Crawling: SchülerVZ: Privatsphäre erneut verletzt
Aktualisiert

CrawlingSchülerVZ: Privatsphäre erneut verletzt

Dem Blog netzpolitik.org ist eine Liste mit rund 1,6 Millionen Datensätzen von Mitgliedern der Community zugespielt worden. Das weckt Erinnerungen an den Herbst 2009.

von
hst
schülerVZ: Daten von 1,6 Millionen Nutzern abgegriffen.

schülerVZ: Daten von 1,6 Millionen Nutzern abgegriffen.

Ein Datensatz beinhaltet die Kennung der Schule, den Namen sowie das Profilbild des jeweiligen schülerVZ-Nutzers. Bei Mitgliedern, die in ihren Einstellungen nicht die Option «privat» gewählt haben, sind weitere Daten auslesbar beispielsweise Hobbys und politische Einstellung. Strankowski sagte netzpolitik.org: «Die Motivation bestand darin, nach den zig Interviews und Statements von Seiten VZ zu zeigen, dass im Endeffekt nichts unternommen worden ist, um die Daten der Nutzer effektiv zu schützen. Auch wollte ich aufzeigen, dass der TÜV in diesem Fall ein Zertifikat ausgestellt hat, das zwar schön aussieht, aber im Endeffekt etwas bestätigt, was so nicht der Fall ist. Die Daten der Nutzer waren nie sicher und sind derzeit nicht sicher vor Crawlern.»

Nach eigenen Angaben hat der Student von der Leuphana-Universität Lüneburg in den vergangenen Wochen die VZ-Gruppe mit zwei Mails auf Sicherheitslücken hingewiesen und seine Hilfe angeboten. Auf beide Mails hätte er keine Reaktion erhalten. SchülerVZ-Sprecher Dirk Hensen wird von spiegel.de so zitiert: Ein Nutzer hat für alle schülerVZ-Mitglieder einsehbare Profilinformationen im eingeloggten Zustand kopiert. Es handelt sich explizit nicht um ein Datenleck. Nach unserem Kenntnisstand hat der Nutzer, ein junger Wissenschaftler, Hunderte von künstlichen E-Mail-Accounts verwendet, um den Kopierschutz von öffentlichen Daten zu umgehen. Das sei sogenanntes «Crawling» und «in etwa vergleichbar mit dem Kopieren von Daten aus dem Telefonbuch». Bisher liege schülerVZ nur ein sehr kleiner Auszug der Daten vor. Aus diesen Daten gehe «nicht hervor, dass es sich um private Nutzerdaten handelt».

Erinnerungen an den Herbst 2009

Im Oktober 2009 hatte schülerVZ ähnliche Schlagzeilen gemacht: Viele Tausend junge Nutzer des Online-Forums waren Opfer eines grossangelegten Datenmissbrauchs geworden. Ein Datenkopierer hat Schülerdaten - darunter Angaben zu Namen, Schulen, Geschlecht und Alter sowie Profilfotos - kopiert. Damals waren netzpolitik.org rund eine Million Datensätze zugespielt worden.

Markus Beckedahl, Macher von netzpolitik.org kommentiert: «Eine von schülerVZ nach den Datenlecks getroffene Massnahme war die Begrenzung der Profilabrufe. Dies sorgt aber nur gefühlt für mehr Sicherheit, da man gleichzeitig von zahlreichen Accounts parallel Profile abrufen kann, um die Inhalte in einer gemeinsamen Datenbank zu speichern. Im Herbst hat man auch reCaptchas eingeführt, um ein massenhaftes maschinelles Auslesen extrem zu erschweren. Diese reCaptchas hat man aber wieder rausgenommen, vermutlich weil sich viele Nutzer dadurch gestört fühlten. Eine weitere Massnahme war ein besserer Schutz bei Suchabfragen.»

Vierter Fall binnen einiger Monate

Die ihm zugeschickten Daten seien aber über eine andere Methode gesammelt worden: «Die meisten Nutzer sind in Gruppen angemeldet. Man kann Basisinformationen von Profilen über eine Gruppenmitgliedschaft abrufen, auch wenn die Profile auf privat gestellt sind. Die Basisinformationen enthalten Name, Schule, Schul-ID-Nummer und Link zum Bild. Nachdem diese Methode (nahezu) ausgereizt war, wurden dann weitere Profilen per Freundesliste mit einem zweiten Crawler abgegrast.» Das sei mittlerweile der vierte ihm bekannte Fall von massenhaftem Auslesen von Schüler-Daten bei schülerVZ innerhalb der vergangenen Monate. Man könne davon ausgehen, dass diese vier Fälle nur die Spitze des Eisberges sind und zahlreiche Datenbanken mit diesen sensiblen Daten existieren könnten.

Die VZ-Gruppe ist nach eigenen Angaben in Deutschland Marktführer bei sozialen Netzwerken und kommt auf rund 15 Millionen Nutzer (6 Millionen bei studiVZ, 5,5 Millionen Schüler im schülerVZ, 4 Millionen Nutzer bei meinVZ). VZ-Netzwerke-Geschäftsführer Clemens Riedl bedankte sich laut spiegel.de bei Florian Strankowski dafür, «dass er uns auf das Defizit aufmerksam gemacht hat». Entscheidend sei, dass es sich hierbei weder um ein Datenleck noch einen Angriff auf firmeneigene Server handelt, sondern vielmehr um einen Verstoss gegen die Allgemeinen Geschäftsbedingungen. Der Kopierschutz von öffentlich zugänglichen Daten werde immer ein Katz-und-Maus-Spiel bleiben. Man habe aber Massnahmen ergriffen und den Sicherheitsstandard auf diesen Aspekt hin optimiert.

Nichts verpassen

Das Ressort Digital ist auch auf Twitter vertreten. Folgen Sie uns und entdecken Sie neben unseren Tweets die interessantesten Tech-News anderer Websites.

Deine Meinung