Sicherheitsleck bei SchuelerVZ:
Über 1 Million Datensätze im Umlauf
Gleich mehrere Datenlecks scheint es bei dem auf Minderjährige spezialisierten Social Network schuelerVZ zu geben. Über 1 Million Datensätze mit detaillierten Profilinformationen wurden netzpolitik.org zugespielt.
Updates am Ende des Artikels
netzpolitik.org wurden von anonymer Quelle mehrere Datensätze von schuelerVZ-Profilen zusgespielt:
Mit den Listen lassen sich einfache Datenabfragen erstellen wie “alle Schüler aus Berlin”, oder “alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule”. Man kann sich vorstellen, dass diese Daten nicht aus den Datenbanken von SchülerVZ in einer solchen Größe ausgelesen werden dürfen.
Der große Bruder studiVZ wurde vor einigen Jahren von mehreren Sicherheitslecks geplagt. Wie die taz auch anführt, sind solche Sicherheitsprobleme bei einem Netzwerk wie schuelerVZ, auf dem sich fast nur Minderjährige bewegen, weitaus gravierender.
Konkret handelt es sich wohl um ein automatisches Auslesen der (innerhalb von schuelerVZ) öffentlichen Suche mit Skripten. Normalerweise dürfte ein solches Crawlen nicht möglich sein.
Markus Beckedahl von netzpolitik.org:
Das weist darauf hin, dass SchülerVZ ein großes Sicherheitsloch hat und man aus den Erfahrungen mit StudiVZ vor drei Jahren nichts gelernt hat. Damals wurde bekannt, dass man auf ähnliche Weise aus der StudiVZ-Datenbank viele Informationen aus den Profilen auslesen konnte. Bei SchülerVZ ist das Problem noch größer: Hier handelt es sich um Kinder und Jugendliche, die einen besonderes Schutzraum brauchen.
Interessant ist auch die Kommunikationspolitik vom Betreiber VZ-Netzwerke (ehemals studiVZ). In der Stellungnahme auf dem VZ-Blog heißt es:
Wir haben am heutigen Nachmittag Kenntnis über folgenden Vorgang erhalten: Ein schülerVZ-Nutzer hat eine Vielzahl von Profilen aufgerufen und Kopien einzelner der für alle schülerVZ-Nutzer sichtbaren Daten angelegt: Name, Schule, Geschlecht, Alter, Profilfoto.
Es handelt sich hierbei explizit nicht um Daten wie Postadressen, Email Adressen, Zugangsdaten, Telefonnummern und Fotoalben, sondern um für alle Community-Nutzer einsehbare Daten.
Zum einen ist die Aussage “Ein schülerVZ-Nutzer hat eine Vielzahl von Profilen aufgerufen” wenn es um über eine Million Datensätze geht, vorsichtig ausgedrückt, gewagt. Zum anderen wird das Ausmaß des Daten-GAUs natürlich heruntergespielt. Denn wie bereits am Anfang des Artikels erwähnt, lassen sich durchaus brisante Abfragen mit diesen Datensätzen ausführen.
Hier wünscht man sich ein wenig mehr Verantwortungsbewusstsein, das auch öffentlich gezeigt wird.
Es scheint, dass dies nicht das letzte Wort in Sachen Datenlecks bei schuelerVZ sein wird. netzpolitik.org:
Übrigens haben wir seit Veröffentlichung zwei weitere Hinweise auf Sicherheitslecks bekommen.
Update:
VZ-Netzwerke hat eine FAQ zur Thematik nachgeschoben. Zumindest einen Punkt halte ich für irreführend:
Da keinerlei persönliche Kontaktdaten betroffen sind, sondern nur Daten, die im SchülerVZ öffentlich – d.h. für jeden angemeldeten Nutzer – einsehbar sind, wird es keinerlei negative Folgen für unsere Nutzer geben.
Auf schuelerVZ kann man sich nur nach Einladung eines bereits bestehenden Mitglieds registrieren. Das aus gutem Grund: So wird versucht, sicherzustellen, dass die minderjährigen Mitglieder möglichst unter sich bleiben. Die Informationen, die man schuelerVZ-intern abrufen kann, bleiben also unter Minderjährigen. Werden auf solche Art abrufbare Daten nun außerhalb des schuelerVZ einsehbar, dann bedeutet das sehr wohl eine Veränderung der Sachlage. Anderenfalls wäre eine einladungsbasierte Registrierung nicht nötig.
Die Implikation “Eure so eingesammelten Daten waren eh öffentlich” ist schlicht falsch, weil es um zwei verschiedene Öffentlichkeiten geht.
Fazit: SchuelerVZ spielt den Fall weiterhin herunter. Verantwortungsbewusstsein sieht schlicht anders aus.
