Netzpolitik-Interview: Hintergründe zum SchülerVZ-Datenleck

Als Hintergrund zum aktuellen Datenleck bei SchülerVZ haben wir ein Interview mit Florian Strankowski von der Leuphana-Universität Lüneburg gemacht, der die Sicherheitslücken entdeckt hat.

netzpolitik.org: Was war Deine Motivation, die Daten zu crawlen?

Florian Strankowski: Die Motivation bestand darin, nach den zig Interviews und Statements von Seiten VZ zu zeigen, dass im Endeffekt nichts unternommen worden ist, um die Daten der Nutzer effektiv zu schützen. Auch wollte ich aufzeigen, dass der TÜV in diesem Fall ein Zertifikat ausgestellt hat, das zwar schön aussieht, aber im Endeffekt etwas bestätigt, was so nicht der Fall ist. Die Daten der Nutzer waren nie sicher und sind derzeit nicht sicher vor Crawlern.

Ebenfalls haben sich einige meiner Kommilitonen amüsiert, als ich Ihnen meinen Vorschlag für den zu erbringenden Leistungsnachweis vorgestellt habe, einen Crawler zu schreiben. Ich muss hinzufügen, dass das Schreiben von Crawlern, egal für welchen Zweck, eine große Leidenschaft für mich ist, da ich es faszinierend finde, wie man Daten am effektivsten sammelt, verarbeitet und aufbereitet.

netzpolitik.org: Hast Du SchülerVZ kontaktiert?

Florian Strankowski: Ja. In zwei Mails habe ich in den vergangenen Wochen die VZ-Gruppe auf Sicherheitslücken hingewiesen und meine Hilfe angeboten. Auf beide Mails habe ich keine Reaktion erhalten

netzpolitik.org: Was war Deine Motivation, mit netzpolitik.org Kontakt aufzunehmen?

Florian Strankowski: Meine Motivation mit netzpolitik.org in Kontakt zu treten war es, ein Sprachrohr zu finden, welchem auch Gehör geschenkt wird. Auf meine Mails, welche ich im Rahmen der Responsible Disclosure zwei Mal an VZ geschickt habe, wurde ja nicht geantwortet. Bereits mit meinem Professor habe ich versucht, eine Lösung für den Weg der Veröffentlichung zu finden. netzpolitik.org ist und war für mich immer eine gute Anlaufstelle für aktuelle netzpolitische Thematiken (vor allem als es mit den Zensurplänen anfing). Auch wusste ich, dass Du in Deiner Funktion als Journalist die Möglichkeit hat, in diesem Fall zwischen den zwei Fronten zu vermitteln. Denn einerseits wollte ich den VZ-Netzwerken helfen, andererseits mich selbst aber keinem rechtlichen Risiko aussetzen.

Es wäre zu wünschen, wenn VZ sich mehr um seine Nutzer kümmern würde, vor allem um Mails die Problematiken aufzeigen, welche aber ignoriert werden. Es geht hier schließlich auch um den Ruf der VZ-Netzwerke.

netzpolitik.org: Wie bist Du vorgegangen?

Florian Strankowski: Kurz und Knapp: Jeden Schritt protokolliert (Live-HTTP-Header/ Firefox Addon), Sourcecode der Seiten analysiert, Login-, Logout-, Profilaufrufprozeduren analysiert und alles aufgeschrieben. Dann auf dem guten alten Blatt Papier (ich glaube es waren am Ende 10 Seiten) die Vorgehensweise in Form eines PAP (Programmablauf Plans) aufgeschrieben und letztendlich programmiert. Wie im Paper beschrieben, musste ich mich halt immer neu ein- und ausloggen. Das Erstellen der Accounts hat einige Zeit in Anspruch genommen (Habe hier jetzt knapp 800 Accounts). Dann nur noch Programm anschmeißen und abwarten.

netzpolitik.org: War das crawlen der Daten einfach?

Florian Strankowski: Jein. Da der Sourcecode von den VZ-Seiten recht unsauber ist, war es Anfangs eine Qual alle Regular Expressions zu schreiben, denn auch wenn man vermutet, dass der Aufbau einer Profilseite dem einer Anderen gleicht, ist dies leider nicht der Fall. Auch das letztendliche Crawlen war kinderleicht, nicht einer meiner 800 Accounts wurde gesperrt.

netzpolitik.org: SchülerVZ hat im letzten halben Jahr nach eigenen Angaben viel für eine bessere Sicherheit gemacht. War das ausreichend, bzw. was hat SchülerVZ Deiner Meinung nach falsch gemacht?

