Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Sicherheitslücke: Neues Datenleck bei SchülerVZ aufgedeckt

Von

Erneute Panne bei SchülerVZ: Einem Blog wurden nach eigenen Angaben 118.000 Datensätze von Nutzern des sozialen Netzwerks zugespielt - dieses Mal sollen auch vermeintlich geschützte Informationen dabei sein.

SchülerVZ: Einem Blog wurden weitere 118.000-Nutzerdatensätze zugespielt Zur Großansicht
dpa

SchülerVZ: Einem Blog wurden weitere 118.000-Nutzerdatensätze zugespielt

Das bereits vor zehn Tagen angeprangerte Datenleck bei SchülerVZ ist offenbar immer noch nicht gestopft. Dem Blog netzpolitik.org sind erneut 118.000 Datensätze aus dem Bestand des Schüler-Netzwerks zugespielt worden, teilweise inklusive persönlicher Daten wie dem Geburtsdatum, die von den Betroffen ausdrücklich nur für ihre Freunde freigeschaltet waren. Bislang hatten die Betreiber des Netzwerks erklärt, solche Daten seien von der Panne nicht betroffen.

Erst vergangene Woche hatte ein großangelegter Datenklau bei SchülerVZ für Aufsehen gesorgt. Der mutmaßliche Datendieb, ein 20-Jähriger aus Erlangen, wollte laut Staatsanwaltschaft insgesamt 80.000 Euro vom Netzwerkbetreiber für die Daten erpressen. Er hatte damit gedroht, die Daten anderenfalls ins Ausland zu verkaufen.

Dem Betreiber VZnet zufolge wurden dabei aber nur Daten kopiert, die ohnehin für alle SchülerVZ-Nutzer sichtbar sind: Name, Schule, Geschlecht, Alter, Profilfoto. Es handelte sich demnach nicht um Daten wie Postadressen, E-Mail-Adressen, Zugangsdaten, Telefonnummern oder Fotoalben. In einem ausführlichen Statement zu den Vorkommnissen heißt es bei SchülerVZ, es seien "nach derzeitigem Kenntnisstand [...] keine privaten Daten betroffen". Zudem hätten "alle Schutzmaßnahmen zur Privatsphäre [...] gegriffen und wurden explizit NICHT geknackt", privatgestellte Daten seien daher nicht betroffen.

Hacker ohne finanzielle Interessen

Dass dem offenbar nicht so ist, zeigen jetzt die Daten, die netzpolitik.org vorliegen. Dass es sich dabei um authentische Datensätze handelt, haben die Blogger nachgeprüft, indem sie stichprobenartig einige der darin genannten Personen kontaktierten, um sich etwa deren Geburtsdatum bestätigen zu lassen.

Um die Sicherheitslücke Verbraucherschützern gegenüber zu beweisen, haben die Blogger sämtliche Datensätze noch am Dienstagabend an den Verbraucherzentrale Bundesverband (vzbv) in Berlin weitergeleitet. Um das Vorgehen des nunmehr dritten Hackers zu dokumentieren, legten sie außerdem die Crawler-Software bei, mit der die Datensätze aus SchülerVZ ausgelesen worden waren. Der vzbv leitete Daten und Software zur weiteren Überprüfung an den Berliner Datenschutzbeauftragten weiter.

Möglicherweise um sich schon im Vorfeld gegen jeglichen Vorwurf eines Erpressungsvorwurfs abzusichern, erklärte der Hacker, der die Datensätze entwendet hatte, dem vzbv gegenüber, dass ihm nicht an einer Veröffentlichung der Daten gelegen sei. Im Einklang mit geläufiger Hacker-Ethik habe er lediglich auf die Sicherheitslücken hinweisen wollen.

Die Lücke wurde bereits gestopft

Der Verbraucherzentrale Bundesverband fordert die Anbieter Sozialer Netzwerke dementsprechend auf, ihre Sicherheitsmaßnahmen zu verbessern. "Statt zu versprechen, dass ihre Daten gut aufgehoben sind, müssen die Anbieter die technisch höchste Sicherheit bieten - wenn nötig auch zulasten des Nutzerkomforts", erklärte vzbv-Vorstand Gerd Billen. Vor allem sollten die Betreiber sozialer Netzwerke über mögliche Risiken aufklären, die mit dem Einstellen privater Daten in solche Netze verbunden sein können.

