SchülerVZ: Auch private Profile ausgelesen
Auch auf privat gestellte Nutzerprofile des Sozialen Netzwerks schülerVZ waren offenbar nicht ausreichend vor automatisierten Datenkopiermechanismen gesichert. Dem deutschen Bürgerrechtler-Blog Netzpolitik.org wurden erneut 118.000 Datensätze aus schülerVZ zugespielt. Die VZ-Netzwerke wollen nun "missverständliche Einstellmöglichkeiten" im System ändern.
Die jüngste Datenpanne bei dem Sozialen Netzwerk schülerVZ war größer als ursprünglich angenommen. Aus den Profilen der Netzwerknutzer konnten nicht nur öffentliche, sondern auch private Daten "massenweise" ausgelesen werden, berichtet das Bürgerrechtler-Weblog Netzpolitik.org. Die Betreiber des Netzwerks hatten das bisher wiederholt bestritten. Den Betreibern des Blogs waren nun erneut 118.000 Datensätze von Berliner Schülern inklusive Geburtsdatum zugespielt worden.
Die Verbraucherzentrale Bundesverband (vzbv) bestätigte am Mittwoch inzwischen, dass die Datensätze aus dem Netzwerk schülerVZ stammen. "Besonders brisant" sei es, dass auch sensible personenbezogene Daten darunter seien, die nur für Freunde freigeschaltet gewesen seien, teilte die vzbv mit.
In einer Stellungnahme der VZ-Netzwerke, zu denen schülerVZ gehört, schreibt das Unternehmen, dass es sich bei den Dateien "um einen älteren Datensatz mit Informationen zu Geburtsdaten und Geschlecht" handle. Die Sicherheitslücke, die den Abruf dieser Informationen möglich gemacht habe, sei bereits Ende Juli 2009 behoben worden. Allerdings habe man "bei einer internen Prüfung" festgestellt, "dass die Einstellmöglichkeiten bezüglich der Suchbarkeit nach Geburtsdaten missverstanden" werden könnten. Dieser Fehler werde im Lauf des Tages behoben werden. Außerdem werde man die Suche nach Geburtsdatum und Alter komplett deaktivieren. VZ-Netzwerke weist seine User darauf hin, dass im Lauf der kommenden 24 Stunden auch die Nutzer-IDs neu gesetzt werden müssten, wodurch es zu nicht näher spezifizierten vorübergehenden Einschränkungen käme.
Datenschutzbeauftragter prüft
Der ausgelesene Datensatz wird auch vom Berliner Datenschutzbeauftragten Alexander Dix geprüft. Es müsse nun geklärt werden, ob das Datenleck, aus dem die Daten ausgelesen werden konnten, noch besteht oder inzwischen geschlossen wurde, sagte Dix. "Der Vorwurf hat nun eine völlig neue Qualität", sagte Dix. Sollte er sich bestätigen, würden die bisherigen Zusicherungen von schülerVZ Lügen gestraft.
Netzpolitik.org hatte bereits vor rund zehn Tagen über das Datenleck bei schülerVZ berichtet, nachdem der Redaktion ein Datensatz von 1,6 Millionen Datensätzen von schülerVZ-Nutzern zugespielt worden war. Im Zuge der Ermittlungen war auch eine Person verhaftet worden, die den Betreiber mit den Daten erpressen wollte. SchülerVZ hatte stets zugesichert, dass private Daten, die die Schüler nur für ihre Freunde freischalten, von dem illegalen Zugriff nicht betroffen gewesen seien.
Bisher war bekannt, dass mindestens zwei Personen aufgrund mangelhafter Sicherheitsvorkehrungen gegen automatisiertes Auslesen von Nutzerprofilen persönliche Daten von schülerVZ ausgelesen hatten: jene Person oder Gruppe, die Netzpolitik.org Anfang Oktober auf das Problem aufmerksam gemacht und den Bürgerrechtlern um Blog-Betreiber Markus Beckedahl erste Datensätze übergeben hatte, und ein 20-jähriger Mann aus Erlangen, der am 18. Oktober in der Zentrale der VZ-Netzwerke in Berlin verhaftet worden war.
Die VZ-Netzwerke werfen dem 20-Jährigen vor, er habe sie erpressen wollen. Der Mann hatte in seinem mittlerweile nicht mehr öffentlich zugänglichen Weblog geschrieben, dass er am 17. Oktober die auf einem USB-Stick gespeicherten Daten via Kurier an die VZ-Netzwerke übermittelt habe.
Netzpolitik.org dokumentierte mittlerweile, wie der erste Datenkopierer technisch vorgegangen war.
(dpa/futurezone)