Sonstiges

Wie sevenload aus einer eher peinlichen Sicherheitslücke ein neues Feature macht

Jens vom Parkrocker-Blog hat mich heute Morgen auf eine ziemlich peinliche Sicherheitslücke bei der Kölner Web2.0-Plattform sevenload aufmerksam gemacht. Demnach bietet das Portal seinen Nutzern die Möglichkeit, seine hochgeladenen Bilder und Videos nur für bestimmte Usergruppen zugänglich zu machen. Wählbar sind die Stufen „öffentlich“, „eingeschränkt“ und „privat“. Jens hat in einem kleinen Video allerdings gezeigt, dass auch privat deklarierte Daten für jedermann sichtbar sind, solange die URL bekannt ist. Uppps.

So heißt es bei sevenload:

Dein Album und dessen Inhalt sind unsichtbar und kann von keinem Mitglied außer dir eingesehen werden. Das Album und dessen Inhalt erscheinen nicht in deinem Profil und Suchergebnissen.

Scheint wohl nicht ganz der Wahrheit zu entsprechen, was sevenload da verkündet. In der Szene ist die Sicherheitslücke allerdings schon länger bekannt. Demnach soll es auch bei MyVideo, Google Video und YouTube möglich sein, sich private Fotos und Videos von Mitgliedern anzeigen zu lassen, solange die URL bekannt ist, postet ein User namens „bloodgnome“ Ende November letzten Jahres ins Gulli-Board.


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Homeoffice
Social Media & Digital Marketing Spezialist (m/w/d)
Apollo Tyres (Germany) GmbH in Vallendar
Praktikant (m/w/d) Talent Acquisition & Social Media
Dr. August Oetker Nahrungsmittel KG in Bielefeld

Alle Stellenanzeigen


Seit wenigen Minuten gibt es auch eine Reaktion von Thomas Bachem, seines Zeichens Technikchef bei sevenload:

Das ist in der Tat ein Feature, kein Bug. Damit möchten wir das Sharing von privaten Inhalten vereinfachen, da wir davon ausgehen dass kein User Interesse daran hat Inhalte wirklich nur für sich selbst sichtbar zu machen.

Die Beschreibung der Funktion ist leider jedoch sehr missverständlich, da stimme ich dir absolut zu. Wir werden uns darum kümmern dass diese in Zukunft deutlich auf die Direktlink-Thematik hinweist.

Zudem überlegen wir gerade, ob wir weitere Sichtbarkeitsstufen implementieren.

Bei dieser Aussage weiß ich ehrlich nicht, ob ich laut lachen oder mir lieber die Haare raufen soll. Wenn sevenload jetzt aus einem peinlichen Bug ein neues Feature machen will, kann ich diesen Versuch nur als gescheitert ansehen. Aber wie die ZDF-Moderatorin Nina Ruge immer so schön sagt: „Alles wird gut!“.

(Michael Friedrichs)

Über den Autor

Michael Friedrichs

Michael Friedrichs hat als Redakteur für BASIC thinking im Jahr 2009 fast 400 Artikel veröffentlicht.

37 Kommentare

  • Gilt aber auch nur wenn der Link bekannt ist. Lade ich ein Video hoch und mache es „privat“ und gebe diesen Link nirgendswo weiter ist er auch unsichtbar oder wird indexiert. Also schon ein guter Schutz, natürlich kein umfassender…
    Ein Passwort Schutz wie bei Vimeo wäre da schon besser.

  • tja die leute bei sevenload sind nicht auf den kopf gefallen. demnächst wird es trend sicherheitslücken in seinen produkten zu verbauen und den kunden als „unzählige features“ auf der Verpackung zu verkaufen.

    @carsten

    das stimmt. eigentlich sind passwörter immer noch der beste schutz, aber vielleicht ist das den jungs bei sevenload einfach zu kompliziert. stattdessen hat man sich auf simplere sachen beschränkt. schade eigentlich

  • Hi zusammen,

    ich bin wirklich niemand mit besonderen PR-Talenten, insofern gebe ich keine geschönten Antworten raus oder lege Bugs frecherweise als Features aus, wenn dem nicht wirklich auch so wäre.

    Die Funktion war wirklich so gedacht, um das Sharing von Inhalten z.B. per Instant Messager oder E-Mail zu vereinfachen, da uns früher von vielen Usern gesagt wurde, dass die Sichtbarkeitseinstellungen der Alben zu kompliziert gewesen seien.

