SchülerVZ: Täter identifiziert
Nach der am Freitag bekanntgewordenen Datenpanne beim Online-Netzwerk schülerVZ haben die Betreiber am Samstag mitgeteilt, den Täter inzwischen identifiziert und mit ihm Kontakt aufgenommen zu haben. Zudem wurden die Sicherheitsmechanismen der Plattform verschärft.
Demnach soll der Täter gegenüber den Betreibern der VZ-Netzwerke (schülerVZ, studiVZ, meinVZ) erklärt haben, dass er die Daten weiteren Personen zur Verfügung gestellt habe. Namen wolle der Täter nicht nennen, jedoch sei er bemüht, die Personen dazu zu motivieren, die Daten zu löschen.
Das Online-Netzwerk hat mit verschärften Sicherheitsmechanismen auf das massenhafte Kopieren von öffentlichen Nutzerdaten aus dem Schülernetzwerk reagiert. So müssten künftig die Anwender viel häufiger als sonst Buchstaben- und Zahlenkombinationen ("CAPTCHAs") eintippen, um bestimmte Anfragen an das Netzwerk zu stellen, sagte Markus Berger-de Leon, Geschäftsführer der Berliner VZnet Netzwerke Ltd., am Sonntag der Deutschen Presse-Agentur dpa. "Damit wird die Bedienbarkeit von SchülerVZ zwar derzeit weniger schön. Aber die Anwender haben angesichts des aktuellen Vorfalls Verständnis dafür."
Gegenmaßnahmen
Als weitere Gegenmaßnahmen werde die Zuordnung der VZ-internen ID-Nummer zu den Benutzerkonten geändert. "Dieser Teil der Information aus der Liste wird in kurzer Zeit komplett wertlos sein." Nach Angaben von Berger-de Leon wurde die Liste in einen beschränkt zugänglichen Forum veröffentlicht und dort insgesamt 17 Mal heruntergeladen. "Sie schwirrt aber nicht durch das öffentliche Internet." Sein Unternehmen habe mit den Mitgliedern des Forums Kontakt aufgenommen, um eine Weiterverbreitung der Liste zu unterbinden. "Dem Angreifer ging es wohl um den Spaß, uns zu beweisen, dass eine Begrenzung der Profilabfragen technisch umgangenen werden kann, auch wenn das nicht spaßig ist", sagte Berger-de León.
Die deutsche Bürgerrechtsplattform Netzpolitik.org gab am Freitag bekannt, dass ihr "mehr als eine Million Datensätze" von schülerVZ-Nutzern zugespielt worden seien. SchülerVZ ist ein Spin-off des Sozialen Netzwerks studiVZ, beide Sites gehören zum deutschen Medienkonzern Holtzbrinck. Die VZ-Netzwerke-Betreiber betonten allerdings, dass es sich ausschließlich um Daten handle, die für alle Nutzer einsehbar seien. Private Daten wie Adressen, Telefonnummern und Passwörter seien nicht betroffen.
Datenerfassung umstritten
Nicht ganz klar ist, wie die Daten ausgelesen wurden. Die schülerVZ-Betreiber erklären in ihrem Blog, dass es sich um einen registrierten Nutzer bei schülerVZ handle, der die Profile der anderen Nutzer händisch aufgerufen, kopiert und gesammelt habe. Netzpolitik.org-Autor Markus Beckedahl betont in seinem Blog jedoch, dass er ein automatisiertes Auslesen der Datensätze über die öffentliche Suche vermutet.
Wie Berger-de Leon am Sonntag gegenüber der dpa bekanntgab, gehe man nun davon aus, dass der Täter mit Hilfe von kleinen Programmen ("Skripten") im großen Umfang Nutzerdaten aus dem Schülernetzwerk kopiert habe. Bei dem Vorfall sei jedoch nicht die Datenbank von SchülerVZ "gehackt" noch Zugangsdaten der Anwender ausgespäht worden.
Zweiter Fall
Zudem gibt es Unklarheiten über den "Informanten". SchülerVZ ist der Meinung, dass es sich bei der Quelle von netzpolitik.org nicht um den tatsächlichen Verursacher, sondern um einen "Trittbrettfahrer" handle, der lediglich Zugang zu den Daten des eigentlichen Täters hatte.
Beckedahl vermutet hingegen, dass es sich um unterschiedliche Quellen handelt. Der Netzpolitik.org-Autor meint, dass mehrere Datensätze im Umlauf seien und spricht von einem "zweiten Fall". Darüber hinaus seien dem Autor weitere Hinweise auf bedenkliche Sicherheitslücken bei schülerVZ zugespielt worden.
(futurezone/dpa)