SchülerVZ weist unterdessen darauf hin, dass die Sicherheitslücke, die zum Auslesen der netzpolitik.org vorliegenden 118.000 Datensätze genutzt wurde, bereits geschlossen worden sei. Das, so die Blogger, sei durchaus plausibel, da die Daten bereits im Juni aus dem Netzwerk ausgelesen worden sind. Es gebe allerdings Anzeichen dafür, dass bei dieser Abdichtungsaktion Details vergessen wurden und es weiterhin möglich ist, über eine automatisierte Abfrage zumindest an die Geburtsdaten der Nutzer zu gelangen.

Ob das tatsächlich so klappt, konnte bisher allerdings nicht nachgewiesen werden. Grundsätzlich aber stellt sich die Frage, wieso ein soziales Netzwerk eine solche Sicherheitslücke stopft, ohne seine Kunden darüber zu informieren, dass deren Daten bis zu diesem Zeitpunkt offenbar mit vergleichsweise einfachen Mitteln kopierbar waren - was ja auch geschehen ist.

Mit Material von AP

Diesen Artikel...

© SPIEGEL ONLINE 2009
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Web 2.0: Mitmach-Plattformen und soziale Netzwerke
Facebook, Myspace und Co - die bekanntesten sozialen Netzwerke und Mitmach-Plattformen im Überblick.
Facebook
Facebook
Facebook ging Anfang 2004 als soziales Netzwerk für Harvard-Studenten online. Zunächst konnten nur Menschen mit E-Mail-Adressen ausgewählter US-Hochschulen Mitglieder werden, seit 2006 ist die Seite für alle Über-13-Jährigen offen. Nach eigenen Angaben hat Facebook derzeit 175 Millionen aktiver Mitglieder weltweit. (Mehr zu Facebook bei SPIEGEL WISSEN)
Wer-kennt-wen
Wer-kennt-wen wurde von den beiden Studenten Fabian Jager und Patrick Ohler gegründet. Das Netzwerk hat laut Betreiber knapp 5,8 Millionen Nutzer. (Mehr zu wer-kennt-wen bei SPIEGEL WISSEN)
Xing
Xing (früher OpenBC) wurde 2003 von Lars Hinrichs gegründet. Ende 2008 hatte Xing 6,5 Millionen Mitglieder, etwa eine halbe Millionen Nutzer haben einen kostenpflichtigen Premium Account. Bei Xing geht es vor allem um berufliche Kontaktaufnahme. (Mehr zu Xing bei SPIEGEL WISSEN)
StudiVZ
Ehssan Dariani hat die Studenten-Community StudiVZ 2005 gegründet. Zuerst investierten Lukasz Gadowski und Matthias Spiess, später finanzierten StudiVZ vor allem die Gebrüder Samwer - bekannt für die Klingeltonfirma Jamba - und der Venture-Capital-Arm des Holtzbrinck-Verlags ("Die Zeit", "Handelsblatt"). Im Januar 2007 übernahm Holtzbrinck StudiVZ. Derzeit haben Plattformen studiVZ.net, schuelerVZ.net und meinVZ.net nach eigenen Angaben mehr als zwölf Millionen Nutzer. (Mehr zu StudiVZ bei SPIEGEL WISSEN)
MySpace
MySpace.com ist die populärste unter den Community-Plattformen, mit über hundert Millionen registrierten Nutzern. Wie auch Facebook.com, Xanga.com oder Friendster.com bietet MySpace den Nutzern die Möglichkeit, Profilseiten anzulegen und mit Bildern und Videos zu dekorieren, Musik und Text auf die Seite zu stellen und ihre persönliche Profilseite mit der von Freunden und Bekannten zu verknüpfen. MySpace ist sehr beliebt bei Nachwuchsmusikern und verhalf auch den britischen Arctic Monkeys zu ungeahntem Erfolg. In die Kritik geriet das Angebot, weil es von Pädophilen benutzt wurde, um Kontakt zu Minderjährigen aufzunehmen. StudiVZ ist eine deutsche Studenten-Community, die Facebook ähnelt. (Mehr zu MySpace bei SPIEGEL WISSEN)
Flickr
Flickr.com ist eine Foto-Community. Nutzer können Bilder einstellen, mit Schlagworten ("Tags") versehen und Pools für bestimmte Themen einrichten. Im Zusammenhang mit Ereignissen wie den Terroranschlägen in der Londoner U-Bahn oder dem Hurrikan "Katrina" wurde Flickr auch zu einem Paradebeispiel für den sogenannten citizen journalism: Schnell entstanden Bildersammlungen von Privatleuten, die das Geschehen dokumentierten. Als deutsches Flickr-Pendant versucht sich zum Beispiel Photocase. (Mehr zu Flickr bei SPIEGEL WISSEN)
YouTube
