« StudiVZ Encyclopedia – the most complete summary (until now)
StudiVZ – If your data is leaking, the plumber is missing and you’re looking for excuses »

StudiVZ and Facebook – Huge Data Leak(s)

This morning Don Alphonso reported that StudiVZ has a huge data leak – which seems to be the next big problem in the StudiVZ history.
The images are saved on a different server and have public access – despite the StudiVZ announcement that data privacy is ensured. Even more, their competitor and potential buyer Facebook.com reveals the same security leak which fuels speculations about identical program codes and ongoing co-operation.
If you go to StudiVZ.net and sign up, you can see the picture galleries of other users – unless they have changed their settings and only their immediate friends can see their galleries. If you have a look at a person’s picture and you want to save it by right-clicking on the picture, all you get as a response is: “http://www.studivz.net/images/space.gif” – which is an empty picture.

So far so good. But there are two ways how to get the picture anyway

  1. Go to the thumbnails site of each user. All thumbnailed pictures can be directly saved. If you copy the link into your URL, it will say something like this: http://217.188.35.147/albums/2006-09/04/ABC123/def456-9876-m.jpg with ABC123 representing the users profile ID, def456 representing the album ID and 9876 representing the picture ID. If you delete the -m, you get the whole picture.
  2. If you view the whole gallery, just load the source code for this site. It will give you the exact location of the picture on the ImageServer of StudiVZ. It also shows you why you got space.gif – if anybody right-clicks on a picture, the program only gives back the address of the space.gif.
  3. This also works if you are signed off.

With Facebook, you have the same problems – except that it is even easier to save a picture by right-clicking on it. All other things are almost the same, the location of each picture found in the source code is:

http://photos-pe.facebook.com/ip002/v12/34/56/userID/nUserID_AlbumID_PictureID.jpg

Since the problem has already been mentioned in the blog-o-sphere (see Jörg-Olaf Schäfers here and here), and since the StudiVZ founders are aware of the issue, they should act soon and take the whole website of the Internet.

For Yahoo.com, the potential buyer of Facebook, the problems of StudiVZ and the no-response-policy by Facebook should be a focus of close observation.

Update: Apparently not only images, but also guest-book entries and user-profiles can be accessed by the pubblic – even if users specified their entries as private (see Heise, Thüringer BlogZentrale, Jörg-Olaf Schäfers, see comment below).

This entry was posted on Montag, November 20th, 2006 at 12:11 and is filed under echologist. Tags: keine(r). You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Related Posts:

  • No related articles.

Anzeige

Grotrian-Steinweg Flügel, 5900 Euro

Grotrian-Steinweg, generalüberholt vor ca. 15 Jahren, Baujahr 1920, schwarz-matt, Schellack, 1,85 Meter lang.

Weitere Klaviere bei Pianohaus Wenzlaff

26 Responses to “StudiVZ and Facebook – Huge Data Leak(s)”

  1. customerofhell.twoday.net Says:
    November 20th, 2006 at 12:35

    StudiVZ mit runtergelassenen Hosen erwischt…

    Nachdem man sich offensichtlich in Berlin einen Kommunikationsberater zugelegt und den CEO nach Sibirien geschickt hat, reißen die Peinlichkeiten nicht ab. Konnte man bei U-Bahn Videos und Hitler Einladungen noch von privaten Verfehlungen eines e…

  2. Schnitzlers World » studivz.de - Klappe die dritte! Says:
    November 20th, 2006 at 12:53

    [...] [Update] Heute wurde ein Sicherheitsloch bekannt. Wie ihr selber an die Daten kommt, könnt ihr hier nachlesen. « Dublin – die Hauptstadt?!   [...]

  3. Kleine Ein- und grosse Aussichten » Blog Archive » StudiVZ steigt ins Porno Geschäft ein Says:
    November 20th, 2006 at 13:00

    [...] via Kasi-Blog [...]

  4. Kasi-Blog » Blog Archive » StudiVZ Encyclopedia - the most complete summary (until now) Says:
    November 20th, 2006 at 13:23

    [...] Kasi-Blog Politics, economics, media in a digital revolution « Blue Gold – No more water in Europe? StudiVZ and Facebook – Huge Data Leak(s) » [...]

  5. + Blog`N`Roll + Says:
    November 20th, 2006 at 14:04

    StudiVZ und die Sicherheit deiner Daten…

    Jaja…eigentlich dachte ich man kann sich in Sachen StudiVZ mal zurücklehnen, die Jungs haben sich entschuldigt, waren zumindest teilweise offen und was sehr positiv zu werten war, Sie haben sich auch der kritischen Diskussion gestellt und auch k…

  6. [...--www.daburna.de--...] - Blog Says:
    November 20th, 2006 at 14:19

    StudiVZ Bilder immer aufrufbar…

    Wenn man lang genug sucht, dann findet man immer irgendwelche Fehler. Zum Thema StudiVZ suchen im Moment alle nach Fehlern, Ungereimtheiten und Verfehlungen des Gründers und daher wird besonders viel gefunden. Gerade hat DonAlphonso herausgefunden, da…

  7. txtblog | Schöne neue (Web)Welt Says:
    November 20th, 2006 at 15:10

    [...] — edit [20.11.2006]: Don Alphonso hat heute zusätzlich aufgedeckt (ich hatte es gestern zwar schon mir gedacht, aber hatte es nicht genauer überprüft), dass man an die Bilder, die bei StudiVZ hinterlegt sind, auch anders dran kommt. Beim StudiVZ-Vorbild Facebook ist es wohl genauso, auch bei flickr soll man über die Server auch an private Bilder kommen. — [...]

