SchülerVZ - Wirbel um Datensätze (Update)

Keine Adressen, aber Name, Geschlecht, Alter, Schule und Profilbild

Das Netzwerk SchülerVZ will eine sichere Umgebung für Minderjährige sein. Dort haben Hacker wohl Daten in erheblichem Umfang kopiert, die sonst nur Mitglieder einsehen können.

Artikel veröffentlicht am ,

Nicht ohne Grund ist das soziale Netzwerk SchülerVZ - das wie Zeit Online [und Golem.de, Anmk. d. Red.] zur Mediengruppe Holtzbrinck gehört - nur denen zugänglich, die darüber kommunizieren sollen: Schülern zwischen 12 und 18 Jahren. Erwachsene haben keinen Zutritt, und den Betreibern ist wohl bewusst, dass Datenschutz für sie höchste Priorität hat. Immerhin soll SchülerVZ laut Eigenwerbung "ein sicheres Umfeld" bieten.

 

Stellenmarkt
  1. IT Consultant (w/m/d) Microsoft 365
    Bechtle GmbH, Hamburg
  2. Linux Systemadministrator / Linux Techniker (m/w/d)
    Computer Manufaktur GmbH, Berlin
Detailsuche

Doch im Internet ist nichts wirklich sicher. Hackern ist es offenbar gelungen, zumindest Teile der Datenbanken mit Profilinformationen von fast einem Viertel der Nutzer auszulesen. Diese Daten sind nur für Mitglieder des Netzwerkes sichtbar. Dem Blog Netzpolitik liegt ein Teil dieser kopierten Daten vor. Insgesamt treffen sich fünf Millionen minderjährige Schüler in dem sozialen Netzwerk.

Die Quelle der gehackten Daten ist anonym. Doch die Listen, die auch Zeit Online in Auszügen vorliegen, sind detailliert. Der Datensatz von mehr als einer Million Nutzern soll laut Netzpolitik Profil-ID, Name und dazugehörige Schule samt ID enthalten. Ein zweiter, kleinerer Datensatz soll noch detailliertere Informationen wie Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild umfassen, wobei auch der Link zu dem Bild dazugehören soll.

Damit könnten die Listen beispielsweise sortiert werden nach Merkmalen wie "alle Schüler aus Berlin" oder "alle Schülerinnen im Alter von 13, die in Siegen wohnen, samt Bild und ihrer Schule".

Golem Akademie
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
  2. Microsoft Dynamics 365 Guides mit HoloLens 2: virtueller Ein-Tages-Workshop
    16. Februar 2022, Virtuell
Weitere IT-Trainings

SchülerVZ wurde von Zeit Online über das Leck informiert, eine direkte Antwort steht noch aus. Auf dem Blog des Unternehmens aber steht inzwischen: "Es handelt sich hierbei explizit nicht um Daten wie Postadressen, E-Mail-Adressen, Zugangsdaten, Telefonnummern und Fotoalben, sondern um für alle Community-Nutzer einsehbare Daten. Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen. Die VZ-Netzwerke haben die Datenschutzbehörden umgehend informiert und werden rechtliche Schritte gegen Unbekannt einleiten."
[von Kai Biermann, Zeit Online]

Der Eintrag legt nahe, dass jemand einen Account hatte und von diesem aus die Profilseiten anderer Nutzer ansurfte und dann kopierte. Bei der schieren Menge der aufgetauchten Daten ist das sehr unwahrscheinlich. Markus Beckedahl, der Netzpolitik-Blogger, der zuerst darüber berichtet und der Kontakt zu den Hackern hat, schreibt daher auch: "Hier wurden Scripte verwendet und eine sogenannte CSRF-Lücke genutzt ('Cross Site Request Forgery'). Wäre schön, wenn SchülerVZ das korrigieren könnte. Ich habe sie darauf hingewiesen."

Auf den Widerspruch zwischen der Datenmenge und der Äußerung von SchülerVZ hatte auch der Blogger Michael Friedrichs hingewiesen. "Wenn ein Nutzer öffentlich einsehbare Daten archiviert hat, ist das sicherlich nicht strafbar. Komisch ist dann allerdings, dass gegen dieses unbekannte Mitglied rechtliche Schritte eingeleitet wurden. Widerspricht sich das nicht?" Außerdem weist er auf den Fleiß des vermeintlichen Kopierers hin. "Immerhin tummeln sich auch SchülerVZ derzeit rund fünf Millionen Mitglieder. Der unbekannte Datensammler muss also ziemlich fleißig gewesen sein. Gar nicht auszudenken, wie oft der oder die Täter die CTRL+C-Taste gedrückt haben muss."

