Über eine Millionen Datensätze von SchülerVZ kopiert

Von Michel am 16. Oktober 2009 um 20:47

Mit einem Bot wurden über eine Millionen öffentliche Datensätze von SchülerVZ Nutzer kopiert, berichtet Netzpolitik.org:

Aus anonymer Quelle wurden uns Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein Datensatz umfasst mehr als eine Million Datensätze mit den Feldern Profil-ID, Name und dazugehörige Schule samt ID. Ein kleinerer Datensatz zeigt detailliertere Informationen mit den Feldern Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild (Plus dazu gehörigem Link auf Bild) an.

Auch der Redaktion von VZlog wurden, wie offenbar auch einigen Zeitungen, Teile dieser Datensätze zugesandt. Wir haben die entsprechenden Dateien auf unserem Server umgehend sicher gelöscht.

Im offiziellen Blog von VZnet steht dazu:

Wir haben am heutigen Nachmittag Kenntnis über folgenden Vorgang erhalten: Ein schülerVZ-Nutzer hat eine Vielzahl von Profilen aufgerufen und Kopien einzelner der für alle schülerVZ-Nutzer sichtbaren Daten angelegt: Name, Schule, Geschlecht, Alter, Profilfoto.

Es handelt sich hierbei explizit nicht um Daten wie Postadressen, Email Adressen, Zugangsdaten, Telefonnummern und Fotoalben, sondern um für alle Community-Nutzer einsehbare Daten.

Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen.

Die VZ-Netzwerke haben die Datenschutzbehörden umgehend informiert und werden rechtliche Schritte gegen Unbekannt einleiten.

Es sind verschiedene Methoden vorstellbar, wie die Daten ausgelesen wurden, von denen zwei besonders Wahrscheinlich sind:

  1. Das ist die “offizielle” Variante: Eine Software (Bot) ist von Profil zu Profil gegangen und hat die Daten gespeichert.
  2. Eine mit einer “Hintertür” versehene Erweiterung von SchülerVZ über UserScripts (von deren Benutzung VZnet abrät) hat alle von den Nutzern des Scripts aufgerufenen Profile an irgendeinen Server geschickt.

Bei Netzpolitik wird auch von weiteren Sicherheitslücken berichtet, die Zeigen: VZnet ein Problem damit, Hinweiße auf Sicherheitslücken zu finden:

Der vor einer Woche eingeschickte Warnhinweis bezüglich der XSS-Lücke zum übernehmen von Profilen wurde nach dem heutigen Hinweis von mir mittlerweile auch gefunden. Das sollte in Zukunft schneller gehen.

Update: VZnet hat weitere Informationen auf Fragen zu den kopierten Datensätzen veröffentlicht:

1.) Handelt es sich hierbei um ein Datenleck?

Nein. Der Datenkopierer ist registrierter Nutzer bei schülerVZ. Daten wurden demnach niemanden zugänglich gemacht, der hierzu nicht berechtigt war und niemand hat sich Zugriff zu Daten verschafft, zu denen er keinen Zugang haben sollte. Das Kopieren der Daten ist jedoch illegal und gleichzeitig ein schwerer Verstoß gegen unsere AGB.

2.) Ist es tatsächlich möglich, dass ein einzelner Nutzer eine große Anzahl von Daten ausgelesen hat?

Ja, das kann im Grunde jeder machen, wenn er ausreichend Zeit hat, indem er sich die Profile Seite für Seite ansieht und dann kopiert. Das ist quasi das Gleiche, als wenn jemand das Telefonbuch Seite für Seite durchblättert und digital erfasst.

3.) Was sind die Folgen für die Nutzer?

Da keinerlei persönliche Kontaktdaten betroffen sind, sondern nur Daten, die im SchülerVZ öffentlich – d.h. für jeden angemeldeten Nutzer – einsehbar sind, wird es keinerlei negative Folgen für unsere Nutzer geben.

4.) Welche Maßnahmen werden eingeleitet, damit so etwas zukünftig nicht passieren kann.?

Wir haben den Zugriff auf eine erhöhte Anzahl von Profilen in einem kurzen Zeitraum sofort eingeschränkt. Bitte haben Sie Verständnis, dass wir hier nicht näher ins Detail gehen können.

Tweet this | Zeig das deinen Freunden im StudiVZ, SchülerVZ oder MeinVZ


Trackbacks & Pingbacks

Kommentare
Kommentar von maxbuttlies
am 16. Oktober 2009

Bei Möglich keit zwei habt ihr aber noch JD’s Variante vergessen. Oder nicht explizit erwähnt. Die mobile Version und ihre ” Sicherheit”, ihr wisst schon was ich meine.

Kommentar von Shin Davis
am 17. Oktober 2009

es kann aber auch sein, dass derjenige dann die daten an jemandem weitergegeben hat, der nich dazu befugt ist die profile anzuschauen…
es kann alles in der heutigen zeit geschehen!

Einen Kommentar hinterlassen

Durch das Absenden des Kommentars erklärst du dich mit unseren Kommentarrichtlinen einverstanden

Neu in Meldungen

Neue Pinnwandbilder zum Karnveval
Markus Berger-de León verlässt VZnet / Clemens Riedl wieder CEO
VZs senken Mitgliedschaftslimit wieder auf 100 Gruppen (Update)

Neu in Meinungen

Einfach nur noch peinlich: Virales Marketing von sVZ-scripter.de
Alles nur für die Suchmaschinen? Statistikseiten in den VZs
Was macht meinVZ eigentlich auf Facebook?

Neu in Statistik

VZlog Umfrage: Wie reagieren Schulen auf Probleme mit schülerVZ?
VZnet ist mit OpenSocial-Start zufrieden
StudiVZ hat 6 Millionen Nutzer

Neu in Specials

VZlog Jahresrückblick: Dezember 2009
VZlog Jahresrückblick: November 2009
VZlog Jahresrückblick: Oktober 2009

Am häufigsten kommentiert

  • Die geheimen SchülerVZ Smileys!
  • Die geheimen StudiVZ Smileys und Emoticons
  • Da ist was los im Busch!
  • schülerVZ-GOLD (V.I.P.)
  • Relaunch von mehrblog.net
  • Kakao? - SchülerVZ plötzlich offline
  • Mutmaßlicher VZ-Erpresse begeht Suizid
  • Twitter-Integration kommt nächste Woche
  • Einfach nur noch peinlich: Virales Marketing von sVZ-scripter.de
  • US Wahl 2008: So würde SchülerVZ wählen
  • Plauderkasten auch in SchülerVZ
  • Der Plauderkasten kommt auf PC und iPhone
  • Die VZs errinnern an Logout
  • Wer ist der schülerVZ-Erpresser?
  • Drei 25€ iTunes Gutscheine gewinnen mit mehrblog.net
  • Server offline?
  • Antworten von Oliver Skopec auf eure Fragen
  • Kopierte SchülerVZ Daten: Tatverdächtiger festgenommen. (Update)
  • Wie viel Werbung passt auf eine Seite?
  • Noch mehr neue Pinnwandbilder

    • Community

    Archiv

    Unsere Gruppen

    In MeinVZ
    In SchülerVZ
    In StudiVZ

    Übrigens...

    VZlog ist kein Angebot von VZnet Netzwerke Ltd. oder anderen Unternehmen der Verlagsgruppe Georg von Holtzbrinck.

    Sonst noch was?

    Beiträge RSS Feed
    Kommentare RSS Feed
    Twitter