Florian Strankowski: Ich frage mich, ob das ein PR-Gag war. Es gab vielleicht mehr Informationen wie man die Privatsphäre seines Profils ändern kann (Tutorials & Co), jedoch wurden die temporär eingesetzten Captchas (reCaptcha) wieder entfernt, was ein großer Rückschritt war. Wie man in diesem Fall gut sieht, bringt die Limitierung von Aktionen pro Account nichts, denn man kann sich selbst ja immer wieder neu Einladen und somit unbegrenzt viele Accounts erstellen -> und somit Aktionen durchführen. Somit ist die derzeitige Lösung ungenügend. Warum der TÜV dies nicht bemerkt hat, verstehe ich jedoch nicht.

Falsch ist einfach die Herangehensweise an die Thematik. Wie ich Dir bereits geschildert habe, sind Profile in Gruppen sichtbar, obwohl sie privat sind, auf Bildverlinkungen stehen die Namen von Profilen, welche auch privat sind. Man kann doch einfach überprüfen, wie das Nutzerverhalten ist. Wenn man merkt, dass ein Nutzer am Tag und damit meine ich über Tage immer die knapp 2000 Aktionen damit verschwendet Profile aufzurufen, müssen die Alarmglocken doch mal klingeln.

netzpolitik.org: Warum hast Du nur 1,6 Mio Datensätze gesammelt?

Florian Strankowski: Ich hatte zwischenzeitlich weit über 2 Millionen Datensätze. Nach einer Optimierung des Codes habe ich jedoch einige Verworfen und habe bei einer Million wieder angefangen. Da mein Crawler jetzt „perfekt“ ist und rundläuft, habe ich es dabei belassen. Wenn ich mit der Veröffentlichung eine Woche länger gewartet hätte, so hätte ich dann knappe 4-5 Millionen Datensätze – davon keiner doppelt. Eigentlich gab es noch eine Intention, mehr Datensätze zu sammeln als mein Vorgänger, aber nach der Optimierung habe ich das dann wieder verworfen, ich hatte ja schon > 2 Mio.

netzpolitik.org: Betrifft das Problem auch StudiVZ und MeinVZ, bzw. warum hast Du nur SchülerVZ genommen?

Florian Strankowski: Das Problem betrifft alle Netzwerke von VZ – denn alle basieren auf dem gleichen Code. Dies sieht man auch sehr schön im Quelltext! Daher war es so einfach einen Crawler für alle Netzwerke zu schreiben. Auf SchülerVZ traf meine Wahl, weil es hier besonders wichtig ist, die Daten der minderjährigen Nutzer zu schützen. Ich wage es kaum auszusprechen, aber wenn Millionen Daten von Minderjährigen in die falschen Hände geraten, kann schnell man etwas passieren und später will keiner die Schuld haben, auch nicht der TÜV.

Als Hintergrund zum aktuellen Datenleck bei SchülerVZ haben wir ein Interview mit Florian Strankowski von der Leuphana-Universität Lüneburg gemacht, der die Sicherheitslücken entdeckt hat.

Hier ist noch ein Video, was den Crawler bei der Arbeit zeigt (Nicht so spektakulär wie ein Hollywood-Film):

Hier klicken, um den Inhalt von Maps Marker anzuzeigen.

SchülerVZ-Crawler from netzpolitik on Vimeo.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

87 Ergänzungen

  1. Ich finde es immer wieder „lustig“, wie sehr sich Seiten mit Zertifikaten schmücken, die bestätigen, dass sie sicher usw. sind.

    Früher wurden Talismane (ist das der Plural von Talisman?) umgehangen, um Unheil abzuwehren, heute schmnückt man sich mit Zertifikaten…

  2. Wahnsinn. Der TÜV sagt: „Ist alles okay!“, aber dann kommt einer und sagt: „Ätsch.“

    Hier wurden gleich zwei Institutionen vorgeführt.

  3. Naja, ob man Crawlen jetzt wirklich effektiv verhindern kann ist auch die Frage. Wenn es eine Begrenzung der Aktionen pro Account gäbe, dann würde ein Angreifer halt einfach noch mehr gefälschte Konten erstellen, oder nicht? Das Gleiche mit Captchas.

    So ein Vorgehen klappt doch sicher fast überall im Internet.

  4. Datenleck? – Das ist doch das Kerngeschaeft von den VZs. Gib uns deine Daten.

    Ich habe ja keine Ahnung aber dass jemand (nach erfolgreicher Anmeldung von vielen Accounts) die Seite crawlt ist doch weissgott keine Hexenwerk.

