SchülerVZ Datenbank von SchülerVZ offenbar gehackt
Das Netzwerk SchülerVZ will eine sichere Umgebung für Minderjährigesein. Doch konnten Hacker wohl dort einbrechen und Daten von mehr alseiner Million Nutzern stehlen.
Nicht ohne Grund ist das soziale Netzwerk SchülerVZ – das wie ZEITONLINE zur Mediengruppe Holtzbrinck gehört – nur denen zugänglich, diedarüber kommunizieren sollen: Schülern zwischen 12 und 18 Jahren.Erwachsene haben keinen Zutritt, und den Betreibern ist wohl bewusst,dass Datenschutz für sie höchste Priorität hat. Immerhin soll SchülerVZlaut Eigenwerbung "ein sicheres Umfeld" bieten.
AnzeigePosted ImageDoch im Internet ist nichts wirklich sicher. Hackern ist es offenbargelungen, in die Datenbanken einzubrechen und die Profilinformationenvon fast einem Viertel der Nutzer zu stehlen. Nach Informationen desBlogs Netzpolitikkursieren im Internet mehr als eine Million der fünf Millionendatensätze von minderjährigen Schülern, die sich in dem sozialenNetzwerk treffen.
Damit ist der zentrale Satz des Datenschutzversprechens von SchülerVZ hinfällig, der lautet: "Darauf kannst du dich verlassen: Deine Daten gehören dir. Du allein bestimmst, wer deine persönlichen Daten sehen darf."
Die Quelle der gehackten Daten ist anonym. Doch die Listen, die auchZEIT ONLINE in Auszügen vorliegen, sind detailliert. Der Datensatz vonmehr als einer Million Nutzern soll laut Netzpolitik Profil-ID, Nameund dazugehörige Schule samt ID enthalten. Ein zweiter, kleinererDatensatz soll noch detailliertere Informationen wie Profil-ID, Name,Schule samt ID, Geschlecht, Alter und Profil-Bild umfassen, wobei auchder Link zu dem Bild dazugehören soll.
Damit könnten die Listen beispielsweise sortiert werden nachMerkmalen wie "alle Schüler aus Berlin" oder "alle Schülerinnen imAlter von 13, die in Siegen wohnen, samt Bild und ihrer Schule".
Ähnliche Probleme hatte das Partnernetzwerk StudiVZ im Jahr 2006.Dort waren damals Profilinformationen auch dann zugänglich, wenn sievom Benutzer als "privat" eingestuft worden waren. Der Blogger Don Alphonso hatte damals auf das Leck aufmerksam gemacht.Die Lücke nun ist jedoch wesentlich übler, da SchülerVZ eigentlichniemandem zugänglich sein soll, der dort nicht ordnungsgemäßregistriert ist. Es scheint jedoch, als hätten der oder die Einbrecherkeine finanziellen Absichten mit ihrer Tat verfolgt. Zumindest wäre esdann nicht erklärlich, dass sie ihr Wissen an ein bekanntes Watchblogschickten.
SchülerVZ wurde von ZEIT ONLINE über das Leck informiert, einedirekte Antwort steht noch aus. Auf dem Blog des Unternehmens aber steht inzwischen:"Es handelt sich hierbei explizit nicht um Daten wie Postadressen,Email Adressen, Zugangsdaten, Telefonnummern und Fotoalben, sondern umfür alle Community-Nutzer einsehbare Daten. Wir haben sofort Maßnahmenergriffen, um weitere illegale Zugriffe auszuschließen. DieVZ-Netzwerke haben die Datenschutzbehörden umgehend informiert undwerden rechtliche Schritte gegen Unbekannt einleiten."
__________________________________________________ ____________________________
Liebe Nutzer,
heute haben wir von folgendem Problem erfahren:
Ein schülerVZ-Nutzer hatte eine Vielzahl von Inhalten aus schülerVZ-Profilen kopiert.
Wichtig zu wissen ist dabei, dass in dieser Liste nur Daten zu finden sind, die sowieso alle schülerVZ-Nutzer sehen können. Zugangsdaten wie E-Mail Adressen und Passwörter waren davon nicht betroffen! Adressen, Telefonnummern und Fotoalben natürlich auch nicht.
Wir haben sofort technische Maßnahmen ergriffen, um weitere illegale Zugriffe zu verhindern und eure Daten zu schützen.
