sei denn mann macht ein Captcha auf jede Seite.

44. H. meint: (1.12.2006 um 11:51) Antworten

    @45: Aber bei StudiVZ erfährst Du nicht nur, dass jemand mit Namen "H." aktiv ist.

    Du konntest dank der bisherigen Sicherheitslücken (so, wie ich sie verstanden habe, man korrigiere mich) u.a.

    - alle Nutzerprofile durch simples Hochzählen von IDs der Reihe nach abgrasen – ganz ohne Kontaktlisten durchzuparsen

    - als "privat" markierte Profildaten durch simples Anhängen eines URL-Parameters TROTZDEM auslesen

    - die Liste der Gruppenmitglieder und die Foreninhalte von "privat" markierten Gruppen TROTZDEM auslesen

    - als "privat" markierte Fotos TROTZDEM inkl. Zuordnung zum Nutzerprofil abrufen

    - mit einer XSS-Attacke Passworte von Nutzern abgreifen

    All dies zusammen heißt: Man kann oder zumindest konnte bei StudiVZ von außen praktisch den gesamten Datenbestand inkl. der im Glauben der Nutzer nicht-öffentlichen Profildaten abgreifen.

    Natürlich kann man Crawler lediglich ausbremsen. Aber StudiVZ hat es Crawlern VIEL zu einfach gemacht und dem Crawler offenbar zusätzlich Zugriff zu Daten ermöglicht, die von außen eigentlich gar nicht sichtbar sein dürften.

    All dies ist nur eine Zusammenfassung meiner Eindrücke anhand der Blog-Berichte, die ich in den letzten Tagen (kopfschüttelnd) gelesen habe. Ich bin kein Mitglied bei StudiVZ und habe keinen der beschriebenen Exploits selbst ausprobiert, die entsprechenden Berichte wirkten mir aber jeweils nachvollziehbar und aus technischer Sicht glaubwürdig.

45. Simon meint: (1.12.2006 um 11:56) Antworten

    Kann ich die rechtlich belangen, weil die jedermann auf meine Daten loslassen und sogar noch dazu aufrufen und das bezahlen?

46. Andy meint: (1.12.2006 um 12:12) Antworten

    @47

    IMHO ja. Und der eine oder andere, siehe bspw. #21, strebt genau das auch an.

47. Andy2 meint: (1.12.2006 um 13:40) Antworten

    @43:
    wieso sollte das ein Student sein? Weil er nicht bei der Prügelei mitmacht?

48. seb meint: (1.12.2006 um 13:55) Antworten

    (at) eigentlich könnte man nicht angeklagt werden oder?
    hmm, in Österreich nach § 8 + 9 StGB:
    § 8 Irrtümliche Annahme eines rechtfertigenden Sachverhaltes
    Wer irrtümlich einen Sachverhalt annimmt, der die Rechtswidrigkeit der Tat ausschließen würde, kann wegen vorsätzlicher Begehung nicht bestraft werden. Er ist wegen fahrlässiger Begehung zu bestrafen, wenn der Irrtum auf Fahrlässigkeit beruht und die fahrlässige Begehung mit Strafe bedroht ist.
    § 9 Rechtsirrtum
    (1) Wer das Unrecht der Tat wegen eines Rechtsirrtums nicht erkennt, handelt nicht schuldhaft, wenn ihm der Irrtum nicht vorzuwerfen ist.

    (2) Der Rechtsirrtum ist dann vorzuwerfen, wenn das Unrecht für den Täter wie für jedermann leicht erkennbar war oder wenn sich der Täter mit den einschlägigen Vorschriften nicht bekannt …

49. mick meint: (1.12.2006 um 16:38) Antworten

    @51

    Für einen Datenschutzbeauftragten sollte das IMHO sehr wohl zu erkennen gewesen sein. Und ausgerechnet der hat ja den Aufruf im StudiVZ Blog eingestellt.

50. Erklärbär meint: (1.12.2006 um 19:29) Antworten

    Der Datenschutzbeauftragte ist doch eh ein falscher Fuffziger. Denn eben dieser darf nicht für IT o.ä. (mit)verantwortlich sein.

    Genau das ist "Manfred" aber!!!

