Updates siehe unten! Glaubt man den Worten der VZ-Gruppe, so lässt sich ein ziemlich einfacher Schluss ziehen: SchülerVZ ist nicht sicher. Der jüngste Datenskandal ist noch nicht lange her: Vor rund einer Woche waren über 1,6 Millionen Datensätze von VZ-Mitgliedern aufgetaucht – irgendein Crawler-Depp hatte es geschafft, die Daten automatisiert auszulesen. Dann hatte er nichts Besseres zu tun, als ins Berliner VZ-Hauptquartier zu stiefeln und „Dies ist eine Erpressung!“ (oder Ähnliches) zu rufen. Doch anstatt der geforderten 80.000 Euro bekam er erst einmal einen Schnupperurlaub in der Untersuchungshaft.
VZ war bemüht gewesen, das Ganze herunterzuspielen und hier kommen wir auf die eigenen Worte zurück: „Ist das VZ überhaut noch sicher?“ fragt sich der Betreiber in den FAQs des Blogs, um dann selbst die Antwort zu geben: „Ja das VZ ist sicher. Der Täter konnte die Privatsphäre nicht überwinden, hatte nie Zugang zu unserer Datenbank. Er hat lediglich Daten gesehen, die jeder andere registrierte Nutzer auch sehen kann, das aber leider automatisiert.“ Das war sogar die Wahrheit, jedenfalls damals.
Denn nun ist abermals ein neues Datenleck aufgetaucht, insgesamt 180.000 Datensätze wurden Netzpolitik.org zugespielt. Darin enthalten: die ID-Nummern, Geburtsdaten und das Geschlecht von VZ-Mitgliedern. Das Heikle daran ist, dass diese Daten eindeutig nicht nur von öffentlichen Profilen stammen, sondern auch von solchen, die nur für Freunde freigegeben waren. Demnach wären die Tipps des VZ-Erklärbärs reiner Mumpitz und völlig sinnlos. Der Informant von Netzpolitik.org gab an, dass die Auswahl der geleechten Daten rein zufällig war:
Ihm ging es nur darum, die Sicherheitslücke zu dokumentieren. Daher die Konzentration auf Geburtsdatum und ID. Es war aber problemlos möglich, dazu noch von allen Schülern Schule, Wohnort, Beziehungsstatus, Foto und weitere Informationen zu ermitteln.
Netzpolitik.org konnte zudem an den Quellcode des Programms gelangen, das für das Sammeln der Daten eingesetzt wurde.
Mittlerweile wurden die Daten durch Stichproben verifiziert und danach dem Bundesverband Verbraucherzentrale übergeben. Dieser hat bereits mit einer Pressemitteilung reagiert und umgehend den Berliner Datenschutzbeauftragten informiert.
Es wird nicht ausgeschlossen, dass nicht nur SchülerVZ, sondern sämtliche VZ-Portale von der Sicherheitslücke betroffen sind. Mit dementsprechend harschen Töne wenden sich nun die Verbraucherschützer an die VZler: „Statt zu versprechen, dass ihre Daten gut aufgehoben sind, müssen die Anbieter die technisch höchste Sicherheit bieten – wenn nötig auch zu Lasten des Nutzerkomforts.“ Wenn Sicherheitsrisiken verschwiegen werden, hätten Schüler (oder ihre Eltern) keine Möglichkeit, eine gescheite Entscheidung zu treffen, inwieweit sie sich mit ihren persönlichen Daten im Portal aus dem Fenster lehnen können.
Die VZ-Netzwerke haben auf die Vorwürfe noch nicht reagiert. Ich rechne damit, dass in den kommenden Stunden jedoch einiges im offiziellen Blog zu lesen sein wird.
1. Update, 10.14 Uhr
Netzpolitik.org hat gerade ein Update veröffentlicht. Demnach hat sich mittlerweile die VZ-Gruppe zu Wort gemeldet: Nach eigenen Angaben sei die angesprochene Lücke Ende Juli geschlossen worden. Die Liste mit den 180.000 Datensätzen wurde einen Monat vorher erstellt: „Das ändert aber nichts an der Geschichte, dass bis dahin auch privat gestellte Daten massenhaft aus der Plattform gesaugt werden konnten“, so das Blog. Ich habe gerade eine schriftliche Anfrage bei den VZ-Netzwerken gestellt, damit wir ein wenig Licht in die Sache bekommen. Ich rechne auch damit, dass sich die Verbraucherzentrale in Kürze melden wird. Mittlerweile ist auch die dpa auf das Thema angesprungen.
2. Update, 13.00 Uhr
Die VZ-Stellungnahme ist da. Im gleichen Wortlaut ist sie nun auch im Blog zu finden. Der Betreiber wird künftig die Suche nach Alter und Geschlecht deaktivieren, zudem werden in den kommenden Stunden sämtliche Mitglieder-IDs ausgetauscht:
Der Verbraucherzentrale Bundesverband (vzbv) hat heute in einer Pressemitteilung bekannt gegeben, dass ihm Datensätze aus schülerVZ zugespielt worden sind. Wie der Verband mitteilte, seien personenbezogene Daten auch solcher Nutzer enthalten, die ihre Daten nur für Freunde sichtbar eingestellt haben.
Dieser Datensatz liegt uns inzwischen vor und wurde bereits überprüft. Es handelt sich hierbei um einen älteren Datensatz mit Informationen zu Geburtsdaten und Geschlecht. Die Sicherheitslücke, die das Abrufen dieser Information möglich machte, wurde bereits Ende Juli 2009 behoben. Zudem stehen wir in einem engen Kontakt und Austausch mit dem vzbv und dem Berliner Datenschutzbeauftragten.
Darüber hinaus haben wir bei einer internen Prüfung festgestellt, dass die Einstellmöglichkeiten bzgl. der Suchbarkeit nach Geburtsdaten missverstanden werden können. Diese missverständlichen Einstellmöglichkeiten werden wir im Laufe des Tages beheben. Zusätzlich werden wir auch die Suche nach Geburtsdatum und Alter komplett deaktivieren.
Im Zuge einer weiteren Verschärfung unserer Sicherheitsmaßnahmen werden wir auch in den nächsten 24 Stunden die Nutzer IDs neu setzen. Hierdurch kann es zu temporären Einschränkungen für unsere Nutzer kommen.
(André Vatter)