Ihr habt noch mehr Fragen? Dann kommt in unsere Gruppe Datenschutz im schülerVZ und stellt eure Frage dort oder schreibt eine E-Mail an
Wir werden euch laufend auf dem aktuellen Stand halten und sowohl in der Gruppe als auch über den klartext eure Fragen beantworten.
UPDATE:
Um eure Daten zu retten, haben wir mit den Leuten der Internetseite netzpolitik.org gesprochen, die als einzige diese Liste mit den Daten von dem schülerVZ-Nutzer hatten. Gemeinsam mit ihnen haben wir verhindert, dass diese Liste mit den kopierten Informationen veröffentlicht wurde. Außerdem wurde diese Liste inzwischen gelöscht.
Ihr habt uns viele Fragen gestellt. Einige beantworten wir euch hier:
1.) Handelt es sich bei dem Vorfall um ein Datenleck?
Nein. Der Datenkopierer ist ein registrierter Nutzer bei schülerVZ. Daten wurden demnach niemanden zugänglich gemacht, der hierzu nicht berechtigt war. Das Kopieren der Daten ist jedoch illegal und gleichzeitig ein schwerer Verstoß gegen unsere AGB.
2.) Ist es tatsächlich möglich, dass ein einzelner Nutzer eine große Anzahl von Daten ausgelesen hat?
Ja, das kann im Grunde jeder machen, wenn er ausreichend Zeit hat, indem er sich die Profile Seite für Seite ansieht und dann kopiert. Das ist quasi das Gleiche, als wenn jemand das Telefonbuch Seite für Seite durchblättert und aufschreibt.
3.) Welche Maßnahmen werden eingeleitet, damit so etwas zukünftig nicht passieren kann?
Wir haben den Zugriff auf eine erhöhte Anzahl von Profilen in einem kurzen Zeitraum sofort eingeschränkt.
UPDATE (2):
Entegen unserer Annahme bzw. bisherigen Ermittlung gibt es noch weitere Kopien dieser Liste. Den eigentlichen Täter konnten wir aber inzwischen identifizieren und haben bereits mit ihm Kontakt aufgenommen.
Wichtig: Der Täter hatte keinen Zugang zu unserer Datenbank. Auch die Angaben, die ihr durch eure Privatsphäreeinstellungen geschützt habt, konnte er nicht sehen. Außerdem hat uns der Täter gesagt, dass er die Daten weiteren Personen zur Verfügung gestellt hat.
Er will uns derzeit jedoch nicht sagen, um wen es sich handelt. Der Täter fordert aktuell diese Personen dazu auf, die Daten zu löschen und mit uns in Kontakt zu treten. Wir sind aktiv dabei diese Personen ausfindig zu machen, um sie über die juristischen Konsequenzen Ihres Handelns aufzuklären und dafür zu sorgen, dass alle Listen mit illegal kopierten Nutzerdaten gelöscht werden.
Update (3):
Wir haben inzwischen noch mal mit dem Täter gesprochen und wir haben folgendes erfahren: Der Täter hat einen "Crawler" geschrieben. Dieses Programm loggt sich mit den normalen schülerVZ-Account des Täters in schülerVZ ein und sammelt die angezeigten Daten. Die bestehenden Sicherheitsmechanismen (z.B. Captchas) wurden dabei geknackt.
Der Täter hat uns genaue Angaben dazu gemacht, welche Daten er gesammelt hat: es handelt sich, wie bisher angegeben, nur um für alle Nutzer von schülerVZ einsehbare Daten. In euren Privatsphäreeinstellungen könnt ihr einstellen, welche Daten alle anderen schülerVZ Nutzern sehen dürfen. Nur solche Daten, die auch für alle schülerVZ Nutzer sichtbar waren, konnte der Täter sehen und sammeln.
Wir haben von euch auch Kommentare hinsichtlich der rechtlichen Relevanz über die Verletzung unserer AGBS bekommen. Dazu können wir euch folgendes sagen: Das Crawlen eines Netzwerks unter Umgehung von Zugangssperren (Captchas) ist illegal. Zudem verletzt das Crawlen und das Veröffentlichen der gecrawlten Informationen Datenschutzrecht. Der Täter hat aber auch die Rechte eines jeden einzelnen Nutzers verletzt.
[
Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]