51. Arno Nyhm meint: (2.12.2006 um 07:44) Antworten

    Die haben jetzt, dank Deines Hinweises, ein Testsystem aufgesetzt, auf das die Angriffe gefahren werden sollen.
    TeststudiVZ findet sich hier: <a href="http://195.71.2.182/" rel="nofollow">Test StudiVZ</a>
    Wie man allerdings reinkommt, ohne sich erneut zu immatrikulieren ist die Frage, denn FAKE-Account sind laut AGB verboten?

52. Dirk meint: (2.12.2006 um 08:58) Antworten

    @37: Das mit dem vorgeschobenen anderen Melder habe ich mir auch gleich gedacht, als ich es las. Professionell und seriös wirkt das alles nicht.

53. abc meint: (2.12.2006 um 19:46) Antworten

    Wie soll das jetzt funktionieren? Mal angenommen 3 Leute melden 3 verschiedene Sicherheitslücken, sagen wir um 14 Uhr, um 15 Uhr und um 16 Uhr, und sagen wir sie waren jeweils die ersten. Das Unternehmen kann ja nun locker behaupten, dass die betreffendne Sicherheitslücken schon von anderen in der Zeit zwischen 9 und 12 Uhr gemeldet wurden, und nützt so dann gratis die Arbeit dieser freiwilligen Melder aus. Leider hat das bis jetzt noch niemand beantwortet hier.

54. Peter aus Aachen meint: (3.12.2006 um 02:08) Antworten

    Boah Junge, ich glaub net, dass in dem Unternehmen jemand hungern muss, weil sie irgendjemandem die 3,50€ zahlen. So arm sind die dann wohl doch net…

55. michens meint: (4.12.2006 um 10:34) Antworten

    Mal ehrlich Leute, ihr hab zu viel Zeit. Gerade die Juristen unter euch. Fadenscheinliche Hirngespinnste erzeugen irrelevante Schuldzuweisungen. Auf der anderen Seite die ProgrammierSexGötter, die das Vixen auf Pornos schon lange als zu profan abtun. Ehrlich, geht arbeiten! Oder rettet die Welt. Aber egal was ihr tut, hinterfragt mal den Sinn eures Tuns!

56. Anonymous meint: (5.12.2006 um 10:15) Antworten

    @ #60:

    DANKEEEEE!!!!!!!!!!!!!

57. Mat meint: (28.2.2007 um 10:51) Antworten

    Hey, ich bin kein Hacker, aber ihr seid doch echte Freaks. Ich würd gern meine Freunde überraschen: Könnt ihr mir nicht verraten, wie man seinen eigenen Namen in einer anderen Farbe schreibt oder Buchstaben zum blinken bringt? Das wär doch mal cool. Vielen Dank!

58. StudiVZler meint: (1.3.2007 um 12:14) Antworten

    Also wenn ich den Blogeintrag ganz oben richtig verstehe, bedeutet er ja, dass der am Dienstag geschehene Hackangriff gar nicht strafrechtlich verfolgt werden kann und die Anzeige vom StudiVZ gegen unbekannt damit hinfällig ist. Denn das Hacken wurde erlaubt und nur die Datenmanipulation ausgeschlossen; nicht aber das Auslesen und Verwerten unserer Daten.

    Solche Stümper!

59. sky.van meint: (25.9.2007 um 00:56) Antworten

    Unglaublich … Erste weisen die Codez scheinbar eine Menge Ähnlichkeiten zu Facebook auf, dann haben sie noch nichtmal genug Coder um Ihre Exploits zu finden … Holzbrick sollte wohl genug locker gemacht haben, um ein vernünftiges Team zusammen zustellen … 256€, das ist lächerlich für so krasse Exploits wie die Möglichkeit für SQL-Injections unter dem Punkt Lehrveranstaltungen. Es gibt noch genug Exploits, das bleibt einfach nicht aus, bei so einem großem System …

    Grüße!

60. Natalie (Link) meint: (28.6.2008 um 22:47) Antworten

    Hallo Ihr lieben,

    habe da eine gute Alternative zum StudiVZ gefunden, sind aber irgendwie super viele aus Brasilien drin:
    http://www.stuxum.de

    Viel Spass
    Nat

Kommentar schreiben