Es handelt sich daher wohl eher um ein automatisiertes Auslesen der Informationen, was in diesem Umfang auf keinen Fall möglich sein sollte.

Beckedahl berichtet auch von weiteren Lücken im Script der Seite. Inzwischen scheint es einen regen Austausch zwischen ihm und den Betreibern des Netzwerks gegeben zu haben. Immerhin bedanken sich Letztere bei Netzpolitik für die Zusammenarbeit: "Dank der Kooperation konnten die VZ-Netzwerke zudem sofort entsprechend reagieren und die Sicherheitsmaßnahmen verschärfen, in dem sie den Zugriff auf eine erhöhte Anzahl von Profilen in einem kurzen Zeitraum erheblich eingeschränkt haben." [von Kai Biermann, Zeit Online]

Nachtrag vom 17. Oktober 2009, um 12:51 Uhr:

Laut StudiVZ-Blog sind die Daten, "die ein schülerVZ-Nutzer illegal und entgegen der VZ-AGB kopiert hat" nicht in Umlauf gebracht und inzwischen komplett gelöscht worden. Nutzer sollen aufgrund verstärkter Sicherheitseinstellungen ab sofort keine große Anzahl von Profilen mehr innerhalb eines kurzen Zeitraums abrufen können. StudiVZ-Chef Markus Berger-de León dazu: "Wir möchten uns für die erfolgreiche Kooperation mit Netzpolitik.org und Herrn Beckedahl bei diesem wichtigen Thema ganz herzlich bedanken. Ich bin erleichtert zu wissen, dass die kopierten Informationen der Nutzerprofile nicht in die falschen Hände geraten sind." Beckedahl soll diese Liste aus der für die VZ-Netzwerke unbekannten Quelle als einzigem vorgelegen haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


d3wd 08. Nov 2009

Wobei jetzt natürlich sowieso jeder Pädophile behaupten kann das er so an die "Daten...

l0ft1x 22. Okt 2009

Das die AGB nichts zu sagen haben ist dir klar? Wenn die AGB nicht dem deutschen Recht...

flobo79 20. Okt 2009

wie mind-fucked ist diese gesellschaft eigentlich. Ein Portal in dem jeder mit jedem in...

Raven 19. Okt 2009

Ich glaube nicht. Datenbanken sind vielleicht als Ganzes geschützt, ein (geringer) Teil...

nepumuk 19. Okt 2009

Ich musste mir den Posts deines Vorredners 3 mal durchlesen, bis ich genau verstanden...



Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation
Ist eine scheinexistente Behörde für Wikipedia relevant?

Die IT-Sicherheitsexpertin Lilith Wittmann hat eine dubiose Bundesbehörde ohne Budget entdeckt. Reicht das für einen Wikipedia-Artikel?

Bundesservice Telekommunikation: Ist eine scheinexistente Behörde für Wikipedia relevant?
Artikel
  1. Elektroauto: VW e-Up ab Mitte Februar wieder bestellbar
    Elektroauto
    VW e-Up ab Mitte Februar wieder bestellbar

    Der e-Up gehörte 2021 zu den meistgekauften Elektroautos. Nun will VW den Kleinwagen wieder verfügbar machen.

  2. Bitcoin, Ethereum: Was steuerlich bei Kryptowährungen gilt
    Bitcoin, Ethereum
    Was steuerlich bei Kryptowährungen gilt

    Kryptowährungen wie Bitcoin sind unter Anlegern beliebt - doch wie muss man die Gewinne eigentlich versteuern?

  3. Neues Geschäftsmodell: Luca-App plant flexible Abos und will Preise senken
    Neues Geschäftsmodell
    Luca-App plant flexible Abos und will Preise senken

    Angesichts drohender Kündigungen will die Luca-App den Bundesländern entgegenkommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional zu Bestpreisen • WSV bei MediaMarkt • Asus Vivobook Flip 14" 8GB 512GB SSD 567€ • Philips OLED 65" Ambilight 1.699€ • RX 6900 16GB 1.489€ • Samsung QLED-TVs günstiger • Asus Gaming-Notebook 17“ R9 RTX3060 1.599€ • Seagate 20TB SATA HDD [Werbung]
    •  /