    \Datenleck bei Google: Durch die Verwendung von mehr als 500.000 verschiedenen offenen Proxy Systemen hat es Strankowski geschaft die Google Suchdatenbank zu kopieren\

  5. Ich bin da auch schon lange raus, aber frech sind die Statments von Studi-VZ: „SchülerVZ-Sprecher Dirk Hensen bewertet das anders: „Ein Nutzer hat für alle SchülerVZ-Mitglieder einsehbare Profilinformationen im eingeloggten Zustand kopiert. Es handelt sich explizit nicht um ein Datenleck.““
    Siehe http://www.spiegel.de/netzwelt/web/0,1518,692822,00.html

    So, und nun schaun wir mal, wie hohe Wellen diese Lücke schlägt: Und? Richtig, sie ist weniger hoch als das letzte Mal. Was wird also passieren? man wird sich dran gewöhnen, genauso wie Hungertote in Afrika, die in den täglichen Nachrichten keine Berücksitigung mehr finden, werden Berichte über Datenlecks zur Normalität und verschwinden aus den Medien…
    ein Schritt näher zum gläsernen Bürger, mündig ist hier schon lange niemand mehr gewünscht!
    mir grausts vor der Zukunft.

  6. Ich sehe das eigentliche Problem gar nicht in der Datensicherheit, denn wie einer der Vorkommentierer hier schon sagte, trifft das crawlen sehr viele sozialen Netzwerke.

    Das Problem ist eher in der Freizügigkeit, welche wir bereit sind uns hinzugeben. Wir bauen 2m hohe Zäune um unsere Grundstücke, damit kein Nachbar Einblick hat, dann drehen wir uns um und tragen unsere sexuellen Vorlieben in irgendein Social Network ein, das jeder Mensch auf der Welt lesen kann…
    Ich denke jeder muss für sich aufpassen, welche Daten er über sich selbst und andere veröffentlicht. Und im Falle des SchülerVZ müssen Eltern aufpassen oder/und die Betreiber auf Anonymisierung o.ä. achten.

    Wenn wir uns auf der Straße zu laut unterhalten, kann auch jeder mithören!

  7. @Blubb (#10)

    Gute Captchas sind ein wirksamer Schutz. Nur leider sind sie auch unbequem. So ist es immer: entweder bequem, einfach und unsicher oder unbequemer, aber dafür sicherer.

    Bei der VZ-Gruppe hat man sich offenkundig bewusst für den bequemen und unsicheren Weg entschieden. Anscheinend will man es den Nutzern möglichst leicht machen, persönliche Daten in die VZ-Netze einzustellen. Denn schließlich ist Datensammeln das Geschäft der VZ-Gruppe.

    Frau Aigner, wo sind Sie wenn es nicht um Facebook und Google geht, sondern einem deutschen Datensammler?

  8. Mir ist nicht ganz klar, wo genau jetzt die Lücke ist. Wurden denn Daten ausgelesen, die der Nutzer auf Privat gestellt hat? Hat sich jetzt nicht so angehört.

    Man kann Crawler nicht verhindern. Alles was ein fremder Nutzer sehen kann, kann auch ein Crawler sehen. Dagegen kann es keinen Schutz geben. Man könnte höchstens durch entsprechende Beschränkungen nur x Seitenabrufe pro Minute/Stunde/Woche erlauben. Aber dann ist der Crawler nur langsamer. Öffentliche Informationen sind nunmal öffentlich. Wer sich darüber wundert, hat irgendwas noch nicht verstanden.

  9. mit sowas einfachem sollte man sich nicht wirklich beschäftigen.
    ein system was nich k.o. war, ist acuh nciht angegriffen worden.
    mfg

  10. § 202a StGB, § 202c StGB, vermutlich Rechte aus dem Datenschutzgesetz und natürlich Rechte des Datenbankherstellers i.S.d. UrhG.

    Ich hoffe, die Inhaber von SchülerVZ haben nicht vor, Strafverfolgungsbehörden einzuschalten. Das endet möglicherweise ziemlich böse für Florian Strankowski.

  11. Wie kann man denn dem TÜV im Internet glauben schenken? Die drucken Ihre Mails doch noch aus…

    Und den ganzen „Angriff“ finde ich persönlich jetzt auch nicht sonderlich spektakulär (aber gut, Wirtschaftsinformatiker halt >:D). Mitm Crawler Namen auslesen, und? Wen interessieren denn die Namen? Was willst du denn jetzt damit? Beweisen, dass Person XY SchülerVZ hat? Na vielen Dank, das hat mich schon die ganze Zeit brennend interessiert…

    PS: Wer bei derartigen Portalen mit echtem Namen ein- und ausgeht hat keinen Schutz verdient.