  8. Sebastian Says:
    November 20th, 2006 at 19:12

    das mit den “Detailansicht”-Bildern durch löschen eines Buchstaben ist auch bei openbc so. Scheint zielich standard zu sein :-)

  9. Matthias Says:
    November 21st, 2006 at 17:42

    Gerade mal ein bisschen herumprobiert – auch “innerhalb” des studiVZ scheint es nicht so weit her zu sein mit der Unsichtbarkeit von Daten:

    mit Hilfe der URLs

    http://www.studivz.net/profile_guestbook_large.php?ids=abcdef
    http://www.studivz.net/friends.php?ids=abcdef
    http://www.studivz.net/showpeoplealbums.php?ids=abcdef

    kann jeder Nutzer die Pinnwand, die Freundesliste und die Fotoalben von jedem anderen Nutzer einsehen, auch wenn dessen “Privatsphäre”-Einstellungen anders gesetzt sind.

  10. Kasi-Blog » Blog Archive » StudiVZ - If you’re data is leaking, the plumber is missing and you’re looking for excuses Says:
    November 22nd, 2006 at 00:50

    [...] Kasi-Blog politics, economics, media in a digital revolution « StudiVZ and Facebook – Huge Data Leak(s) [...]

  11. Jorge Says:
    November 22nd, 2006 at 01:02

    @Matthias:
    Die Freundesliste darfst Du sowieso sehen, der Link ist schon unter dem Foto öffentlich.
    Und die Pinnwand geht bei mir grad nicht. Vielleicht ham sie das schon geändert.
    Bei den Fotoalben scheinst Du recht zu haben.

  12. moeffju.net » StudiVZ in den Medien (Privatsphäre für Anfänger) Says:
    November 22nd, 2006 at 02:59

    [...] Jaja, die Leute schreiben immer noch übers StudiVZ. Also schreib ich jetzt endlich mal die Sachen auf, die ich in den letzten Monaten (seit meiner Anmeldung beim StudiVZ, Mitte September) so bemerkt habe. [...]

  13. Kasi-Blog » Blog Archive » StudiVZ - Recent developments Says:
    November 25th, 2006 at 04:36

    [...] Now one of the big issues heavily discussed issues was the StudiVZ finances. StudiVZ partially disclosed their shareholders but apparently not to the satisfaction of the blogosphere. Particular strange was the refusal of the StudiVZ makers to speak about their plans to sell StudiVZ to Facebook, even though details had already leaked into the blogosphere. Probably because the sale to Facebook would also involve the access to the user data – something that no StudiVZ user really expexted. StudiVZ reacted by issuing a statement about data security and identifying somebody responsible for data-security. The problem: the data-security guy (Manfred) is closely involved with StudiVZ, works in their IT-development department – which is according to German law quite insufficient for guaranteeing data-security. Quite soon it also emerged that data in StudiVZ is actually quite unsafe. Even though Facebook has the same problems, none of the German users wanted to accept that all pictures, their all private data and all friendship-links could be downloaded, that it was impossible to exit from groups and that even deleted messages would still be viewable to non-registered users (which interestingly covered up the efforts by the StudiVZ to clean up their own privacy). Despite their efforts to overhaul the system, the data leaks are available until now. And Don Alphonso continued. So after copying what what some people have written on a better PR for a while, StudiVZ advertised for a PR professional and tried to bribe hire convince Don Alphonso to work for them. The problem was: nobody and certainly not Don Alphonso wanted to do work for StudiVZ. None of the German Crisis PR agencies wanted to take over the rotating steering wheel. [...]

