SchülerVZ - Wirbel um Datensätze (Update)

Nicht ohne Grund ist das soziale Netzwerk SchülerVZ - das wie Zeit Online [und Golem.de, Anmk. d. Red.] zur Mediengruppe Holtzbrinck gehört - nur denen zugänglich, die darüber kommunizieren sollen: Schülern zwischen 12 und 18 Jahren. Erwachsene haben keinen Zutritt, und den Betreibern ist wohl bewusst, dass Datenschutz für sie höchste Priorität hat. Immerhin soll SchülerVZ laut Eigenwerbung "ein sicheres Umfeld" bieten.

Doch im Internet ist nichts wirklich sicher. Hackern ist es offenbar gelungen, zumindest Teile der Datenbanken mit Profilinformationen von fast einem Viertel der Nutzer auszulesen. Diese Daten sind nur für Mitglieder des Netzwerkes sichtbar. Dem Blog Netzpolitik liegt ein Teil dieser kopierten Daten vor. Insgesamt treffen sich fünf Millionen minderjährige Schüler in dem sozialen Netzwerk.

Die Quelle der gehackten Daten ist anonym. Doch die Listen, die auch Zeit Online in Auszügen vorliegen, sind detailliert. Der Datensatz von mehr als einer Million Nutzern soll laut Netzpolitik Profil-ID, Name und dazugehörige Schule samt ID enthalten. Ein zweiter, kleinerer Datensatz soll noch detailliertere Informationen wie Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild umfassen, wobei auch der Link zu dem Bild dazugehören soll.

Damit könnten die Listen beispielsweise sortiert werden nach Merkmalen wie "alle Schüler aus Berlin" oder "alle Schülerinnen im Alter von 13, die in Siegen wohnen, samt Bild und ihrer Schule".

SchülerVZ wurde von Zeit Online über das Leck informiert, eine direkte Antwort steht noch aus. Auf dem Blog des Unternehmens aber steht inzwischen: "Es handelt sich hierbei explizit nicht um Daten wie Postadressen, E-Mail-Adressen, Zugangsdaten, Telefonnummern und Fotoalben, sondern um für alle Community-Nutzer einsehbare Daten. Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen. Die VZ-Netzwerke haben die Datenschutzbehörden umgehend informiert und werden rechtliche Schritte gegen Unbekannt einleiten."
[von Kai Biermann, Zeit Online]

Der Eintrag legt nahe, dass jemand einen Account hatte und von diesem aus die Profilseiten anderer Nutzer ansurfte und dann kopierte. Bei der schieren Menge der aufgetauchten Daten ist das sehr unwahrscheinlich. Markus Beckedahl, der Netzpolitik-Blogger, der zuerst darüber berichtet und der Kontakt zu den Hackern hat, schreibt daher auch: "Hier wurden Scripte verwendet und eine sogenannte CSRF-Lücke genutzt ('Cross Site Request Forgery'). Wäre schön, wenn SchülerVZ das korrigieren könnte. Ich habe sie darauf hingewiesen."

Auf den Widerspruch zwischen der Datenmenge und der Äußerung von SchülerVZ hatte auch der Blogger Michael Friedrichs hingewiesen. "Wenn ein Nutzer öffentlich einsehbare Daten archiviert hat, ist das sicherlich nicht strafbar. Komisch ist dann allerdings, dass gegen dieses unbekannte Mitglied rechtliche Schritte eingeleitet wurden. Widerspricht sich das nicht?" Außerdem weist er auf den Fleiß des vermeintlichen Kopierers hin. "Immerhin tummeln sich auch SchülerVZ derzeit rund fünf Millionen Mitglieder. Der unbekannte Datensammler muss also ziemlich fleißig gewesen sein. Gar nicht auszudenken, wie oft der oder die Täter die CTRL+C-Taste gedrückt haben muss."

Es handelt sich daher wohl eher um ein automatisiertes Auslesen der Informationen, was in diesem Umfang auf keinen Fall möglich sein sollte.

Beckedahl berichtet auch von weiteren Lücken im Script der Seite. Inzwischen scheint es einen regen Austausch zwischen ihm und den Betreibern des Netzwerks gegeben zu haben. Immerhin bedanken sich Letztere bei Netzpolitik für die Zusammenarbeit: "Dank der Kooperation konnten die VZ-Netzwerke zudem sofort entsprechend reagieren und die Sicherheitsmaßnahmen verschärfen, in dem sie den Zugriff auf eine erhöhte Anzahl von Profilen in einem kurzen Zeitraum erheblich eingeschränkt haben." [von Kai Biermann, Zeit Online]

Nachtrag vom 17. Oktober 2009, um 12:51 Uhr:

Laut StudiVZ-Blog sind die Daten, "die ein schülerVZ-Nutzer illegal und entgegen der VZ-AGB kopiert hat" nicht in Umlauf gebracht und inzwischen komplett gelöscht worden. Nutzer sollen aufgrund verstärkter Sicherheitseinstellungen ab sofort keine große Anzahl von Profilen mehr innerhalb eines kurzen Zeitraums abrufen können. StudiVZ-Chef Markus Berger-de León dazu: "Wir möchten uns für die erfolgreiche Kooperation mit Netzpolitik.org und Herrn Beckedahl bei diesem wichtigen Thema ganz herzlich bedanken. Ich bin erleichtert zu wissen, dass die kopierten Informationen der Nutzerprofile nicht in die falschen Hände geraten sind." Beckedahl soll diese Liste aus der für die VZ-Netzwerke unbekannten Quelle als einzigem vorgelegen haben.