  12. Schade, dass ich keinen SchülerVZ-Account mehr habe. Ich würd jetzt zu gern sehen, wie die sich da wieder rausreden wollen.

    Zu dem Video: Wieso ist aus der Titelzeile von Putty der Hostname rausgeschwärzt, wenn man innerhalb des Fensters sehen kann, dass der Crawler auf maileimer.net oder so ähnlich läuft?

  13. mit diesen Infos liessen sich schon ziemlich fiese Inverse suchen betreiben

    z.B. alle Mädchen zwischen 12 und 14 Jahren, die in Gruppen, deren Name das Wort „sex“, „jungfrau“ o.Ä. enthält
    sind bestimmt auch welche mit klarname und wohnort dabei

    das lässt die offizielle VZ suchschnittstelle natürlich nicht zu, obwohl sie ja auf die gleichen Daten zugreift

    sie sollten zügig die captchas wieder einführen und statt der 2000 Aktionen Begrenzung etwas ausgereiftere Erkennungsmethoden einführen

    der nächste crawler ist vielleicht nicht so verantwortungsvoll

  14. Wen man unter Buschfunk einen Hyperlink mit der URL zu diesem Artikel einstellt, kommt die Meldung:

    „Netter Versuch! Zu sehen gibt’s hier aber trotzdem nix…“

    Versucht doch mal, ob das bei euch auch kommt!

  15. @TM44

    Was für ein Blödsinn vom „mündigen“ Bürger. Der Bürger ist doch mündig und kann sagen NEIN. Nur ist der Bürger auch ein Wesen, dass stumpfsinnig der Herde folgt. Bei den Kindern und Halbwüchsigen mag das noch am unausgereiften Verstand liegen aber bei den Studis?.

    Der VZ-Sprecher hat im Prinzip recht: So etwas als Datenleck zu präsentieren ist starker Tobak. Es ist – wie im Text schon angedeutet – die Kombination von Webbrowser und Text-Scanner in einem Skript. Das ist etwas, was die StudiVZ-Anhänger ständig manuell machen, nur eben vom Programmierer automatisiert. Der Erlanger „Hacker“, der sich damals in der Haftanstalt umgebracht hat, wäre deshalb wahrscheinlich auch kaum wegen seinem Skript verurteilt worden.

    Und dass man für den DAU (aka Dümmster Anzunehmender User) die Captchas weglässt ist auch nur konsequent, denn der würde überhaupt nicht kapieren wozu das gut ist und zu Facebook wechseln. Logisch, wenn ein Wirtschaftsunternehmen wie die VZ-Gruppe sich da lieber für „Kundenfreundlichkeit“ entscheidet …

    Und im Übrigen werden ja sogar hin und wieder CIA-Dokumente (Daten) geleckt, äh… geleakt, gewhistleblowt, gedownloaded – herrgott: verbreitet!

  16. Ich kann nur wiederholen: SchülerVZ hat kein Datenleck, es ist ein Datenleck.

    Genau wie alle anderen „Social Networks“.

    Ich verstehe die Aufregung hier nicht: was ist denn der Unterschied, wenn andere oder wenn nur der Betreiber von SchülerVZ die Daten nutzt?

    Soll hier das Geschäftsmodell von SchülerVZ geschützt werden?

    Wer seine Daten in ein solches „Soziales Netzwerk“ eingibt, muss sich endlich bewusst sein: das bedeutet, sie sind zur freien Verwendung veröffentlicht.

    Viele Grüsse,
    VB.

  17. @david: Hmm. Stellen wir uns einmal ein 12 bis 14-Jähriges Mädchen vor. Und jetzt überlegen wir mal, aus welchem Grund ein solches Mädchen eine Gruppe mit „sex“ beitreten sollte. Also mir fällt da keiner ein. Ich würde eher vermuten, dass „sex“ im Gruppennamen 12 bis 14-Jährige abschreckt.

    Und selbst wenn, dass ein 12-14-Jähriges Mädchen noch keinen Sex hatte kann man sich auch so denken, da braucht man kein „jungfrau“ im Gruppennamen.

    Und um das mal deutlich zu sagen: Es können über Gruppen weder Alter noch Geschlecht abgelesen werden (höchstens aufgrund des Gruppennamens vermutet). Damit ist das keine Sicherheitslücke! Wer sein Geburtsdatum nicht auf privat setzt, muss damit rechnen, dass Menschen (oder Maschienen) das Profil öffnen und diese Information lesen können.