    Trotzdem gebe ich euch absolut recht, dass die Formulierung irreführend ist. Da es sich um ein Thema von Privatsspähre und Sicherheit handelt, ist damit auch definitiv nicht zu spaßen. Deshalb an dieser Stelle eine ganz klare Entschuldigung meinerseits an die User.

    Welche Sichtbarkeitsstufen für Alben würdet ihr euch denn von sevenload wünschen?

    VG,
    – Tom

  • Bei Google Video gibt’s dass auch, allerdings steht hinter der Option „nicht aufgelistet“ ein Link, der zu dieser Seite führt:

    Was sind „nicht aufgelistete“ Videos?
    Falls Sie ein Video auf Google Video hochgeladen haben und es lieber nicht der gesamten Welt zeigen möchten, können Sie den Zugriff auf das Video einschränken, indem Sie es als „Nicht aufgelistet“ markieren. Ähnlich wie Telefonnummern, die nicht in öffentlich zugänglichen Telefonnummerndatenbanken enthalten sind, erscheinen als „Nicht aufgelistet“ markierte Videos nicht in den Ergebnissen der Google Video-Suche. Diese Option eignet sich hervorragend für Familienvideos. Markieren Sie das gewünschte Video einfach als „Nicht aufgelistet“ und senden Sie Ihrer Familie und Ihren Freunden den Link per E-Mail.

    Ich finde schon, dass dies die einfachste Möglichkeit ist, Videos mit Freunden zu teilen. Da das ganze nicht im Google-Suchindex ist, ist es ja auch quasi nicht im Internet… oder?

  • Markantester Unterschied zu Google dürfte wohl sein, dass Sevenload eben nicht auf diese Möglichkeit hinweist und den Nutzer in falscher Sicherheit wiegt.

    „Da das ganze nicht im Google-Suchindex ist, ist es ja auch quasi nicht im Internet… oder?“

    Da führe ich gerne nochmal das (etwas überspitzte) Beispiel der Bankdaten an. Wäre es Dir recht, wenn Deine Kontobewegungen online verfügbar sind? Immerhin wären diese ja nicht von Google erfasst… 😉

  • Hi Lunzelott,

    stimmt, die Formulierung von Google finde ich prima. Letztendlich geht ja in der Tat nur um die Auflistung der Inhalte.

    Natürlich ist es auch bei uns so, dass private Inhalte trotz Direktlink NICHT bei Google und Co. indiziert werden, dafür sorgen entsprechende Meta-Tags auf den Seiten verstecker Bilder und Videos. Insofern können private Inhalte nicht im Google-Suchindex landen.

    Viele Grüße,
    – Tom

  • Ist es eigentlich ein Versehen, dass mein Account zur Zeit nur eine Fehlermeldung zeigt…?

    http://s8b.directupload.net/file/d/1704/4k2cmtec_jpg.htm

    „Es ist ein Fehler aufgetreten.
    Die von dir angeforderte Seite konnte nicht aufgerufen werden. Das kann unterschiedliche Gründe haben, diese hier aufzulisten würde aber vermutlich länger dauern als der Fehler überhaupt anhält.“

    Andere Profile sind ohne Probleme zu erreichen, der Direktlink zu dem in meinem Blog verlinkten Video funktioniert ebenfalls (noch).

  • Hey Parkrocker,

    wir haben eben ein aktuelles Release aufgespielt, in dem auch unsere Profilseiten überarbeitet und verändert wurden. Leider scheint es bei einigen Profilseiten zu einem Fehler zu kommen, den wir gerade untersuchen.

    Ich gebe dir sofort bescheid, wenn wir es behoben haben.

    LG,
    – Tom

  • Ich finde die Jungs von sevenload haben Recht:

    Wer läd schon ein Video von sich ins Internet OHNE es irgendjemandem zeigen zu wollen?! Das wäre doch unlogisch.

    Und Copy&Paste via IM-Tools ist die einfachste, schnellste und direkteste Methode zur weitergabe von solchen Inhalten. Macht doch sonst auch jeder so.

    Finde das also eig. garnicht lächerlich.

    Wer seine Videos wirklich nur für sich selbst möchte läd sie nicht hoch, sondern archiviert sie auf der eigenen Festplatte..

