Abo
  • Services:
Anzeige

SchülerVZ - Wirbel um Datensätze (Update)

Keine Adressen, aber Name, Geschlecht, Alter, Schule und Profilbild

Das Netzwerk SchülerVZ will eine sichere Umgebung für Minderjährige sein. Dort haben Hacker wohl Daten in erheblichem Umfang kopiert, die sonst nur Mitglieder einsehen können.

Nicht ohne Grund ist das soziale Netzwerk SchülerVZ - das wie Zeit Online [und Golem.de, Anmk. d. Red.] zur Mediengruppe Holtzbrinck gehört - nur denen zugänglich, die darüber kommunizieren sollen: Schülern zwischen 12 und 18 Jahren. Erwachsene haben keinen Zutritt, und den Betreibern ist wohl bewusst, dass Datenschutz für sie höchste Priorität hat. Immerhin soll SchülerVZ laut Eigenwerbung "ein sicheres Umfeld" bieten.

Anzeige
 

Doch im Internet ist nichts wirklich sicher. Hackern ist es offenbar gelungen, zumindest Teile der Datenbanken mit Profilinformationen von fast einem Viertel der Nutzer auszulesen. Diese Daten sind nur für Mitglieder des Netzwerkes sichtbar. Dem Blog Netzpolitik liegt ein Teil dieser kopierten Daten vor. Insgesamt treffen sich fünf Millionen minderjährige Schüler in dem sozialen Netzwerk.

Die Quelle der gehackten Daten ist anonym. Doch die Listen, die auch Zeit Online in Auszügen vorliegen, sind detailliert. Der Datensatz von mehr als einer Million Nutzern soll laut Netzpolitik Profil-ID, Name und dazugehörige Schule samt ID enthalten. Ein zweiter, kleinerer Datensatz soll noch detailliertere Informationen wie Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild umfassen, wobei auch der Link zu dem Bild dazugehören soll.

Damit könnten die Listen beispielsweise sortiert werden nach Merkmalen wie "alle Schüler aus Berlin" oder "alle Schülerinnen im Alter von 13, die in Siegen wohnen, samt Bild und ihrer Schule".

SchülerVZ wurde von Zeit Online über das Leck informiert, eine direkte Antwort steht noch aus. Auf dem Blog des Unternehmens aber steht inzwischen: "Es handelt sich hierbei explizit nicht um Daten wie Postadressen, E-Mail-Adressen, Zugangsdaten, Telefonnummern und Fotoalben, sondern um für alle Community-Nutzer einsehbare Daten. Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen. Die VZ-Netzwerke haben die Datenschutzbehörden umgehend informiert und werden rechtliche Schritte gegen Unbekannt einleiten."
[von Kai Biermann, Zeit Online]

Der Eintrag legt nahe, dass jemand einen Account hatte und von diesem aus die Profilseiten anderer Nutzer ansurfte und dann kopierte. Bei der schieren Menge der aufgetauchten Daten ist das sehr unwahrscheinlich. Markus Beckedahl, der Netzpolitik-Blogger, der zuerst darüber berichtet und der Kontakt zu den Hackern hat, schreibt daher auch: "Hier wurden Scripte verwendet und eine sogenannte CSRF-Lücke genutzt ('Cross Site Request Forgery'). Wäre schön, wenn SchülerVZ das korrigieren könnte. Ich habe sie darauf hingewiesen."

Auf den Widerspruch zwischen der Datenmenge und der Äußerung von SchülerVZ hatte auch der Blogger Michael Friedrichs hingewiesen. "Wenn ein Nutzer öffentlich einsehbare Daten archiviert hat, ist das sicherlich nicht strafbar. Komisch ist dann allerdings, dass gegen dieses unbekannte Mitglied rechtliche Schritte eingeleitet wurden. Widerspricht sich das nicht?" Außerdem weist er auf den Fleiß des vermeintlichen Kopierers hin. "Immerhin tummeln sich auch SchülerVZ derzeit rund fünf Millionen Mitglieder. Der unbekannte Datensammler muss also ziemlich fleißig gewesen sein. Gar nicht auszudenken, wie oft der oder die Täter die CTRL+C-Taste gedrückt haben muss."

Es handelt sich daher wohl eher um ein automatisiertes Auslesen der Informationen, was in diesem Umfang auf keinen Fall möglich sein sollte.