YouTube.com lässt Nutzer Videos online stellen. Wie bei Flickr und ähnlichen Angeboten können andere Eingestelltes kommentieren und bewerten. Mit einem speziellen Werkzeug kann man YouTube-Videos auch auf seiner eigenen Webseite einbinden. Vergleichbare Dienste gibt es inzwischen zuhauf, Beispiele sind Metacafe.com, Vimeo.com und ClipShack.com. Auch Googles Videodienst funktioniert nach dem gleichen Prinzip. Putfile.com ist ein genereller Upload-Service für Videos, Audio- und Bilddateien. Weiter gehen Angebote wie Eyespot.com und Jumpcut.com - dort können die Nutzer eingestellte Videos auch bearbeiten, zusammenschneiden und nachvertonen. Deutschsprachige Varianten von Youtube sind etwa MyVideo und FMarket. Eine Kombination aus Flickr und YouTube bietet Sevenload. (Mehr zu YouTube bei SPIEGEL WISSEN)
Del.icio.us
Eine Art Online-Bookmark-Sammlung mit Community-Eigenschaften. Bei Del.icio.us kann jeder angemeldete Nutzer Web-Adressen speichern, sie mit Schlagworten ("Tags") versehen und so anderen Benutzern zugänglich machen. Verwandte Sites lassen sich so gruppieren, User mit ähnlichen Interessen können einander auf Interessantes hinweisen. Für Firefox-Benutzer gibt es sogar ein Browser-Plugin, das den Zugriff auf die Online-Linksammlung in die Navigationsleiste integriert. Mr Wong ist eine deutsche del.icio.us-Variante. Ursprünglich auf Technologie-Nachrichten spezialisiert war digg.com. Die Selbstbeschreibung des Angebotes spricht von "nicht-hierarchischer redaktioneller Kontrolle": Indem Nutzer eingestellte Nachrichten bewerten, entscheiden sie mit über die Platzierung einer bei digg.com verlinkten Meldung auf der Seite. Eine deutsche Variante von Digg heißt Yigg. (Mehr zu Del.icio.us bei SPIEGEL WISSEN)
Lokalisten
Im Mai 2005 gegründet, hat das Netzwerk Lokalisten eigenen Angaben inzwischen etwa 3,4 Millionen Nutzer. (Mehr zu Lokalisten bei SPIEGEL WISSEN)
Technorati
Technorati.com ist die Mutter aller Blog-Suchmaschinen. Sie katalogisiert Weblogs, Blogeinträge können wiederum mit Tags versehen und so zusammengefasst oder effektiver durchsucht werden. Technorati beurteilt Blogs auch nach Bedeutsamkeit und Glaubwürdigkeit - Suchergebnisse können entweder danach oder nach dem Erscheinungsdatum sortiert werden. Durch die Hitliste der häufigsten Suchbegriffe ist Technorati auch zu einer Art Seismograph für die heiß debattierten Themen der Blogosphäre geworden. Eine Blog-Suche bietet auch Google an (Google Blog Search) - mit weniger aufwendiger Funktionalität, aber teilweise anderen Ergebnissen. (Mehr zu Technorati bei SPIEGEL WISSEN)
Mashups
Mashups sind Multimedia-Collagen wie Video-Zusammenschnitte - oder aber Internetseiten, die durch das vermischen, verknüpfen oder neu konfigurieren vorhandener Inhalte entstehen. Häufig werden beispielsweise Ortsinformationen aus Google Maps mit anderen Inhalten, etwa Lexikon- oder Branchenbucheinträgen verknüpft. Auch Flickr und del.icio.us sind beliebte MashUp-Zutaten. Viele Web-Unternehmen stellen Hobbyentwicklern für solche Projekte sogar ihre "application programming interfaces" (APIs) zur Verfügung. (Mehr zu Mashups bei SPIEGEL WISSEN)
Blogs
Blogs oder Weblogs sind oft von Privatleuten geführte Internet-Publikationen. Sie basieren auf einer Software, die es erlaubt, Texte mit wenig Aufwand online zu stellen und Leser Artikel kommentieren zu lassen. Weblogs sind teilweise schlicht private Aufzeichnungen für den Freundeskreis, zum Teil aber durchaus ambitionierte Publikationsprojekte, die von den Betreibern als alternative journalistische oder literarische Form verstanden werden. Besonders themenspezifische Blogs können durch eingeblendete Werbung durchaus lukrativ sein. Es gibt auch organisierte Blogger-Verbände, die Zulieferer-Verträge mit Zeitungen und Nachrichtenagenturen haben. (Mehr zu Blogs bei SPIEGEL WISSEN)


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
SPIEGEL.TV
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: