Sonstiges

Auch private Daten waren bei SchülerVZ nicht sicher (2. Update)

schuelervz_studivz_meinvz_rgb Updates siehe unten! Glaubt man den Worten der VZ-Gruppe, so lässt sich ein ziemlich einfacher Schluss ziehen: SchülerVZ ist nicht sicher. Der jüngste Datenskandal ist noch nicht lange her: Vor rund einer Woche waren über 1,6 Millionen Datensätze von VZ-Mitgliedern aufgetaucht – irgendein Crawler-Depp hatte es geschafft, die Daten automatisiert auszulesen. Dann hatte er nichts Besseres zu tun, als ins Berliner VZ-Hauptquartier zu stiefeln und „Dies ist eine Erpressung!“ (oder Ähnliches) zu rufen. Doch anstatt der geforderten 80.000 Euro bekam er erst einmal einen Schnupperurlaub in der Untersuchungshaft.

VZ war bemüht gewesen, das Ganze herunterzuspielen und hier kommen wir auf die eigenen Worte zurück: „Ist das VZ überhaut noch sicher?“ fragt sich der Betreiber in den FAQs des Blogs, um dann selbst die Antwort zu geben: „Ja das VZ ist sicher. Der Täter konnte die Privatsphäre nicht überwinden, hatte nie Zugang zu unserer Datenbank. Er hat lediglich Daten gesehen, die jeder andere registrierte Nutzer auch sehen kann, das aber leider automatisiert.“ Das war sogar die Wahrheit, jedenfalls damals.

Denn nun ist abermals ein neues Datenleck aufgetaucht, insgesamt 180.000 Datensätze wurden Netzpolitik.org zugespielt. Darin enthalten: die ID-Nummern, Geburtsdaten und das Geschlecht von VZ-Mitgliedern. Das Heikle daran ist, dass diese Daten eindeutig nicht nur von öffentlichen Profilen stammen, sondern auch von solchen, die nur für Freunde freigegeben waren. Demnach wären die Tipps des VZ-Erklärbärs reiner Mumpitz und völlig sinnlos. Der Informant von Netzpolitik.org gab an, dass die Auswahl der geleechten Daten rein zufällig war:

Ihm ging es nur darum, die Sicherheitslücke zu dokumentieren. Daher die Konzentration auf Geburtsdatum und ID. Es war aber problemlos möglich, dazu noch von allen Schülern Schule, Wohnort, Beziehungsstatus, Foto und weitere Informationen zu ermitteln.

Netzpolitik.org konnte zudem an den Quellcode des Programms gelangen, das für das Sammeln der Daten eingesetzt wurde.

Mittlerweile wurden die Daten durch Stichproben verifiziert und danach dem Bundesverband Verbraucherzentrale übergeben. Dieser hat bereits mit einer Pressemitteilung reagiert und umgehend den Berliner Datenschutzbeauftragten informiert.

Es wird nicht ausgeschlossen, dass nicht nur SchülerVZ, sondern sämtliche VZ-Portale von der Sicherheitslücke betroffen sind. Mit dementsprechend harschen Töne wenden sich nun die Verbraucherschützer an die VZler: „Statt zu versprechen, dass ihre Daten gut aufgehoben sind, müssen die Anbieter die technisch höchste Sicherheit bieten – wenn nötig auch zu Lasten des Nutzerkomforts.“ Wenn Sicherheitsrisiken verschwiegen werden, hätten Schüler (oder ihre Eltern) keine Möglichkeit, eine gescheite Entscheidung zu treffen, inwieweit sie sich mit ihren persönlichen Daten im Portal aus dem Fenster lehnen können.

Die VZ-Netzwerke haben auf die Vorwürfe noch nicht reagiert. Ich rechne damit, dass in den kommenden Stunden jedoch einiges im offiziellen Blog zu lesen sein wird.

1. Update, 10.14 Uhr

Netzpolitik.org hat gerade ein Update veröffentlicht. Demnach hat sich mittlerweile die VZ-Gruppe zu Wort gemeldet: Nach eigenen Angaben sei die angesprochene Lücke Ende Juli geschlossen worden. Die Liste mit den 180.000 Datensätzen wurde einen Monat vorher erstellt: „Das ändert aber nichts an der Geschichte, dass bis dahin auch privat gestellte Daten massenhaft aus der Plattform gesaugt werden konnten“, so das Blog. Ich habe gerade eine schriftliche Anfrage bei den VZ-Netzwerken gestellt, damit wir ein wenig Licht in die Sache bekommen. Ich rechne auch damit, dass sich die Verbraucherzentrale in Kürze melden wird. Mittlerweile ist auch die dpa auf das Thema angesprungen.

2. Update, 13.00 Uhr

Die VZ-Stellungnahme ist da. Im gleichen Wortlaut ist sie nun auch im Blog zu finden. Der Betreiber wird künftig die Suche nach Alter und Geschlecht deaktivieren, zudem werden in den kommenden Stunden sämtliche Mitglieder-IDs ausgetauscht:

Der Verbraucherzentrale Bundesverband (vzbv) hat heute in einer Pressemitteilung bekannt gegeben, dass ihm Datensätze aus schülerVZ zugespielt worden sind. Wie der Verband mitteilte, seien personenbezogene Daten auch solcher Nutzer enthalten, die ihre Daten nur für Freunde sichtbar eingestellt haben.

Dieser Datensatz liegt uns inzwischen vor und wurde bereits überprüft. Es handelt sich hierbei um einen älteren Datensatz mit Informationen zu Geburtsdaten und Geschlecht. Die Sicherheitslücke, die das Abrufen dieser Information möglich machte, wurde bereits Ende Juli 2009 behoben. Zudem stehen wir in einem engen Kontakt und Austausch mit dem vzbv und dem Berliner Datenschutzbeauftragten.

Darüber hinaus haben wir bei einer internen Prüfung festgestellt, dass die Einstellmöglichkeiten bzgl. der Suchbarkeit nach Geburtsdaten missverstanden werden können. Diese missverständlichen Einstellmöglichkeiten werden wir im Laufe des Tages beheben. Zusätzlich werden wir auch die Suche nach Geburtsdatum und Alter komplett deaktivieren.

Im Zuge einer weiteren Verschärfung unserer Sicherheitsmaßnahmen werden wir auch in den nächsten 24 Stunden die Nutzer IDs neu setzen. Hierdurch kann es zu temporären Einschränkungen für unsere Nutzer kommen.

(André Vatter)

Über den Autor

André Vatter

André Vatter ist Journalist, Blogger und Social Median aus Hamburg. Er hat von 2009 bis 2010 über 1.000 Artikel für BASIC thinking geschrieben.

18 Kommentare

  • Es ist das gleiche Spiel wie damals mit Ehssan Dariani, es ist eigentlich gar nichts passiert und der Rede nicht Wert aber man denkt das man darüber berichten muss. Und genau das ist die Strategie der VZler, kostenlose PR. Und alle fallen drauf rein!

  • @schnucki:
    kostenlose PR?! Dann ist das aber keine positive PR! Ich überlege wirklich mich im VZ zu löschen. Bei der großen Auswahl an weiteren Social Networks, fällt es einem nicht umbedingt schwer sich von einem „kränkelnden“ mit Datenmissbrauchen versehenem System zu verabschieden.

  • Lese Basicthinking wirklich gern, aber bitte auf die Sprache aufpassen „VZ war bemüht gewesen“ ist leider die falsche Zeit (auch wenn der Berliner das so sagt).

  • Ich weiß nicht, ob der Satz „Bad news are good news“ auch hier gilt, wenn ich permanent aus meinem Freundeskreis höre: „ab morgen nur noch im Facebook!“ Auch ich selbst hab meine Aktivität bei studi deutlich zurückgefahren, das Profil minimiert und vielen Infos rausgenommen…Auch die Lösch-Überlegungen sind da.

    Aber mal eine andere Frage: was ist eigentlich das konkret Schlimme an Datenklau? Früher wars klar, warum Daten vor unbefugtem Zugriff geschützt werden müßen: Kinderschänder könnten sich sonst die Daten auslesen und so weiter. Halt so die Kindheitsgeschichten, die wohl jeder kennt.

    Aber der massenhafte Datenklau, sagen wir mal ohne Anschrift und Telefonnummer, weil das eh kaum jemand nennt, schadet dem Nutzer ja an sich nicht…Er ist dann nicht erreichbar für werbende Unternehmen. Wenn die Crawler die e-Mail-Addy auslesen könnten – ok. Aber so? Was meint ihr?

  • na ja, ich weiß ja nicht, ob viele deswegen jetzt bei SchülerVZ unbedingt einen Account erstellen möchten 😛

  • Na man muss ja nicht alle Daten ins internet (VZ oder facebook) stellen… einfach mal seinen Darstellungsdrang etwas zurück fahren und die Plattformen nur noch als Kommunikationsmittel nutzen.

    Und facebook is vielleicht schicker und vielfältiger… aber deren Datenschutzbetimmungen sind nicht mit denen hier in Deutschland zu vergleichen.
    Die bei VZ machen sich schon nen Kopp um Datensicherheit, alleine aus eigenem Interesse! Und es muss auch ne echte Herausforderung sein eine populäre Seite wie Schüler/Studi VZ vor den ganzen abertausend Skript-Kiddies zu schützen 😉

    also, einfach nur die Daten und Infos preisgeben die man auch sonst publik machen würde. dann gibts auch kein geheule

  • @weau
    keine Ahnung wie das geht. Ist aber nicht unwahrscheinlich, dass diejenigen die die Captchas überwunden haben selber noch (reguläre) Nutzer von SchülerVZ sind, meinst Du nicht?

    Ich glaube VZ-Netzwerke sind einfach ein grosses fettes und sehr beliebtes Ziel für solche „Angriffe“.

  • Ich glaube das S-VZ nocht das sicherste Netzwerk ist. Um genau zu sein glaube ich das es allgemein keine Sicheren Neztwerke gibt, da jedes Netzwerk irgendwie geknackt werden kann. Daran werden auch die zukünftigen updates nichts ändern.