  18. @david

    so wie ich das aus dem Text lese, kann der Crawler lediglich Namen in Zusammenhang mit Gruppen auslesen. Vom Alter stand da jetzt nichts ausdrücklich – oder täusche ich mich?

    Ne klare Aufzählung, was dieser Pseudo-Neo nun wirklich in Händen hält würde mich dementsprechend auch interessieren. 1,6 mio. private Datensätze könnte so ziemlich alles sein.

  19. @nico

    meinentwegen kann man auch nach 12-15 jährigen suchen
    weshalb sie das tun sollten? um zu provozieren und 15-18 jährige Jungen auf sich aufmerksam zu machen…

    wenn man auf seinem eigenen rechner unbeschränkt inverse suchen in dieser Datenbank machen kann, dürfte es möglich sein ziemlich zuverlässige Pädo Kataloge zu erstellen
    da gibt es sicher noch bessere suchkriterien als diesen ersten ansatz

    er hat ja nicht nur die gruppen gecrawlt sondern so ziemlich alles einsehbare
    natürlich nur bei leuten, die das einsehen lassen

    du kannst aber wirklich nicht von schülern erwarten, dass sie überblicken was das möglicherweise für langzeitfolgen hat
    sie stellen die daten nur ein um sich mit ihren freunden auszutauschen und denken nicht an automatisierte crawler

  20. @david: Natürlich, also 16-Jähriger habe ich auch immer nach Gruppen gesucht, die sowas enthielten, nur um die Mädchen darin anzusprechen und festzustellen, das die meisten > 100 km entfernt wohnten.

    Ne, mal Scherz beiseite. So eine Datenbank als Pädo Katalog zu bezeichnen, geht mir deutlich zu weit. Egal nach welchen Begriffen man sucht. Pädophile werden sich entsprechende Bilder ansehen wollen. Diese gibt es natürlich in keinem VZ-Netzwerk. An Adressen oder andere Kontaktdaten kommen sie auch nicht ran. Für einen Pädophilen wäre es viel sinnvoller sich an die nächste Schule zu stellen.

    Wenn du schon argumentierst, dann bitte etwas sachlicher und nicht gleich populistisch, aber falsch.

  21. Klar ist das ein Datenleck. Wenn die Daten in eine Datenbank abgezogen werden können und dadurch Verknüpfungen und Abfragen möglich sind, die das Netzwerk nicht anbietet (ob interne Abfragen wie das Beispiel von @nico oder die Verknüpfung mit anderen Datenbanken), dann werden die Daten missbraucht. Schutz vor Datenmissbrauch ist Pflicht des Anbieters des Sozialen Netzwerk und nicht des Benutzers.

  22. Langsam und sicher glaube ich, dass hier ein neuer Freizeitsport gefunden wurde – suche in allen möglichen Portalen nach Datenlecks.

  23. Strankowski nutz eindeutig eine Lücke. Ich würde es aber in diesem Falle nicht als Sicherheitslücke bezeichnen: An der Aufklärung der User hapert es wohl eher. Würden die Privatsphäreneinstellungen enstprechend gesetzt oder der Recaptcha wieder eingfeführt, so könnte der Crawler keine Daten auslesen.

  24. Alle die nach Aufklärung der Nutzer rufen: Ihr habt keine Kinder, oder? Jugendliche wollen neue Kontakte knüpfen und nicht ihr Profil verrammeln. Eine hohe „Privatsphäre“ bedeutet für 13-17-Jährige Einsamkeit, ausgeschlossen sein.

  25. @Nico Düsing:

    Wenn du schon argumentierst, dann bitte etwas sachlicher und nicht gleich populistisch, aber falsch.

    Wie wäre es, wenn du das auch selber beherzigen würdest statt hilflos durch die Gegend zu spekulieren? Oder möchtest du bestreiten, dass die Daten die Ansprache (Hobbys, persönliche Vorlieben!) möglicher Opfer erleichtert?

    @Volker Birk: Ich habe das Gefühl, dass du trollst, obwohl du es eigentlich besser weisst.

    Dem Betreiber VZnet sind in Deutschland vergleichsweise enge Grenzen gesetzt, was die Verwendung der Daten, insbesondere in personalisierter Form, betrifft. Bis zum Nachweis des Gegenteils gehe ich davon aus, dass sich VZnet aus eigenem Interesse zumindest grundsätzlich an diesen Grenzen orientiert.

    Datensätze, die auf dem freien Markt oder in irgendwelchen Foren kursieren, sind Freiwild, ebenso wie die Menschen, die sie betreffen.

