Datenleck bei schülerVZ gemeldet
Der deutschen Bürgerrechtsplattform Netzpolitik.org sind über eine Million Datensätze von jugendlichen Nutzern des Sozialen Netzwerks schülerVZ zugespielt worden. Die Betreiber bestätigten mittlerweile die "illegale Datenkopie" und prüfen derzeit, wie die Daten gesammelt wurden.
Netzpolitik.org gab am Freitag bekannt, dass ihr "mehr als eine Million Datensätze" von schülerVZ-Nutzern zugespielt worden seien. SchülerVZ ist ein Spin-off des Sozialen Netzwerks studiVZ, beide Sites gehören zum deutschen Medienkonzern Holtzbrinck.
Netzpolitik.org-Autor Markus Beckedahl schrieb, er und sein Team hätten einige Datensätze verifiziert und die Personen bei schülerVZ gefunden. Die Datensätze enthalten Felder mit Profil-ID, Name und Schule mit ID. Auch Datensätze mit detaillierteren Informationen wie Geschlecht, Alter und Profilbild seien enthalten. Mit den Listen ließen sich schnell und einfach Datenabfragen der User erstellen.
"Es ist damit möglich, sich beispielsweise alle 13-jährigen Mädchen an einer bestimmten Schule anzeigen zu lassen", so Beckedahl am Freitag gegenüber ORF.at. Die Personen, die ihn auf das Datenleck aufmerksam gemacht hätten, seien erstmals vor zwei Wochen an ihn herangetreten, dann habe er damit begonnen, die Vorwürfe zu prüfen. Vor drei Tagen sei ein weiterer Datensatz bei ihm eingelangt.
Die Daten seien mittels einer automatisierten Abfrage über eine ungesicherte Schnittstelle bei schülerVZ ausgelesen worden, so Beckedahl.
Unter Sicherheit schreibt schülerVZ auf seiner Website: "Deine persönlichen Daten sind auf unseren Servern bestmöglich geschützt. Sie können z.B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb vom schülerVZ auf."
SchülerVZ prüft Vorfall
In einem Eintrag auf dem offiziellen Blog bestätigten die Betreiber der VZ-Netzwerke (schülerVZ, studiVZ, meinVZ) am frühen Freitagabend die "illegale Datenkopie". Ein schülerVZ-Nutzer habe eine "Vielzahl von Profilen" aufgerufen und davon Kopien erstellt, lautete die offizielle Stellungnahme. Die Datensätze enthalten demnach jene Daten, die auch für andere schülerVZ-Nutzer einsehbar sind, wie Name, Alter, Schule, Geschlecht, Alter und das Profilfoto.
Die Betreiber erklärten weiters, sofort Maßnahmen ergriffen zu haben, um weitere illegale Zugriffe auszuschließen. Zudem hätten sie die Datenschutzbehörde informiert und würden rechtliche Schritte gegen unbekannt einleiten. Auf Nachfrage von ORF.at sagte eine Sprecherin der VZ-Netzwerke, dass die Technik derzeit prüfe, von wem und vor allem wie die "Vielzahl" von Daten ausgelesen werden konnte.
Mittels Crawler oder per Hand kopiert?
In einem weiteren Posting auf dem offiziellen Blog erklärt der Anbieter, dass der Zugriff auf eine erhöhte Anzahl von Profilen in einem kurzen Zeitraum mittlerweile eingeschränkt worden sei. Darin wird außerdem erklärt, dass ein einzelner Nutzer mit "ausreichend Zeit" durchaus eine große Anzahl von Daten auslesen könne, in dem er alle Profile Seite für Seite ansieht und dann kopiert.
Mittlerweile hat ein Sprecher gegenüber der Nachrichtenagentur AP angegeben, dass der Datenkopierer ein registrierter Nutzer bei schülerVZ ist und dafür einen Crawler eingesetzt hat. Das Kopieren sei illegal und zudem ein Verstoß gegen die schülerVZ-AGB.
Datenlecks bei studiVZ
Bereits 2006 hatte der deutsche Blogger Don Alphonso mehrfach auf Datenlecks bei der schülerVZ-Mutter studiVZ hingewiesen. Das geschah noch vor dem Verkauf von studiVZ an Holtzbrinck. "Mich wundert, dass schülerVZ nichts aus diesen Erfahrungen gelernt hat", sagte Beckedahl zu ORF.at. "Es handelt sich dabei immerhin um Daten von Kindern und Jugendlichen."
Ob sich auch Daten von österreichischen Schülerinnen und Schülern unter den nun ausgelesenen Informationen befinden, konnte Beckedahl ad hoc nicht sagen. "Ein Länderfeld fehlt. Die Daten lassen sich anhand des Namens der Schule ordnen", so Beckedahl.
Beckedahl hat laut eigenen Angaben mittlerweile Hinweise auf weitere Sicherheitslecks erhalten, die er derzeit verifiziert.
(futurezone/AP)