2. Update:
SchuelerVZ schreibt in einem weiteren Blogeintrag:
Die Daten, die ein schülerVZ-Nutzer illegal und entgegen der VZ-AGB kopiert hat, sind wieder in Sicherheit: Dank der schnellen und erfolgreichen Zusammenarbeit mit dem Blog netzpolitik.org und dessen Gründer Markus Beckedahl, wurde die Liste der kopierten Informationen nicht in Umlauf gebracht und inzwischen komplett gelöscht. Markus Beckedahl lag als Einziger diese Liste aus der - für die VZ-Netzwerke unbekannten – Quelle, zu der Beckedahl Kontakt hat, vor. Dank der Kooperation konnten die VZ-Netzwerke zudem sofort entsprechend reagieren und die Sicherheitsmaßnahmen verschärfen, in dem sie den Zugriff auf eine erhöhte Anzahl von Profilen in einem kurzen Zeitraum erheblich eingeschränkt haben.
Artikel per Feed
Artikel per E-Mail
Artikel bei Twitter
Facebook-Seite
typisch, immer die gleichen Vorurteile… das Internet muss ja wirklich voller Pädophiler sein… nur weil hier die eine Liste mit Userdaten ist (nicht mal Realnamen, keine Adressen, keine Email-Adressen, einfach nur Nicknames, ein Ort, und eine Schule) ist das natürlich gleich sowas von hochbrisant… und jeder der die Liste hat sollte gleich als Kinderschänder verurteilt werden… lasst doch mal die Vorurteile weg, so seid ihr auch nicht besser als die von der Leyen…
Es ist sowieso sehr nachlässig zu viele Daten solchen Community-Betreiber anzuvertrauen. Auf den Social-Networks auf denen ich angemeldet bin, sind die Informationen über mich sowieso eher sehr gering. Leider wissen wenige Kinder und Jugendliche, dass das veröffentlichen von privaten Informationen immer negativ enden kann.
Außerdem kommt jeder in SchuelerVZ rein. Man muss nur Kinder und Jugendliche in einem Forum nach einer Einladung fragen. So ein großes Hinderniss ist eine Einladung nicht (wie damal bei GMail – trotzdem hatten viele Personen nach einigerzeit einen GMail Account)
SchülerVZ fällt Datenklau zum Opfer!!
Originalzitat SchülerVZ(!!!):
“Die Daten, die ein schülerVZ-Nutzer illegal und entgegen der VZ-AGB kopiert hat, sind wieder in
Sicherheit.”
Zitat Ende.
Wer´s glaubt, wird selig!
Andere sehen das komplett anders!
Näheres zum Thema z.B. unter:
http://newstopaktuell.wor…datenklau-zum-opfer/
html
http://www.golem.de/0910/70533.
Ich bin jetzt nicht sicher, ob das ganze wirklich so kritisch ist. Eine Abfrage wie “alle Schülerinnen im alter von 13 die in Siegen wohnen mit Bild und Schule”, ist wohl eher unspektakulär. Das ist höchstens für Pädophile interessant und davon haben wir hier gefühlt nicht so viele. Davon abgesehen bekommt jeder der es wirklich will einen SchülerVZ Account. Insofern sind diese Daten sehr wohl öffentlich. Die gespielten zwei Öffentlichkeiten auf die Du im Artikel bezug nimmst existieren also eher fiktiv.
Es ist immer eine Frage, ob es paranoid ist, im Web irgendwelche Daten bekannt zu geben. Man sollte vielleicht darauf hinweisen, dass die Daten problemlos ausgelesen werden können. Die Schüler können doch – genau wie jeder andere – entscheiden, wie viel sie von sich preisgeben wollen. Datenschutzrechtlich finde ich das Ganze bedenklich, auch wenn vermutlich nicht viele Pädophile solche Abfragen nutzen als vielmehr bestimmte Firmen mit einer jugendlichen Zielgruppe. Die kommen so leicht an gewünschte Userdaten, Interessen etc.
Naja. Ich finde nun die Art der Daten welche da betroffen zu sein scheinen auch nicht so schlimm. Aber 2 Dinge stören mich.
1. Wie die Liste in ist in Sicherheit??? Digital… In Sicherheit? Wie soll das sicher sein? Wie wollen die wissen, dass die Liste nicht bereits weiter verbreitet wurde?
2. Es geht doch auch ums Prinzip. Ich denke VZ würde genau gleich reagieren, würde es sich um wichtigere Daten handeln. Ist natürlich nur eine Vermutung, aber das ist einfach der Eindruck welchen ich habe beim Lesen der Stellungnahme.
Typisch für soziale Netzwerke, inbesondere in D, keine Sicherheitsvorkehrungen