  26. für unsauberen html code gibts
    Tagsoup (java): http://home.ccil.org/~cowan/tagsoup/
    Tagger (C++ port von tagsoup): http://www.jezuk.co.uk/cgi-bin/view/arabica/log?id=3591

    Ob man die man die „einfach“ mit einem opensource crawler verwenden kann weiß ich nicht…im zweifelsfall kann man sicher einen Adapter schreiben.

    Crawler sind wirklich leicht zu schreiben, vor allem deshalb finde ich es unverantwortlich sich vor diesen kaum zu schützen, wie Florian Strankowski schließlich schreibt wurden so gut wie keine Schutzmaßnahmen betrieben.

  27. @Tim: Du hast vollkommen recht. Es geht nicht darum, sie davon abzuhalten, sondern ihnen Tipps zu geben, wie sie SchVZ nutzen, ohne viel ihrer „Privatsphäre“ preis zu geben.

    Viele haben das Logo ihres Lieblingsvereins als Profilbild, oft keine Klarnamen oder den Nachnamen abgekürzt und oft auch das ganze Profil, für Nichtfreunde verschlossen. Sie kennen ja sowieso die meisten aus dem Alltag und haben sich zuerst persönlich getroffen.

    Genauso spielen die meisten Jugendlichen auf LANs Egoshooter. Das gehört einfach dazu. Ich finde das in Ordnung, wenn sie damit umgehen können.

    Und trotzdem sind viele auch begeistert, wenn sie mal was anderes machen. Gemüsedipp geht oft viel schneller weg, als Chips.

    Nein ich schweife nicht ab: Ich will darauf hinaus, dass das Internet großartige Möglichkeiten bietet.

    Man kann sich über Soziale Netzwerke, Killerspiele, oder die ungesunde Ernährung der „Jugend von Heute“ aufregen. Sie zu verbieten ist jedoch nicht der Richtige weg, sondern ihnen Alternativen auf zu zeigen.
    Ob Gemüsedipp, Jugendräume, Medienkompetenz oder „Killerspiele“ mit Wasserpistolen (oder Schneebällen im Winter) im RL, sowas wird von Jugendlichen angenommen.
    Einige feiern ihren 18. Geburtstag sogar wie einen Typischen Kindergeburtstag mit Topfschlagen und co., einfach weil es lustig ist.

    Tim, wenn wir über Jugendliche reden, dürfen wir dessen Alltag natürlich nicht vergessen, aber wir sollten auch nicht vergessen, aber wir können sie auf den richtigen Weg bringen. Um aus Kindern jedoch selbst bestimmte Erwachsene zu machen, müssen diese lernen auf sich selbst auf zu passen. Man kann ihnen nicht verbieten bei SchVZ zu sein, aber man kann sie über die Gefahren aufklären und Verbesserungsvorschläge machen.

    Das kannst du als Vater, ich als Betreuer und das machen die Jugendlichen auch untereinander (und gerade dann ist es am effektivsten).

  28. @Jörg-Olaf Schäfers: Hobbys könnten da wahrscheinlich hilfreich sein sie anzusprechen. Es ist jedenfalls ein VIEL besseres Argumen, als das von david.
    Ich halte das dennoch nicht für einen effizienten Weg, aus vielen Gründen, die ich hier nicht genau erläutern möchte. Wenn du Interesse hast können wir da gerne gesondert mal drüber sprechen.

    Nur so viel: Hobbys und Interessen lassen sich Leicht an Kleidung und Verhalten ablesen (oder an Vereinsmitgliedschaften …). Jugendliche sind nicht dumm und sind skeptisch, wenn sie von fremden angesprochen werden (in vielen Fällen aus der Presse sind die Täter Verantwortliche aus dem Umfeld (siehe Kirche)). Nach der Schule kann man in SchVZ genauso gut suchen (in der normalen Suche). …

  29. Zusammenfassung:

    Florian Strankowski hat es geschafft mittels eines PHP-Scripts (, was nicht unbedingt eine Leistung ist) öffentliche Daten auszulesen.

    Ich wiederhole: ÖFFENTLICHE Daten

    Sinn und Zweck des ganzen?

  30. Einfach nur (im traurigen Sinne) genial, was man alles anstellen kann, wenn man nur Bots programmieren kann.
    Die Idee mit den Fake-Accounts habe ich mir schon einmal überlegt. Der Bot wiederum würde nach meinen Plänen mit Greasemonkey laufen. So einfach!
    Daten klauen ist das eine. Wie wäre es aber, wenn mal mit genau der gleichen Geschwindigkeit dieses Fakeaccounts SVZ-Seiten zuspammen? Dies würde genau so leicht gehen.

