Abo
  • Services:
Anzeige

SchülerVZ - Wirbel um Datensätze (Update)

Keine Adressen, aber Name, Geschlecht, Alter, Schule und Profilbild

Das Netzwerk SchülerVZ will eine sichere Umgebung für Minderjährige sein. Dort haben Hacker wohl Daten in erheblichem Umfang kopiert, die sonst nur Mitglieder einsehen können.

Nicht ohne Grund ist das soziale Netzwerk SchülerVZ - das wie Zeit Online [und Golem.de, Anmk. d. Red.] zur Mediengruppe Holtzbrinck gehört - nur denen zugänglich, die darüber kommunizieren sollen: Schülern zwischen 12 und 18 Jahren. Erwachsene haben keinen Zutritt, und den Betreibern ist wohl bewusst, dass Datenschutz für sie höchste Priorität hat. Immerhin soll SchülerVZ laut Eigenwerbung "ein sicheres Umfeld" bieten.

Anzeige
 

Doch im Internet ist nichts wirklich sicher. Hackern ist es offenbar gelungen, zumindest Teile der Datenbanken mit Profilinformationen von fast einem Viertel der Nutzer auszulesen. Diese Daten sind nur für Mitglieder des Netzwerkes sichtbar. Dem Blog Netzpolitik liegt ein Teil dieser kopierten Daten vor. Insgesamt treffen sich fünf Millionen minderjährige Schüler in dem sozialen Netzwerk.

Die Quelle der gehackten Daten ist anonym. Doch die Listen, die auch Zeit Online in Auszügen vorliegen, sind detailliert. Der Datensatz von mehr als einer Million Nutzern soll laut Netzpolitik Profil-ID, Name und dazugehörige Schule samt ID enthalten. Ein zweiter, kleinerer Datensatz soll noch detailliertere Informationen wie Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild umfassen, wobei auch der Link zu dem Bild dazugehören soll.

Damit könnten die Listen beispielsweise sortiert werden nach Merkmalen wie "alle Schüler aus Berlin" oder "alle Schülerinnen im Alter von 13, die in Siegen wohnen, samt Bild und ihrer Schule".

SchülerVZ wurde von Zeit Online über das Leck informiert, eine direkte Antwort steht noch aus. Auf dem Blog des Unternehmens aber steht inzwischen: "Es handelt sich hierbei explizit nicht um Daten wie Postadressen, E-Mail-Adressen, Zugangsdaten, Telefonnummern und Fotoalben, sondern um für alle Community-Nutzer einsehbare Daten. Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen. Die VZ-Netzwerke haben die Datenschutzbehörden umgehend informiert und werden rechtliche Schritte gegen Unbekannt einleiten."
[von Kai Biermann, Zeit Online]

Der Eintrag legt nahe, dass jemand einen Account hatte und von diesem aus die Profilseiten anderer Nutzer ansurfte und dann kopierte. Bei der schieren Menge der aufgetauchten Daten ist das sehr unwahrscheinlich. Markus Beckedahl, der Netzpolitik-Blogger, der zuerst darüber berichtet und der Kontakt zu den Hackern hat, schreibt daher auch: "Hier wurden Scripte verwendet und eine sogenannte CSRF-Lücke genutzt ('Cross Site Request Forgery'). Wäre schön, wenn SchülerVZ das korrigieren könnte. Ich habe sie darauf hingewiesen."

Auf den Widerspruch zwischen der Datenmenge und der Äußerung von SchülerVZ hatte auch der Blogger Michael Friedrichs hingewiesen. "Wenn ein Nutzer öffentlich einsehbare Daten archiviert hat, ist das sicherlich nicht strafbar. Komisch ist dann allerdings, dass gegen dieses unbekannte Mitglied rechtliche Schritte eingeleitet wurden. Widerspricht sich das nicht?" Außerdem weist er auf den Fleiß des vermeintlichen Kopierers hin. "Immerhin tummeln sich auch SchülerVZ derzeit rund fünf Millionen Mitglieder. Der unbekannte Datensammler muss also ziemlich fleißig gewesen sein. Gar nicht auszudenken, wie oft der oder die Täter die CTRL+C-Taste gedrückt haben muss."

Es handelt sich daher wohl eher um ein automatisiertes Auslesen der Informationen, was in diesem Umfang auf keinen Fall möglich sein sollte.

