Schlagwort: SchülerVZ

Wie das Handelsblatt kürzlich berichtet hat, sind beim Social-Network SchülerVZ erneut Millionen Nutzerdaten abgegriffen worden. Durch Nutzung künstlicher eMail-Adressen wurde der Kopierschutz des Netzwerks umgegangen und 1,6 Mio. aktuelle Datensätze eingesammelt, was rund 30% aller Nutzerprofile des Sozialen Netzwerks enstpricht. Laut SchülerVZ betonte wurden nur Daten kopiert, die für alle registrierten Nutzer einsehbar seien. VZ-Geschäftsführer Clemens Riedl versucht daher das Thema zu relativieren, da es sich agg. nicht um ein Datenleck, sondern um einen Verstoß gegen die Allgemeinen Geschäftsbedingungen handelt.

Hinter der Aktion steckt Florian Strankowski von der Leuphana-Universität Lüneburg, der damit aufzeigt, dass die im Herbst letzten Jahres angekündigten Maßnahmen gegen das Auslesen von Schüler-Profilen seitens SchülerVZ offenkundig nicht ausreichend waren. In einem Interview mit Netzpolitik.org schildert Florian Strankowsk, was seine Motivation war und wie er dabei vorgegangen ist. Besonders peinlich dabei ist, dass er in zwei eMails die VZ-Gruppe auf die Sicherheitslücken hingewiesen hatte, zunächst aber keine Reaktion kam:

SchülerVZ-Sprecher Dirk Hensen entgegnete, dass die Mails an den zuständigen Techniker weitergeleitet und alle nötigen Schritte eingeleitet wurden. Aus ihm unbekannten Gründen sei jedoch ein Antwortschreiben des Netzwerkes an Strankowski nicht gesendet worden.

Wenn man überlegt, wieviele Schülerinnen und Schüler das SchülerVZ nutzen, sollte man annehmen, dass IT-Sicherheit einen höheren Stellenwert geniessen sollte.

Die bekannte und bei Schülern beliebte Internet-Community SchülerVZ ist das Opfer eines Daten-Crawlers geworden, was auf erhebliche Sicherheitslücken hindeutet. Von der insgesamt rund 5,5 Millionen starken Community wurden über 1 Millionen personenbezogene Daten wie Namen Geschlecht, Alter, besuchte Schule und das Profilfoto über einen Bot ausgelesen. Auch wenn die Mainstream-Presse aktuell sehr oft den Begriff Datendiebstahl verwendet, passt das hier m.E. nicht, denn es wurden „lediglich“ die für Community-Nutzer offen zugänglichen Daten ausgelesen. Vertrauliche Informationen wie Post- und E-Mail-Adressen scheinen hiervon nicht betroffen zu sein, womit ein Hacker-Angriff auf die Datenbank eher unwahrscheinlich ist.

Prekär ist das ganze aber alleine schon deswegen, weil es sich bei den Nutzern i.w. um Schüler im Alter von 12-18 Jahren handelt und gerade bei diesem Personenkreis sollte der Datenschutz besonders wichtig sein. Im VZ-Netzwerk-Blog gibt es auch eine Stellungnahme, in der u.a. versprochen wird:

Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen.

Inwiefern es sich wirklich um illegale Zugriffe handelt, bleibt dahingestellt, ich hoffe nur, dass das VZ-Netzwerk ihre Sicherheitsmaßnahmen weiter verschärfen wird.

Update vom 20.10.2009

Wie AFP berichtet, wurde heute ein Verdächtiger in diesem Fall wegen versuchter Erpressung festgenommen. Scheinbar hat der Daten-Crawler bei einem Gespräch mit den VZ-Betreibern 80.000 Euro gefordert haben, ansonsten würde er die Daten in den osteuropäischen Raum verkaufen.