    Allerdings sehe ich das alles nicht so dramatisch wie einige hier. Wer kann denn wirklich etwas mit meinem bei SVZ angegebenen namen „Fabian W.“ und meinem Foto etwas anstellen?

  31. Moinsen liebes Netzpolitik.de-Team.

    Darf man fragen ob Google-Bots bzw. Crawler von Suchmaschinen täglich als Skandal und Datenleck von Euch postuliert werden? Denn technisch ist nichts anderes passiert, als das jemand öffentlich zugängliche Informationen mittels eines selbstgeschriebenen Crawlers gespeichert hat. Nicht öffentliche Informationen wurden aber eben – nach allen vorliegenden Infos – nicht gesammelt.

    Sollte man daher Worte wie Skandal und Datenleck nicht lieber wirklichen Skandalen und Datenlecks vorbehalten? Hier sehe ich beim besten Willen (auch durch die Nebelbrille) keinen Skandal geschweige denn ein Datenleck.

    Nur so ein Gedanke. Sollte ich mir irren, bitte ich freundlichst um „Erleuchtung“.

    Danke.

    Simon

    1. @Simon Lange von der Piratenpartei: Offensichtlich bist Du hier falsch, denn die URL hier lautet netzpolitik.org und nicht netzpolitik.de. Falls Du Dich vertan hast: Darf ich weiterhin fragen, wie Dein Verständnis von einem Google-Bot zu einem geschlossenen System ist, wo laut Datenschutz-Erklärung keine Daten nach außen kommen? Ich empfehle für den Einstieg mal zu googlen, wie Such-Robooter arbeiten und welche Daten sie sammeln.

  32. Prahlehans und Effekthascherei. Mal etwas realistischer beäugt sind Beschreibungen wie Datenleck oder -Panne hier überflüssig.

    Datencrawlen nach einem solchen Schema lässt sich mit technischen Mitteln nicht verhindern. Wenn man nur genug Fake-Accounts anlegt, und die Spider in angemesseneren Intervallen zugreifen lässt, kann kein Provider sowas feststellen oder unterbinden.

    Peinlich für DummiVZ ist nur, daß hier jeder Crawler-Account 2500 Profile innerhalb weniger Tage aufgerufen hat. Das sollte schon im feststellbaren Bereich liegen. (Ob man andererseits möchte, daß der Anbieter das Surfverhalten derart überwacht…)
    Und genauso peinlich ist, daß alle 2Mio Zugriffe wohl von einem einzigen Rechner stattfanden.
    Wenn so ein Crawler-Netzwerk über Proxies hereinkommt, oder aus ActiveX-Malware auf Botnet-Windows-PCs besteht, könnte man das kaum feststellen. – Aber bitte, bei *einer* IP, und über ner Mio Zugriffen – ..!

    Technisch interessant an dem Bericht finde ich jetzt nur, daß viele Profil-Daten als Metainformationen auf irgendwelchen Gruppen-Seiten sichtbar sind. Und wenn dort auch noch „geheime“ Profile aufgelistet werden, zeugt das nicht von ernsthaften Bemühungen beim tüvgeprüften DatenschutzVZ.
    Aber das Auslesen jetzt mit einer großen Anzahl von Profilen aufzubauschen, ist doch albern.

    1. @mario: Aus der Datenschutz-Beschreibung von SchülerVZ:

      Darauf kannst du dich verlassen: VZ Datenschutz – Deine Daten gehören Dir.
      * Deine persönlichen Daten sind auf unseren Servern (den Speicherorten für diese Daten) bestmöglich geschützt. Sie können z.B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb vom schülerVZ auf.

      Offensichtlich kann dieses Versprechen nicht gehalten werden, wie wir hier nachgewiesen haben, und was Du mit den Worten „Prahlehans und Effekthascherei“ kommentierst.

  33. Um an die Daten zu kommen, muss man sich bei SchülerVZ registrieren und einloggen. Die Daten die dort abgegriffen wurden waren allein darum schon nicht öffentlich.
    Auch der Vergleich mit dem abschreiben aus dem Telefonbuch, das quasi frei verfügbar, ohne Umstände jedermann, mit oder ohne Telefonanschluß, zugänglich ist, ist dadurch hinfällig.

    Was hier offensichtlich einige nicht verstanden haben:
    Die Daten stammen aus den Gruppen in denen sich ein Mitglied angemeldet hat. Erst ab hier war der Zugriff auf die, im Profil für Nichtmitglieder der Gruppe gesperrten, Daten möglich.

