Sicherheitslücke Neues Datenleck bei SchülerVZ aufgedeckt

Erneute Panne bei SchülerVZ: Einem Blog wurden nach eigenen Angaben 118.000 Datensätze von Nutzern des sozialen Netzwerks zugespielt - dieses Mal sollen auch vermeintlich geschützte Informationen dabei sein.

Von

SchülerVZ: Einem Blog wurden weitere 118.000-Nutzerdatensätze zugespielt
dpa

SchülerVZ: Einem Blog wurden weitere 118.000-Nutzerdatensätze zugespielt


Das bereits vor zehn Tagen angeprangerte Datenleck bei SchülerVZ ist offenbar immer noch nicht gestopft. Dem Blog netzpolitik.org sind erneut 118.000 Datensätze aus dem Bestand des Schüler-Netzwerks zugespielt worden, teilweise inklusive persönlicher Daten wie dem Geburtsdatum, die von den Betroffen ausdrücklich nur für ihre Freunde freigeschaltet waren. Bislang hatten die Betreiber des Netzwerks erklärt, solche Daten seien von der Panne nicht betroffen.

Erst vergangene Woche hatte ein großangelegter Datenklau bei SchülerVZ für Aufsehen gesorgt. Der mutmaßliche Datendieb, ein 20-Jähriger aus Erlangen, wollte laut Staatsanwaltschaft insgesamt 80.000 Euro vom Netzwerkbetreiber für die Daten erpressen. Er hatte damit gedroht, die Daten anderenfalls ins Ausland zu verkaufen.

Dem Betreiber VZnet zufolge wurden dabei aber nur Daten kopiert, die ohnehin für alle SchülerVZ-Nutzer sichtbar sind: Name, Schule, Geschlecht, Alter, Profilfoto. Es handelte sich demnach nicht um Daten wie Postadressen, E-Mail-Adressen, Zugangsdaten, Telefonnummern oder Fotoalben. In einem ausführlichen Statement zu den Vorkommnissen heißt es bei SchülerVZ, es seien "nach derzeitigem Kenntnisstand [...] keine privaten Daten betroffen". Zudem hätten "alle Schutzmaßnahmen zur Privatsphäre [...] gegriffen und wurden explizit NICHT geknackt", privatgestellte Daten seien daher nicht betroffen.

Hacker ohne finanzielle Interessen

Dass dem offenbar nicht so ist, zeigen jetzt die Daten, die netzpolitik.org vorliegen. Dass es sich dabei um authentische Datensätze handelt, haben die Blogger nachgeprüft, indem sie stichprobenartig einige der darin genannten Personen kontaktierten, um sich etwa deren Geburtsdatum bestätigen zu lassen.

Um die Sicherheitslücke Verbraucherschützern gegenüber zu beweisen, haben die Blogger sämtliche Datensätze noch am Dienstagabend an den Verbraucherzentrale Bundesverband (vzbv) in Berlin weitergeleitet. Um das Vorgehen des nunmehr dritten Hackers zu dokumentieren, legten sie außerdem die Crawler-Software bei, mit der die Datensätze aus SchülerVZ ausgelesen worden waren. Der vzbv leitete Daten und Software zur weiteren Überprüfung an den Berliner Datenschutzbeauftragten weiter.

Möglicherweise um sich schon im Vorfeld gegen jeglichen Vorwurf eines Erpressungsvorwurfs abzusichern, erklärte der Hacker, der die Datensätze entwendet hatte, dem vzbv gegenüber, dass ihm nicht an einer Veröffentlichung der Daten gelegen sei. Im Einklang mit geläufiger Hacker-Ethik habe er lediglich auf die Sicherheitslücken hinweisen wollen.

Die Lücke wurde bereits gestopft

Der Verbraucherzentrale Bundesverband fordert die Anbieter Sozialer Netzwerke dementsprechend auf, ihre Sicherheitsmaßnahmen zu verbessern. "Statt zu versprechen, dass ihre Daten gut aufgehoben sind, müssen die Anbieter die technisch höchste Sicherheit bieten - wenn nötig auch zulasten des Nutzerkomforts", erklärte vzbv-Vorstand Gerd Billen. Vor allem sollten die Betreiber sozialer Netzwerke über mögliche Risiken aufklären, die mit dem Einstellen privater Daten in solche Netze verbunden sein können.

SchülerVZ weist unterdessen darauf hin, dass die Sicherheitslücke, die zum Auslesen der netzpolitik.org vorliegenden 118.000 Datensätze genutzt wurde, bereits geschlossen worden sei. Das, so die Blogger, sei durchaus plausibel, da die Daten bereits im Juni aus dem Netzwerk ausgelesen worden sind. Es gebe allerdings Anzeichen dafür, dass bei dieser Abdichtungsaktion Details vergessen wurden und es weiterhin möglich ist, über eine automatisierte Abfrage zumindest an die Geburtsdaten der Nutzer zu gelangen.

Ob das tatsächlich so klappt, konnte bisher allerdings nicht nachgewiesen werden. Grundsätzlich aber stellt sich die Frage, wieso ein soziales Netzwerk eine solche Sicherheitslücke stopft, ohne seine Kunden darüber zu informieren, dass deren Daten bis zu diesem Zeitpunkt offenbar mit vergleichsweise einfachen Mitteln kopierbar waren - was ja auch geschehen ist.

Mit Material von AP



© SPIEGEL ONLINE 2009
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.