Beckedahl berichtet auch von weiteren Lücken im Script der Seite. Inzwischen scheint es einen regen Austausch zwischen ihm und den Betreibern des Netzwerks gegeben zu haben. Immerhin bedanken sich Letztere bei Netzpolitik für die Zusammenarbeit: "Dank der Kooperation konnten die VZ-Netzwerke zudem sofort entsprechend reagieren und die Sicherheitsmaßnahmen verschärfen, in dem sie den Zugriff auf eine erhöhte Anzahl von Profilen in einem kurzen Zeitraum erheblich eingeschränkt haben." [von Kai Biermann, Zeit Online]

Nachtrag vom 17. Oktober 2009, um 12:51 Uhr:

Laut StudiVZ-Blog sind die Daten, "die ein schülerVZ-Nutzer illegal und entgegen der VZ-AGB kopiert hat" nicht in Umlauf gebracht und inzwischen komplett gelöscht worden. Nutzer sollen aufgrund verstärkter Sicherheitseinstellungen ab sofort keine große Anzahl von Profilen mehr innerhalb eines kurzen Zeitraums abrufen können. StudiVZ-Chef Markus Berger-de León dazu: "Wir möchten uns für die erfolgreiche Kooperation mit Netzpolitik.org und Herrn Beckedahl bei diesem wichtigen Thema ganz herzlich bedanken. Ich bin erleichtert zu wissen, dass die kopierten Informationen der Nutzerprofile nicht in die falschen Hände geraten sind." Beckedahl soll diese Liste aus der für die VZ-Netzwerke unbekannten Quelle als einzigem vorgelegen haben.


eye home zur Startseite
d3wd 08. Nov 2009

Wobei jetzt natürlich sowieso jeder Pädophile behaupten kann das er so an die "Daten...

l0ft1x 22. Okt 2009

Das die AGB nichts zu sagen haben ist dir klar? Wenn die AGB nicht dem deutschen Recht...

flobo79 20. Okt 2009

wie mind-fucked ist diese gesellschaft eigentlich. Ein Portal in dem jeder mit jedem in...

Raven 19. Okt 2009

Ich glaube nicht. Datenbanken sind vielleicht als Ganzes geschützt, ein (geringer) Teil...

nepumuk 19. Okt 2009

Ich musste mir den Posts deines Vorredners 3 mal durchlesen, bis ich genau verstanden...


Ich Blog Dich! / 27. Okt 2009

3x1t's Blog / 17. Okt 2009

sVZ Crawler

Datenleck.net / 16. Okt 2009

Automatisiertes Auslesen von Sch



Anzeige

Stellenmarkt
  1. ElringKlinger AG, Dettingen an der Erms
  2. ROHDE & SCHWARZ GmbH & Co. KG, München
  3. EOS GmbH Electro Optical Systems, Krailling bei München
  4. DATAGROUP Köln GmbH, Düsseldorf


Anzeige
Top-Angebote
  1. 219,00€
  2. 3,99€
  3. 7,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Classic Factory

    Elextra, der Elektro-Supersportwagen aus der Schweiz

  2. Docsis 3.1

    AVM arbeitet an 10-GBit/s-Kabelrouter

  3. Upspin

    Google-Angestellte basteln an globalem File-Sharing-System

  4. Apple Park

    Apple bezieht das Raumschiff

  5. Google Cloud Platform

    Tesla-Grafik für maschinelles Lernen verfügbar

  6. Ryzen

    AMDs Achtkern-CPUs sind schneller als erwartet

  7. Deutsche Glasfaser

    Gemeinde erreicht Glasfaser-Quote am letzten Tag

  8. Suchmaschine

    Google macht angepasste Site Search dicht

  9. Hawkspex mobile

    Diese App macht das Smartphone zum Spektrometer

  10. Asus Tinker Board im Test

    Buntes Lotterielos rechnet schnell



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig
  3. Surface Ergonomic Keyboard Microsofts Neuauflage der Mantarochen-Tastatur

Hyperloop-Challenge: Der Kompressor macht den Unterschied
Hyperloop-Challenge
Der Kompressor macht den Unterschied
  1. Arrivo Die neuen alten Hyperlooper
  2. SpaceX Die Bayern hyperloopen am schnellsten und weitesten
  3. Hyperloop HTT baut ein Forschungszentrum in Toulouse

Merkels NSA-Vernehmung: Die unerträgliche Uninformiertheit der Kanzlerin
Merkels NSA-Vernehmung
Die unerträgliche Uninformiertheit der Kanzlerin
  1. US-Präsident Zuck it, Trump!
  2. Begnadigung Danke, Chelsea Manning!
  3. Glasfaser Nun hängt die Kabel doch endlich auf!

  1. Re: bewerbungsfragen... mal zum self assessment. :-)

    amagol | 01:06

  2. Re: geschicktes Marketing

    ms (Golem.de) | 00:58

  3. Re: Warum der i3 ein Erfolg wird

    quasides | 00:58

  4. Re: 80% LTE Abdeckung

    Stepinsky | 00:56

  5. Re: CPU Befehlssätze

    ms (Golem.de) | 00:52


  1. 18:05

  2. 16:33

  3. 16:23

  4. 16:12

  5. 15:04

  6. 15:01

  7. 14:16

  8. 13:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel