Netzpolitik.org wurden erneut 1,6 Millionen aktuelle Datensätze von schülerVZ-Nutzern zugespielt. Dies sind rund 30% aller Profile der Plattform.
Bereits im vergangenen Herbst tauchten zwei sehr große Datensätze von schülerVZ-Nutzern bei Netzpolitik und anderen Medien auf. Nachdem einer der Datensammler versucht haben soll, die VZ-Netzwerke zu erpressen, wurde dieser festgenommen und erhängte sich in der Untersuchungshaft.
Nach dem Datenskandal verbesserten die VZ-Netzwerke die Datensicherheit und bekamen dies auch durch die Verbraucherzentralen, den TÜV und die Stiftung Warentest bestätigt.
Für die jetzt abgerufenen Daten wurde eine neue Lücke genutzt und die Daten sind weniger umfangreich:
Die meisten Nutzer sind in Gruppen angemeldet. Man kann Basisinformationen von Profilen über eine Gruppenmitgliedschaft abrufen, auch wenn die Profile auf privat gestellt sind. Die Basisinformationen enthalten Name, Schule, Schul-ID-Nummer und Link zum Bild.
Die Daten wurden von Florian Strankowski von der Leuphana-Universität Lüneburg gesammelt, der auch die Sicherheitslücke gefunden hat. Dieser hatte zwei mal versucht, die VZ-Netzwerke zu kontaktieren, jedoch keine Reaktion erhalten.
Die bisher aufgetauchten fünf Datensätze sind vermutlich nur die Spitze des Eisbergs, denn einen Crawler für die VZs zu schreiben ist nach Aussage von Strankowski nicht sonderlich kompliziert. Man kann also davon ausgehen, dass es deutlich mehr Datensätze der VZ-Nutzer gibt, deren Existenz nie bekannt werden wird.
Dirk Hensen, Pressesprecher der VZ-Netzwerke weißt die Vorwürfe zurück, das es ein Datenleck gebe: “Ein Nutzer hat für alle SchülerVZ-Mitglieder einsehbare Profilinformationen im eingeloggten Zustand kopiert. Es handelt sich explizit nicht um ein Datenleck. Nach unserem Kenntnisstand hat der Nutzer, ein junger Wissenschaftler, Hunderte von künstlichen E-Mail-Accounts verwendet, um den Kopierschutz von öffentlichen Daten zu umgehen. Das ist in etwa vergleichbar mit dem Kopieren von Daten aus dem Telefonbuch”. Aus einem VZnet bereits vorliegenden, kleinen Auszug der Daten gehe hervor, dass es sich nicht um private oder sensible Daten handelt.
Da nur öffentlich einsehbare Daten kopiert wurden, wie VZnet schon richtig feststellte, liegt keine Sicherheitslücke im eigentliche sinne vor, da die VZ-Netzwerke eigentlich nur ihre Funktion erfüllt haben, Daten an andere Nutzer auszuliefern. Was beim Nutzer mit den Daten passiert, können die VZ-Netzwerke nicht beeinflussen.
Pingback: Lukas Heblik
Bin grad am recherchieren zu dem Thema und bin dabei auch noch auf einen Artikel gestossen, der über eine Meldepflicht bei entsprechenden Datenlecks berichtet.
http://rechtzweinull.de/index.php?/archives/143-Datenleck-bei-SchuelerVZ-und-die-datenschutzrechtliche-Meldepflicht.html
Habe mir zuvor noch den SPON-Artikel durchgelesen: http://www.spiegel.de/netzwelt/web/0,1518,692822,00.html
Also die Leute, die mehr Informationen freigeben, sind selber Schuld. Hier bedarf es eher an noch mehr Aufklärung, eventuell auch verstärkt bei Lehrern und Eltern.
Eventuell sind noch Maßnahmen erforderlich, die bspw. ein Profilbild verstecken. Und wenn’s nicht anders geht, sollte man solche Profile von Kindern wirklich nur noch deren “Freunde” freigeben.
Aber warum bekommen nur die großen Netzwerke eins auf den Sack. Kleine Social Networks wie wiealt oder Jappy dort sind auch öfters unter 14-jährige angemeldet, von diesen noch mehr Infos bekannt werden wie z.B. ICQ-Nummer (bei wiealt zumindest), sämtliche privaten Bilder usw. Da hätten Datensammler viel mehr Nutzen von.
Pingback: Joel R.
Pingback: Orfeo Pomp
Pingback: Janine Willems
Pingback: Christian Schnitt
Daten sind dazu da um verbreitet zu werden. Wann kapieren die N00bs des endlich?
Pingback: TÜV sieht kein Problem bei Datensicherheit der VZ-Netzwerke | VZlog
Pingback: Vanessa Wientzek
solange keine “verstekcten profilinfos” dabei sind … der rest ist eh “öffentlich” und dann ist es egal ob der arbeitgeber selber sucht oder gleich nen datensatz bestellt
Hallo zusammen,
ich bin selbst Softwareentwickler und werde keine Pauschalaussage zu diesem Thema treffen.
Einerseits wurden wirklich nur “öffentliche” Daten erfasst, andererseits sind gerade im schülerVZ zahlreiche Minderjährige, welche im Umgang mit Ihren persönlichen Daten sicherlich anders umgehen als die meisten Erwachsenen.
Ich lobe auf anderer Seite die VZ-Netzwerke für die bisherigen Anstrengungen – andererseits wäre es natürlich angebracht, derartige Meldungen offen aufzunehmen und die Systeme zum Schutz der Nutzerdaten dahingehend zu verbessern.
Letztendlich wird sich ein 100%iger Schutz vor Crawlern niemals ermöglichen lassen. Jedoch kann durch weitere Sicherheits- und Analysesysteme sicherlich proaktiv erkannt werden, wo Schund getrieben wird.
Daher meine Vorschläge:
- @mailgenerator.de,… Mailendungen sperren
- verschiedene proaktive Sicherheitssysteme einrichten, welche ungewöhnliche Kombinationen von IP Adressen zu Nutzersitzungen in Verbindung mit aktiven Accounts erkennen
- Datenzugriffsvarianten vor Implementierung prüfen und durchspielen
Dies alles würde das Crawlen zwar nicht unmöglich machen, jedoch den Prozess zum Erlangen derartiger Datenmengen dermaßen erschweren, sodass entweder derartige Crawler gar nicht entwickelt werden, nicht funktionieren oder nach Bemerken ungewöhnlicher Aktivitäten zu rechtlichen Maßnahmen gegriffen werden kann.
Mit freundlichen Grüßen
Dominik B. von elexpress.de
ich finde es zwar auch etwas dumm von leuten die alle möglichen informationen online stellen und dann ihr profil auch noch für alle sichtbar machen, aber ich finde auch, dass wenn eine große firma, wie VZnet sie nunmal ist, so etwas anbietet und auch ensprechend große userzahlen hat, KANN und DARF es nicht sein, dass so etwas passiert. Wenn ich dann auch noch lese, dass VZnet nicht auf Kontaktierungsversuche reagiert könnte ich, ganz ehrlich, anfangen zu kotzen!
Ich bin nun am überlegen ob ich meinen SchülerVz Account löschen und die Vz´s boikottieren soll!
Wieso wird im Artikel von einer vermeintlichen Sicherheitslücke gesprochen, die es nicht gibt? Das Crawlen von Daten hat schließlich nichts mit einer Sicherheitslücke zu tun.
Das die VZs nicht auf Kontaktversuche reagieren, die das Crawlen verhindern könnten, ist eine andere Geschichte.
Pingback: Jahresrückblick: Mai 2010 | VZlog