« Ist der Datenschutz bei StudiVZ auf den Hund gekommen?
StudiVZ macht alles richtig. »

Anleitung zum StudiVZ-Hack

Heute morgen erhielt ich eine Email von Hoebot:

Hallo Karsten!
Zusammen mit einem Mitstudenten und einem Dozenten haben wir Bots für
das Studivz gescriptet…
Sie können Auto-Gruscheln, Auto-Pinnwand-schreiben, Flirt-Tipps an
Singles schicken und persönliche Daten speichern sowieso.

Die komplette Doku mit den Reaktionen der Studivz-User siehst du hier:
http://studivz_crawler.6x.to/

Na, da war ich natürlich erst mal gespannt. Auf der Seite beschreiben einige Studenten, wie sie schon im Herbst mittels Crawlern die Daten der User abgesaugt hatten:

Da uns im Studivz schnell langweilig wurde, begannen wir das System zu ergründen, und herauszufinden was man damit so alles anstellen kann. Die erste Idee war natürlich: Daten sammeln. Also scripteten wir uns einen Crawler, der folgendermaßen funktioniert:

Der Crawler speichert alle User-IDs (jeder Student hat eine User-ID) ab, die er im ersten Profil findet, welches man ihm angegeben hat. Nun spielt er dem StudiVZ-Server vor, er sei ein ganz normaler Student mit einem Webbrowser. So loggt er sich in das StudiVZ-System ein und ruft das erste Profil auf, dessen User-ID er zu beginn gespeichert hat.

Nun liest er alle Daten, die auf dem Profil zu sehen sind aus. Er speichert den Namen, das Foto, den Studiengang, die Handy Nummer, einfach alles. Auch die Freunde. Denn Die werden als nächstes besucht.

Studivz bemerkte aber den Crawling-Versuch und baute eine Sperre ein, die alle 50 Seitenaufrufe den Benutzer zwingt, eine als Grafik angezeigte Buchstaben-Zahlen-Kombination einzugeben, ein sogenannter “Captcha”.

Daraufhin bauten die Studenten andere Crawler-Bots, die automatisch gruschelten und Einträge auf den Gästebüchern erstellten. Unter anderem suchten sie StudiVZ-Nutzer, die als Beziehungsstatus angegeben hatten, dass sie solo waren und schrieben Ihnen gegenseitig die Nutzer-IDs ins Gästebuch.

lovebot_eintrag.jpg

Die Reaktionen der StudiVZ User waren nicht besonders erfreulich, es scheint, dass sehr viele User die Liebesdienste von Hoebot nicht gern in Anspruch genommen haben und lieber Single bleiben wollten. Sie könnten sich auch rechtlich nicht dagegen wehren, denn die AGBs von StudiVZ schließen nicht aus, dass Crawling verboten ist (anders als die AGBs bei SchülerVZ).

Wie schnell das Auslesen der Daten möglich ist, das zeigt ein bei Youtube veröffentliches Video, wie der Hoebot funktioniert. Wie die Studenten ankündigen, werden sie demnächst auch das Skript ins Netz stellen.

This entry was posted on Mittwoch, Februar 28th, 2007 at 12:36 and is filed under echologist. Tags: , , . You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Related Posts:

Anzeige

Grotrian-Steinweg Flügel, 5900 Euro

Grotrian-Steinweg, generalüberholt vor ca. 15 Jahren, Baujahr 1920, schwarz-matt, Schellack, 1,85 Meter lang.

Weitere Klaviere bei Pianohaus Wenzlaff

12 Responses to “Anleitung zum StudiVZ-Hack”

  1. Thomas Says:
    Februar 28th, 2007 at 13:40

    schön …
    einfach nur schön

  2. dante Says:
    Februar 28th, 2007 at 14:06

    Der Hoebot ist imho ein Fake (keine CAPTCHA-Abfragen etc.) – und wenn er es nicht ist, dann ist das gecrawle bei weitem nichts StudiVZ-spezifisches, sondern betrifft so ziemlich jede Webpage mit Kommentarfunktion. youtube, das komplette vbulletin-System und natürlich auch Wordpress sind von automatischen Spambots betroffen.

  3. + Blog`N`Roll + » Blog Archive » Weitere Crawler im StudiVZ unterwegs? Says:
    Februar 28th, 2007 at 15:29

    [...] Bei Karsten hat sich anscheinend jemand gemeldet, der sich verantwortlich zeichnet. Angeblich haben einige Studenten zusammen mit ihrem Dozenten diese Bots gebaut. Wie sie jedoch Captchas umgangen haben, ist mir weiter unkar. [...]

  4. StudiVZ crawlen - super Sache… Says:
    Februar 28th, 2007 at 18:03

    [...] ich bei Karsten gelesen habe, wurde nun ein (angeblicher) Crawler vorgestellt, der die Daten bei StudiVZ abgrast. [...]

  5. Mat Says:
    März 1st, 2007 at 00:20

    Und nu isses ne WerbeSeite ;-)

  6. kasi Says:
    März 1st, 2007 at 01:12

    Ich vermute mal, dass die Verlinkung von der Blogbar dazu geführt hat.

  7. Kasi-Blog » Blog Archive » StudiVZ macht alles richtig. Says:
    März 1st, 2007 at 01:45

    [...] Kasi-Blog politics, economics, media in a digital revolution « Anleitung zum StudiVZ-Hack [...]

  8. Zur Primetime: 7 (+x) Fragen an Tobi von Hoebot - Sajonara.de - Internetmagazin Says:
    März 1st, 2007 at 21:15

    [...] Wer steckt hinter Hoebot? Man hat munkeln hören, ein paar Studis und ihr [...]

  9. Ich bin Teil eines Experimentes Says:
    März 14th, 2007 at 12:41

    [...] also erstens: Den Robert Den Karsten Das [...]

  10. Deltablog! » Blog Archiv » Zweifelhaftes Selbstexperiment gestartet Says:
    Juni 24th, 2007 at 22:41

    [...] haarsträubenden Skandalen rund um StudiVZ (Wikipedia, Datenlecks, diverse XSS und CSRF Lücken, Daten Crawling, …) dachte ich mir, dass ich das, was ich ständig schlecht rede, mir mal genauer anschauen [...]

  11. schoki Says:
    August 19th, 2007 at 21:13

    Hää??!! natürlich können captchas ausgewertet und benutzt werden und zwar mit
    AABBYY Fine Reader und dem geeingetem VBS bzw. Hintergrundwissen ist das ganz einfach

  12. Deine Mutter Says:
    Oktober 27th, 2008 at 23:50

    Aber die Captchas erschweren solchen unfug schon sehr. Zur not werden eben sehr unleserliche Dinge verwendet, oder gar Katzen ala Rapidshare.
    Der dumme ist nachher der normale User, der sich mit den Bildchen rumplagen muss… :-/

Leave a Reply