  • Sehe das genauso. Wenn ich das Video niemandem zeigen will, wieso in Gottes Namen lade ich es dann auf eine öffentliche Video-Plattform. Und es ist mir tausendmal lieber, dass ich einfach den Link kopieren kann und selbst weiterverschicken, als am Ende dann noch eine vorformulierte „Einladungsemail“ an meine Freunde schicken zu müssen, damit diese Zugang zum Video haben. Ich sehe das weder als Sicherheitslücker noch als peinliche Reaktion darauf, sondern bin völlig überzeugt davon, dass es von Anfang an so sein sollte, denn alles andere wäre meines Erachtens nicht sinnvoll.

  • „Privat“ bedeutet nicht, dass nur ich etwas sehen kann. „Privat“ kann eben auch genau das heißen, wie Sevenload es sieht. Und das ist mitnichten eine Sicherheitslücke, sondern bei extrem vielen Diensten genau so gewollt.

    Wie andere vor mir schon schrieben: Wer auf dieser Welt wäre bitteschön SO dämlich und lädt irgendetwas auf irgendeinen Server, wenn er es niemandem zeigen will? Optionaler Passwortschutz wäre sicherlich ein Bonus, der die Sicherheit erhöht, keine Frage. Aber hier von einer Sicherheitslücke zu sprechen ist Unfug.

  • Sorry, aber ich kenne genug Leute die, solche Plattformen als Datenspeicher benutzen und Bilder bzw. Videos niemanden zeigen wollen.

  • Das ist doch so ein Quatsch. Ich kenne das von so vielen Plattformen. Natürlich lade ich meine Bilder in ein Ordner was für die Plattform nicht zugänglich ist aber für meine Freunde durch einen „Deep-Link“.

    http://de.wikipedia.org/wiki/Deep_Link

    RSS Feed von basicthinking wird mal direkt deletet.

  • @XSized

    Wer lesen kann, ist auch hier wieder einmal klar im Vorteil. In der genannten Definition von Privat die ich auf Sevenload vorfinde, heißt Privat:
    „Dein Album und dessen Inhalt sind unsichtbar und kann von keinem Mitglied außer dir eingesehen werden.“
    Da gibt es nicht viel zu deuteln – höchstens die miese Rechtschreibung zu bemängeln.
    Es ist völlig nebenrangig, wer wie was hochlädt und warum er das tut. Fakt ist, dass Sevenload entgegen der eigenen Ankündigung die als Privat markierten Daten eben doch öffentlich zugänglich macht.

    Nennt mir doch mal ein paar von den „vielen Plattformen“ die das auch so handhaben.

    @Jürgen
    Exakt: Viele User nutzen diese Art von „Datenspeicher“ und verlassen sich dann auch darauf, dass wie vom Anbieter zugesichert die Daten nicht für Dritte zugänglich sind. Diese Zugänglichkeit definiert sich auch nicht darüber, ob ein Link bei Google auffindbar ist, sondern ob die Daten tatsächlich öffentlich aufgerufen werden KÖNNEN. 🙂

  • Gibt es einen einzigen Fall, indem jemand auf sevenload ein privates Video gesehen hat, das er nicht sehen sollte? Vermutlich nicht. Also ist die Kritik konstruiert. Man kann das sicherlich diskutieren, und Sevenload um Klarstellung bitten. Aber diese Tendenz, anderen nicht nur vermeintliche „Peinlichkeiten“ aufs Brot zu schmieren sondern noch ein paar Kübel Häme drüberzuleeren geht mir wirklich gegen den Strich.
    Wer Schaum vor dem Mund hat, sollte sich diesen erst abwischen und dann reden.

  • @Parkrocker: Auf die Schnelle, ohne lang nachdenken zu müssen: Picasaweb. Oder Flickr. Oder oder oder…

    Wie bereits erwähnt: Panikmache oder auch Hysterie. Nur leider nix substanzielles.

  • @XSized
    Leider falsch. Flickr zeigt als Privat markierte Fotos auch nicht bei direkter Eingabe der URL an. So ist es übrigens richtig 😉
    Hast Du noch mehr so tolle (weil falsche) Beispiel? 😀

  • Also 100% Schutz gibt es nirgentwo. Wenn man will, dass seine Bilder und Videos wirklich privat bleiben, sollte man auf das altmodische Fotoalbum zurück greifen oder alles auf einen Rechner ohne Internet Anschluss laden.

  • Hmmm, viele dieser Plattformen nutzen einfachste Webserver (also ohne Authorisierung) + einfach, verteilten Storage. Die URLs sind einfach durch lange, generierte URLs nicht (mit vertretbaren Aufwand) erratbar. StudiVZ hatte ja auch bloß den variablen Teil der URLs zu kurz gewählt …

    Ciao – nichts neues im Westen.

    @Parkrocker: Das Beispiel Flickr galt lange, wohl hat man da technisch nachgelegt?

  • Also ich fand es in der Tat schon öfters praktisch „private“ Videos auf die Art zu teilen – den Link bekommt man so ja nicht raus. Für mich isses ein Feature, aber die Ansichten da sind wohl verschieden…

  • Die einzigste peinliche Sicherheitslücke die ich sehe ist das Video und der Autor dieses Artikels.

  • Hmm, das Sicherheitsempfinden der „Leute da draussen“ scheint wirklich so niedrig zu sein, dass die diesen Bug tatsächlich für ein Feature halten. Als für mich ist das ein klarer Bug. Privat heisst ja wohl auch geschützt. Klar, ist das ein Unterschied. Aber eine Privatwohnung steht auch im Normalfall nicht offen, sondern die Türe ist zu.

    Warum Sevenload das gemacht hat? Absicht. (Mein ich ehrlich). Die wollen Content verteilen. Wäre Sevenload ein soziales Netz, wäre dieser Bug klar ein Bug. Und es würde niemand drüber diskutieren, ob es einer wäre.

    Ich bin überrascht, dass in der einen Anwendung „Privat“ das eine darstellt, in der anderen, was anderes.

  • Sevenload ist unbedeutend!

    Die verbrennen Millionen von Investorengeldern und schließen hunderte Partnerschaften die nichts wert sind! Denn an einem fehlt es:

    Den echten realen Usern, die hat sevenload kaum im vergleich zu Youtube, MyVideo, Clipfish,…

    Und den technischen Vorsprung gibt es auch nicht mehr, genauso wie Web-TV das alle anderen auch immer mehr anbieten und sevenload somit nur zu einer von vielen Plattformen macht die keine wirklich große User zahlen hat.

    Sorry, ich hab den ganzen Marketing Mist von Sevenload früher auch geglaubt, aber das ist nichts weiter als eine Blase die da gezüchtet wird.

    Guckt euch nur mal genauer an wer da alles im Vorstand sitzt und was die schon so an Investoren Geldern verbrannt haben.

  • Der Bildzeitung hätte ich so einen unsachlichen Artikel mit reißerischer Überschrift zugetraut. Aber das das hier sein muss…

  • Tut mir leid aber der Artikel ist ja wohl ganz schwach und der Vergleich mit der Bild-Zeitung kam mir da auch in den Sinn: Wenn ich etwas hochlade dann gibt es immer eine Möglichkeit diese Daten zu sehen und ich würde es auch als Feature sehen wenn private Daten via Link ausgewählten Personen zugänglich gemacht werden können. Das klappt doch beispielsweise bei Dropbox hervorragend.

    Es wäre eine Sicherheitslücke, wenn ich den Link rekonstruieren könnte und so an Daten von anderen komme.

    Fehler von sevenload ist hier ja nur die falsche Beschreibung. Sowas sollte nun wirklich nicht sein.

  • Warum komme ich heute wiederholt mit keinem Browser ÜBERHAUPT auf irgendwelche Sevenloadseiten ( Fehlermeldung : Der Server antwortet nicht schnell genug – Zeit überschritten blabla)
    Gestern schon fehlte bei einigen Themen die Funktionsleiste komplett über den Beiträgen und der Seitenaufbau wär mehr als langsam , einzelne Posts erschienen plötzlich zwischendrin, die vorher gar nicht da waren und Seiten verschwanden komplett.
    ich bin jetzt schon mal gespannt, welche weitere unnütze Funktion Seven uns Usern wieder einmal ungefragt aufdrückt, wie die unsägliche Profilfunktion “ letzte Aktivitäten“, die sinnlos und unerwünscht ist von schätzungsweise 99% der Mitglieder/ User dort und ebenfalls zu einem Komplettausfall und diversen Störungen führte seinerzeit.

  • @13: mit dem versand über ICQ räumst du AOL sämtliche rechte an deinen videos ein, d.h. alles was du über icq versendest, darf von denen ausgewertet werden oder sogar kommerziell genutzt werden… könnte bei nem privaten video spaßig werden ^^

  • @35: Gestern gab es bei Host Europe wohl einen kleinen Ausfall (komplettes Rechenzentrum vom Netz). Ich nehme mal an, dass das damit zusammenhängt.