  14. Der Muckraker Says:
    November 26th, 2006 at 14:58

    Der traurige Untergang von DonAlphonso…

    Eine Ironische Satire mit tragisch realem Hintergrund, die den Niedergang des Denkens, die Beeinflussung durch Medien, Wahn, Manie und einfache und banale Dummheit zum Thema hat…..
    Der traurige Untergang eines Bloggers…
    Don Alphonsos Ende

  15. INS Blog Says:
    November 26th, 2006 at 20:54

    Security by Obscurity…

    Nachdem dieses aufgedeckt wurde, behauptet der Datenschutzbeauftragte von studiVZ jedoch weiterhin “Die Sicherheitsbedenken sind unbegründet”. Das ist dann doch schon etwas starker Tobak, weshalb hier ein wenig auf das zugrundeliegende Prinzip (Secu…

  16. StudiVZ und Datenschutz at kolOMne Says:
    November 27th, 2006 at 11:27

    [...] Der Gründer von StudiVZ stellt z.B. in einem Youtube Video dar, wie er zu Datenschutz steht. Vor allem im Zusammenhang mit den “StudiVZ sieht aus wie Facebook” Anklagen ist der Wikipedia Artikel interessant. In diesem wird davon gesprochen, dass Facebook die gleiche Sicherheitslücke hat wie das StudiVZ… (wikipedia). Mehr zu der Sicherheitslücke gibts unter karsten-wenzlaff.de Filed under Internet, Fundstücke and Netzkultur.  | Tags: No Tags. var blogTool = “WordPress”; var blogURL = “http://blog.omschallom.com”; var blogTitle = “kolOMne”; var postURL = “http://blog.omschallom.com/2006/11/27/studivz-und-datenschutz/”; var postTitle = “StudiVZ und Datenschutz”; var commentAuthorFieldName = “author”; var commentAuthorLoggedIn = false; var commentFormID = “commentform”; var commentTextFieldName = “comment”; var commentButtonName = “submit”; [...]

  17. moeffju.net » StudiVZ: I’m off Says:
    November 28th, 2006 at 02:13

    [...] Die öffentlichen Bilder, die schlechten IDs, die Super-Suche, private öffentliche Pinnwände (mit unlöschbaren Nachrichten), immer öffentliche Freundesliste, etc. [...]

  18. Schnitzlers World » studivz.de - Klappe die dritte! Says:
    März 5th, 2007 at 13:48

    [...] verkauft wird und für welchen Preis. [Update] Heute wurde ein Sicherheitsloch bekannt. Wie ihr selber an die Daten kommt, könnt ihr hier nachlesen. [Update] 10:34 – soeben habe ich meinen Account gelöscht. Das fühlt sich gut an! Der [...]

  19. Kasi-Blog » Blog Archive » StudiVZ - If your data is leaking, the plumber is missing and you’re looking for excuses Says:
    Oktober 15th, 2007 at 21:47

    [...] Three: relegation. Okay, I have a problem. But everybody else does the same. Even my big brother. Even my shop. Even my photo-booth. So, you know, if everybody does something that is [...]

  20. Kasi-Blog » Blog Archive » StudiVZ Encyclopedia - the most complete summary (until now) Says:
    Oktober 16th, 2007 at 08:40

    [...] is fairly simply to retrieve the uploaded pictures of users (see details below see my this recent article, see Jörg-Olaf Schäfers (I),Jörg-Olaf Schäfers (II) Don Alphonso (I) Don Alphonso (II), see the [...]

  21. social media and green horses » Privacy wars Says:
    Januar 3rd, 2008 at 04:40

    [...] service in Germany) and how it evolved (see also Karsten Wenzlaff’s post on the subject. this one too). Even facebook phishing scams have been developed, to get a hold of people’s [...]

  22. Cybso. » Blog Archive » Außenseitermeinung zu StudiVZ Says:
    April 15th, 2008 at 16:53

    [...] kein besonders großes Verantwortungsgefühl vorhanden ist zeigt sich immer wieder. MySpace und Facebook haben ähnliche [...]

  23. R Kuehn Says:
    Mai 8th, 2008 at 15:30

    I wrote a script to export the messages of studivz to eml files or your mail account. perhaps it helps that studi have not so long time your data of messages. if you are interested in script have a look at: http://rokdd.de

    :)

  24. R Kuehn Says:
    Mai 8th, 2008 at 15:30

    I wrote a script to export the messages of studivz to eml files or your mail account. perhaps it helps that studi have not so long time your data of messages. if you are interested in script have a look at: http://rokdd.de/eml

    :)

    postscriptum: sorry i forgot the correct link :(

  25. Natalie Reuter Says:
    Juni 27th, 2008 at 13:40

    Hallo Ihr Lieben,

    ich kann hier nur eine gute alternative zu StudiVZ empfehlen: http://www.stuxum.de.

    Habe die jetzt gefunden und ist nicht schlecht gemacht, sind aber momentan noch wenige Mitglieder aus Deutschland drin, aber super viele aus Brasilien.

    Have fun
    Natalie

  26. Neele Schlüters Says:
    Dezember 9th, 2008 at 19:57

    Okay ich hab eine Frage…wie läuft das denn jetzt bei Facebook ab wenn man auf nicht greifbare Fotoalben/Bilder stoßt und sie trotzdem ansehen möchte?
    Und was kann man denn dagegen unternehmen…sollte man sich besser von Facebook,SchuelerVZ,StudiVZ abmelden?
    Ich versteh wie es bei Schuelervz etc. abläuft aber wie ist es dann bei Facebook dort kann man ja nichts aus dem Link entfernen oder?

Leave a Reply