Beckedahl berichtet auch von weiteren Lücken im Script der Seite. Inzwischen scheint es einen regen Austausch zwischen ihm und den Betreibern des Netzwerks gegeben zu haben. Immerhin bedanken sich Letztere bei Netzpolitik für die Zusammenarbeit: "Dank der Kooperation konnten die VZ-Netzwerke zudem sofort entsprechend reagieren und die Sicherheitsmaßnahmen verschärfen, in dem sie den Zugriff auf eine erhöhte Anzahl von Profilen in einem kurzen Zeitraum erheblich eingeschränkt haben." [von Kai Biermann, Zeit Online]

Nachtrag vom 17. Oktober 2009, um 12:51 Uhr:

Laut StudiVZ-Blog sind die Daten, "die ein schülerVZ-Nutzer illegal und entgegen der VZ-AGB kopiert hat" nicht in Umlauf gebracht und inzwischen komplett gelöscht worden. Nutzer sollen aufgrund verstärkter Sicherheitseinstellungen ab sofort keine große Anzahl von Profilen mehr innerhalb eines kurzen Zeitraums abrufen können. StudiVZ-Chef Markus Berger-de León dazu: "Wir möchten uns für die erfolgreiche Kooperation mit Netzpolitik.org und Herrn Beckedahl bei diesem wichtigen Thema ganz herzlich bedanken. Ich bin erleichtert zu wissen, dass die kopierten Informationen der Nutzerprofile nicht in die falschen Hände geraten sind." Beckedahl soll diese Liste aus der für die VZ-Netzwerke unbekannten Quelle als einzigem vorgelegen haben.


eye home zur Startseite
d3wd 08. Nov 2009

Wobei jetzt natürlich sowieso jeder Pädophile behaupten kann das er so an die "Daten...

l0ft1x 22. Okt 2009

Das die AGB nichts zu sagen haben ist dir klar? Wenn die AGB nicht dem deutschen Recht...

flobo79 20. Okt 2009

wie mind-fucked ist diese gesellschaft eigentlich. Ein Portal in dem jeder mit jedem in...

Raven 19. Okt 2009

Ich glaube nicht. Datenbanken sind vielleicht als Ganzes geschützt, ein (geringer) Teil...

nepumuk 19. Okt 2009

Ich musste mir den Posts deines Vorredners 3 mal durchlesen, bis ich genau verstanden...


Ich Blog Dich! / 27. Okt 2009

3x1t's Blog / 17. Okt 2009

sVZ Crawler

Datenleck.net / 16. Okt 2009

Automatisiertes Auslesen von Sch



Anzeige

Stellenmarkt
  1. Hemmersbach GmbH & Co. KG, Nürnberg
  2. T-Systems International GmbH, Bonn, Berlin
  3. Neoperl GmbH, Müllheim
  4. MBtech Group GmbH & Co. KGaA, Sindelfingen, Stuttgart, Neu-Ulm, Ulm


Anzeige
Top-Angebote
  1. 99,90€ inkl. Versand (Vergleichspreise ab ca. 129€)
  2. 59,99€/69,95€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  2. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  3. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie

  4. Gigabit-Breitband

    Google Fiber soll Alphabet zu teuer sein

  5. Google-Steuer

    EU-Kommission plädiert für europäisches Leistungsschutzrecht

  6. Code-Gründer Thomas Bachem

    "Wir wollen weg vom Frontalunterricht"

  7. Pegasus

    Ausgeklügelte Spyware attackiert gezielt iPhones

  8. Fenix Chronos

    Garmins neue Sport-Smartwatch kostet ab 1.000 Euro

  9. C-94

    Cratoni baut vernetzten Fahrradhelm mit Crash-Sensor

  10. Hybridluftschiff

    Airlander 10 streifte Überlandleitung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lernroboter-Test: Besser Technik lernen mit drei Freunden
Lernroboter-Test
Besser Technik lernen mit drei Freunden
  1. Kinderroboter Myon Einauge lernt, Einauge hat Körper
  2. Landwirtschaft 4.0 Swagbot hütet das Vieh
  3. Künstliche Muskeln Skelettroboter klappert mit den Zähnen

Mobilfunk: Eine Woche in Deutschland im Funkloch
Mobilfunk
Eine Woche in Deutschland im Funkloch
  1. Netzwerk Mehrere regionale Mobilfunkausfälle bei Vodafone
  2. Hutchison 3 Google-Mobilfunk Project Fi soll zwanzigmal schneller werden
  3. RWTH Ericsson startet 5G-Machbarkeitsnetz in Aachen

No Man's Sky im Test: Interstellare Emotionen durch schwarze Löcher
No Man's Sky im Test
Interstellare Emotionen durch schwarze Löcher
  1. No Man's Sky für PC Läuft nicht, stottert, nervt
  2. No Man's Sky Onlinedienste wegen Überlastung offline
  3. Hello Games No Man's Sky bekommt Raumstationsbau

  1. Re: IMHO: FTTH ist auch ziemlicher overkill

    Ovaron | 11:38

  2. Die Uhr meines Urgroßvaters hat sündhaft viele...

    lear | 11:25

  3. Re: Nur um das nochmal klar zu stellen

    pythoneer | 11:19

  4. Re: Jetzt ist sie raus. Ich habe mehr erwartet.

    t3st3rst3st | 11:14

  5. Re: Wird Zeit zu wechseln

    Private Paula | 11:14


  1. 15:33

  2. 15:17

  3. 14:29

  4. 12:57

  5. 12:30

  6. 12:01

  7. 11:57

  8. 10:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel