Seit der Next08 habe ich auf diesem Blog eine “Communityleiste” der Sixgroups. Ein Personal Social Media News Aggregator, dort können Twitterhastags, RSS-Feeds beliebiger Quellen (Youtube, Mister-Wong) usw aggregiert werden. Die Entwickler bei Sixgroups arbeiten wohl unter Hochdruck an neuen Features. Viele Bloggerkollegen probieren diese Leiste ebenfalls aus.

Heute allerdings habe ich eine böse Überraschung erlebt.

Ich habe mich mit meiner Open_ID (schmitz_flickr@yahoo.com) bei Sixgroups angemeldet und nach der Bestätigung bei Yahoo, war ich in meiner Leiste als “Penzonator” eingelogt. Als Penzonator habe ich sein Profil bearbeitet und 3 Nachrichten geschrieben. Hier der Screenshoot:

Der User Penzonator ist nicht Mitglied meiner Community, er hat lediglich auf meinem Livestream den letzten Livekommentar hinterlassen. Deswegen wurde ich nach dem Open_ID Login wohl in seinen Account fälschlicherweise geschiftet. Ich denke das bei der Entwicklung von neuen Web 2.0 Anwendungen fehler passieren können, das ist ja auch menschlich. Aber bei der Anmeldung ist das schon pikant. Ein echtes Sicherheitsloch.

Die Prozedur habe ich ein zweites mal wiederholt und gleichzeitig das Ganze als Film hier dokumentiert.

Click to play

Ich bin gespannt wie lange das Sicherheitsloch noch bleibt, und wie das Sixgroups dokumentieren wird. Wenn das Sicherheitsloch nicht in Kürze geschlossen wird, werde ich die Leiste wieder deaktivieren müssen. Bis dahin ist erstmal Vorsicht geboten.

#####Nachtrag##### vom 24.08.2008
Die Sixgroups hatte sehr schnell reagiert. Nach 1 Stunde war das Sicherheitsloch geschlossen (Open:id deaktiviert) und nach 24 Stunden war das Problem gefunden und wieder aktiviert. Es waren wohl sehr unglückliche Zusammenhänge die nur bei Yahoo-Open ID auftreten konnte. Die genauen technischen Details habe ich nicht ganz verstanden, aber da wird es sicher noch einen Hinweis im sicgroups-Blog geben.