Neue Sicherheitslücke bei schülerVZ

Ein deutscher Informatiker hat mit einem Crawler-Programm im Rahmen eines Experiments 1,6 Millionen Datensätze von Mitgliedern des Sozialen Netzwerks schülerVZ aus dem System kopieren können. Die schülerVZ-Betreiber wollen darin allerdings kein "Datenleck" erkennen.

Der deutschen Bürgerrechte-Plattform netzpolitik.org wurden erneut Nutzerdaten von schülerVZ zugespielt. Netzpolitik.org hat den Vorfall gemeinsam mit dem Wissenschaftler, der die Daten auslesen konnte, dokumentiert und am Dienstag veröffentlicht.

Das ist nicht der erste Fall, in dem Netzpolitik.org auf Sicherheitsprobleme bei den VZ-Netzwerken aufmerksam gemacht hat. Bereits im Herbst 2009 wurden der Plattform von einer anonym verbliebenen Quelle Daten zur Verfügung gestellt, die Informationen von Profilbesitzern wie Name, Schule samt ID, Geschlecht, Alter und das dazugehörige Profilbild enthielten.

Bei dem neuen Fall wurden 1,6 Millionen aktuelle Datensätze von aktiven Schülern im Rahmen eines automatisierten Prozesses ausgelesen und kopiert, das sind rund 30 Prozent aller Nutzerpofile aus dem Sozialen Netzwerk. SchülerVZ hat insgesamt rund fünf Millionen Mitglieder, vor allem aus dem deutschsprachigen Raum.

• Netzpolitik.org-Blogeintrag

• Netzpolitik.org-Hintergrundinterview

• CoreSEC-Blogeintrag

• Strankowskis Crawler für VZ-Netzwerke

"Nichts unternommen, um Daten zu schützen"

Dieses Mal bleibt der Aufdecker der Sicherheitslücke jedoch nicht anonym. Der Wirtschaftsinformatiker Florian Strankowski von der Leuphana-Universität Lüneburg erklärte gegenüber netzpolitik.org seine Motivation dafür, die Profile von schülerVZ-Nutzern per Crawling zu durchforsten. Er habe aufzeigen wollen, dass seitens der VZ-Netzwerke aus seiner Sicht nichts unternommen worden sei, um die Daten der Nutzer effektiv zu schützen.

Die zum Medienkonzern Holtzbrinck gehörende VZ-Gruppe, die neben schülerVZ auch studiVZ und meinVZ betreibt, hatte nach dem Bekanntwerden des ersten Datenlecks in neue Sicherheitsmaßnahmen investiert und war auch mit einem TÜV-Prüfzeichen für Datensicherheit und Funktionalität ausgezeichnet worden, ferner hatte das Netz von der Zeitschrift "Öko-Test" die Note Sehr gut erhalten. Gegenüber ORF.at kritisierte Strankowski, dass das TÜV-SÜD-Siegel für Datenschutz und Datensicherheit nicht gerechtfertigt sei.

Eine der seitens der VZ-Gruppe nach dem ersten Datenleck getroffenen Maßnahmen hatte darin bestanden, die Anzahl der Profilabrufe während einer Session zu begrenzen. Allerdings lassen sich nach wie vor von einer großen Menge an registrierten Accounts parallel Profile abrufen, etwa um Inhalte abzuziehen und in einer gemeinsamen Datenbank zu speichern.

Mehr zum Thema:

• Facebook: Anonymität als Illusion

Gruppenmitgliedschaft bleibt Datenfänger

Strankowski hatte die Daten aber auf einem anderen Weg gesammelt. Wie bei einer im Februar von Forscher an der TU Wien durchgeführten Aktion zur experimentellen Deanonymisierung von Usern in Sozialen Netzwerken griff auch Strankowski auf die Gruppenmitgliedschaften der Schüler zu. Über diese lassen sich Basisinformationen wie Name, Schule mitsamt ID und Link zum Bild von allen Mitgliedern abrufen - obwohl einige der Profile auf privat gestellt waren. Die privaten Profile können normalerweise nicht über die Suche gefunden werden, in Gruppen erscheinen sie jedoch. "Wenn man diese Profile alle sammelt, kann man in der eigenen Datenbank dann auch nach privaten Profilen suchen", erklärt Strankowski.

Zusätzlich wurden von einem zweiten Crawler weitere Nutzerprofile nach ihrer "Freundesliste" durchforstet. Dabei kam dem Wissenschaftler zugute, dass viele Schüler ihre Profile nach wie vor nicht auf privat gestellt hatten, sondern Alter, Geschlecht, Klasse, Hobbys, Beziehungsstatus und Interessen öffentlich geschaltet sind. Der Wissenschaftler richtete zudem selbst etwa 800 Profile bei schülerVZ ein, die er zum Durchforsten der Datensätze benutzt hatte. Keines davon wurde laut seinen eigenen Angaben gesperrt.

• SchülerVZ-Blogeintrag

"Kein explizites Datenleck"

Die Sicherheitslücke wurde sowohl vom Portal netzpolitik.org als auch von Strankowski selbst vor der Veröffentlichung des Vorfalls an schülerVZ gemeldet, die Daten wurden im Anschluss gelöscht. Dirk Hensen, Pressesprecher der VZ-Gruppe, bestätigte gegenüber ORF.at die Vorkomnisse. SchülerVZ sehe in diesem Fall allerdings "kein explizites Datenleck, da keine Daten der VZ-Nutzer an Dritte weitergeben worden sind", heißt es in einem Blogeintrag.

Es seien keine privaten Nutzerdaten betroffen, hieß es weiters. Zudem sei die Methode des "Crawlings", die "dem Kopieren von Daten aus dem Telefonbuch" gleiche, ein Verstoß gegen die Allgemeinen Geschäftsbestimmungen. SchülerVZ habe zudem Maßnahmen ergriffen, um den Sicherheitsstandard auf das maschinelle Auslesen von Daten über verschiedene Nutzer-Accounts künftig zu erschweren.

"Daten sind im Internet generell nicht sicher"

Markus Beckedahl, Betreiber von Netzpolitik.org, widerspricht der Darstellung der VZ-Netzwerke. Man habe sehr wohl ein Datenleck dokumentiert. "Es war schließlich ohne sehr viel Aufwand möglich, Daten in einer externen Datenbank zu speichern. Das Netzwerk kann glücklich sein, dass dies nicht missbraucht worden ist", so Beckedahl gegenüber ORF.at.

Zu dem Vorfall selbst sagte Beckedahl: "SchülerVZ hat entweder nicht genug investiert, oder die Daten sind im Internet generell nicht sicher. Wahrscheinlich ist es eine Mischung aus beidem." Die Nutzer müssten sich damit abfinden, dass Daten im Netz derzeit nicht sicher seien.

"Crawling ist nicht nur ein Problem von schülerVZ, jedoch gehen andere Anbieter effektiver dagegen vor. Es ist ein generelles Problem von Sozialen Netzwerken, dass man dort millionenfach Daten abgreifen kann", so Strankowski.

Mehr zum Thema:

• Datenleck bei schülerVZ gemeldet

• SchülerVZ: Datenschützer mahnt zur Vorsicht

• SchülerVZ: Auch private Profile ausgelesen

• Mehr Sicherheit in schülerVZ gefordert

(futurezone/Barbara Wimmer)