<< Themensammlung Netzwertig

Unter netzwertig veröffentlichen wir in unserem Blog Einschätzungen zu aktuellen digitalen Geschäftsmodellen und IT-Trends, Meldungen, Analysen, Reviews und Specials.

16.10.09

Sicherheitsleck bei SchuelerVZ: Über 1 Million Datensätze im Umlauf

Gleich mehrere Datenlecks scheint es bei dem auf Minderjährige spezialisierten Social Network schuelerVZ zu geben. Über 1 Million Datensätze mit detaillierten Profilinformationen wurden netzpolitik.org zugespielt.

schuelervz

Updates am Ende des Artikels

netzpolitik.org wurden von anonymer Quelle mehrere Datensätze von schuelerVZ-Profilen zusgespielt:

Mit den Listen lassen sich einfache Datenabfragen erstellen wie “alle Schüler aus Berlin”, oder “alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule”. Man kann sich vorstellen, dass diese Daten nicht aus den Datenbanken von SchülerVZ in einer solchen Größe ausgelesen werden dürfen.

Der große Bruder studiVZ wurde vor einigen Jahren von mehreren Sicherheitslecks geplagt. Wie die taz auch anführt, sind solche Sicherheitsprobleme bei einem Netzwerk wie schuelerVZ, auf dem sich fast nur Minderjährige bewegen, weitaus gravierender.

schuelerVZ

Konkret handelt es sich wohl um ein automatisches Auslesen der (innerhalb von schuelerVZ) öffentlichen Suche mit Skripten. Normalerweise dürfte ein solches Crawlen nicht möglich sein.

Markus Beckedahl von netzpolitik.org:

Das weist darauf hin, dass SchülerVZ ein großes Sicherheitsloch hat und man aus den Erfahrungen mit StudiVZ vor drei Jahren nichts gelernt hat. Damals wurde bekannt, dass man auf ähnliche Weise aus der StudiVZ-Datenbank viele Informationen aus den Profilen auslesen konnte. Bei SchülerVZ ist das Problem noch größer: Hier handelt es sich um Kinder und Jugendliche, die einen besonderes Schutzraum brauchen.

Interessant ist auch die Kommunikationspolitik vom Betreiber VZ-Netzwerke (ehemals studiVZ). In der Stellungnahme auf dem VZ-Blog heißt es:

Wir haben am heutigen Nachmittag Kenntnis über folgenden Vorgang erhalten: Ein schülerVZ-Nutzer hat eine Vielzahl von Profilen aufgerufen und Kopien einzelner der für alle schülerVZ-Nutzer sichtbaren Daten angelegt: Name, Schule, Geschlecht, Alter, Profilfoto.

Es handelt sich hierbei explizit nicht um Daten wie Postadressen, Email Adressen, Zugangsdaten, Telefonnummern und Fotoalben, sondern um für alle Community-Nutzer einsehbare Daten.

Zum einen ist die Aussage "Ein schülerVZ-Nutzer hat eine Vielzahl von Profilen aufgerufen" wenn es um über eine Million Datensätze geht, vorsichtig ausgedrückt, gewagt. Zum anderen wird das Ausmaß des Daten-GAUs natürlich heruntergespielt. Denn wie bereits am Anfang des Artikels erwähnt, lassen sich durchaus brisante Abfragen mit diesen Datensätzen ausführen.

Hier wünscht man sich ein wenig mehr Verantwortungsbewusstsein, das auch öffentlich gezeigt wird.

Es scheint, dass dies nicht das letzte Wort in Sachen Datenlecks bei schuelerVZ sein wird. netzpolitik.org:

Übrigens haben wir seit Veröffentlichung zwei weitere Hinweise auf Sicherheitslecks bekommen.

Update:

VZ-Netzwerke hat eine FAQ zur Thematik nachgeschoben. Zumindest einen Punkt halte ich für irreführend:

Da keinerlei persönliche Kontaktdaten betroffen sind, sondern nur Daten, die im SchülerVZ öffentlich – d.h. für jeden angemeldeten Nutzer –  einsehbar sind, wird es keinerlei negative Folgen für unsere Nutzer geben.

Auf schuelerVZ kann man sich nur nach Einladung eines bereits bestehenden Mitglieds registrieren. Das aus gutem Grund: So wird versucht, sicherzustellen, dass die minderjährigen Mitglieder möglichst unter sich bleiben. Die Informationen, die man schuelerVZ-intern abrufen kann, bleiben also unter Minderjährigen. Werden auf solche Art abrufbare Daten nun außerhalb des schuelerVZ einsehbar, dann bedeutet das sehr wohl eine Veränderung der Sachlage. Anderenfalls wäre eine einladungsbasierte Registrierung nicht nötig.

Die Implikation "Eure so eingesammelten Daten waren eh öffentlich" ist schlicht falsch, weil es um zwei verschiedene Öffentlichkeiten geht.

Fazit: SchuelerVZ spielt den Fall weiterhin herunter. Verantwortungsbewusstsein sieht schlicht anders aus.

2. Update:

SchuelerVZ schreibt in einem weiteren Blogeintrag:

Die Daten, die ein schülerVZ-Nutzer illegal und entgegen der VZ-AGB kopiert hat, sind wieder in Sicherheit: Dank der schnellen und erfolgreichen Zusammenarbeit mit dem Blog netzpolitik.org und dessen Gründer Markus Beckedahl, wurde die Liste der kopierten Informationen nicht in Umlauf gebracht und inzwischen komplett gelöscht. Markus Beckedahl lag als Einziger diese Liste aus der  - für die VZ-Netzwerke unbekannten – Quelle, zu der Beckedahl Kontakt hat, vor. Dank der Kooperation konnten die VZ-Netzwerke zudem sofort entsprechend reagieren und die Sicherheitsmaßnahmen verschärfen, in dem sie den Zugriff auf eine erhöhte Anzahl von Profilen in einem kurzen Zeitraum erheblich eingeschränkt haben.

Das könnte Sie auch interessieren

Förderland-Newsletter

Wissen für Gründer und Unternehmer