    Diese Tatsache, dass man einerseits seine Daten gesperrt haben kann, diese dann aber eine Ecke weiter ohne eigenes Zutun wieder verfügbar sind, würde ich schon als ‚Leck‘ bezeichnen – Sofern nicht an geeigneter Stelle ganz eindeutig und unmißverständlich auf genau diesen Umstand hingewiesen wird.

  34. Beachtliche (und vor allem sehr schnell aufgebaute) Resonanz für euren Bericht diesmal, wobei mir das \Leck\ diesmal auch weniger kritisch vorkommt als noch beim letzten VZ-Fall oder Facebook.

    1. @Phil: Da der Fall diesmal sehr ähnlich war zu den Datenlecks bei SchülerVZ im vergangenen Herbst und SchülerVZ viele Maßnahmen versprochen hat, damit sowas nicht mehr vorkommt, gab es quasi eine Vorpremiere.

  35. Ich habe mal probeweise das HTML einer Gruppenseite angesehen. Außer den Namen und dem Profilbild derer, die in der Gruppe ihre Sichtbarkeit erlaubt haben, sowie den Postern im Forum, sind da keine Benutzerinformationen zu finden. Also nur „öffentliche“ informationen und kein Leck. Wenn jemand einen HTML-Schnipsel in Gruppen findet, bei dem das anders ist, gerne her damit.

    @Toddi: Es ist natürlich im klassischen sinne nicht öffentlich. Andererseits ist es für Millionen von Menschen abrufbar, die man nicht kennt. Wer zugriff darauf haben will muss nur einen dieser Millionen finden, der ihn einlädt. Privat oder sonderlich geschützt ist das sicherlich nicht.

  36. Bei genauerer Betrachtung sitzt das Datenleck dann wohl doch eher vor dem Bildschirm bzw. dem entsprechend medienkomponenten Erziehungsberechtigten.

  37. 24. Post pflicht
    „PS: Wer bei derartigen Portalen mit echtem Namen ein- und ausgeht hat keinen Schutz verdient.“

    Die Namen sind eher ein unwichtiges Detail. Viele Firmen geben mengen an Geld aus um an solche Daten für Personen(gruppen) spezifizierte Werbung zu machen…
    Nebenbeibemerkt handelt es sich normalerweise um Kinder die in den AGB und Verhaltenscodex ein „Wir wollen korrekte Inhalte“ eingeflößt bekommen.

    —–

    28. Post Ominoko
    „Und dass man für den DAU (aka Dümmster Anzunehmender User) die Captchas weglässt ist auch nur konsequent, denn der würde überhaupt nicht kapieren wozu das gut ist und zu Facebook wechseln.“

    Und dass man wissen sollte, dass in Facebook für jeden Scheiß die Recaptcha eingesetzt werden…

    —–
    29. Post Volker Birk
    „Ich kann nur wiederholen: SchülerVZ hat kein Datenleck, es ist ein Datenleck.“

    Das kommt auf die Sichtweise an.
    Ich würd das schon als solches bezeichnen, da es normalerweise nicht möglich sein sollte so massenhaft Daten zu sammeln. Technisch ist es zwar schwerer zu realisieren, aber Sicherheit ist ja bekanntlich ein Prozess und kein Zustand.

    —–

    34. Post Nico Düsing
    „Egal nach welchen Begriffen man sucht. Pädophile werden sich entsprechende Bilder ansehen wollen. Diese gibt es natürlich in keinem VZ-Netzwerk.“

    Dazu zittire ich mal einen Eintrag aus dem Feedbackforum:
    „Liebes Schülervz-Team,
    bitte holt den alten Fotoloader zurück,
    bei mir isses schon so weit, dass leute nacktbilder von sich hochladen und ich die im schnappschüsse album mit angucken darf -.-
    is nich so schön..“

    Soviel zum Thema gibts nicht…
    Ich hab erst gestern wen wegen vergleichbarem gemeldet. Die VZs sind absolut keine heile Welt!

    —–

    37. Post Mario
    „Langsam und sicher glaube ich, dass hier ein neuer Freizeitsport gefunden wurde – suche in allen möglichen Portalen nach Datenlecks.“

    Das glaub ich irgendwie auch und irgendwie finde ich das gut, denn es ist besser wenn es öffentlich bekannt ist, dass ein System nicht sicher ist. Dann hat der Nutzer aufgrund des Misstrauens eher das Bewusstsein dafür nicht allzu private Details von sich Preis zu geben die nicht jeder sehen sollte.

    —–

    39. Post Tim
    „Alle die nach Aufklärung der Nutzer rufen: Ihr habt keine Kinder, oder? Jugendliche wollen neue Kontakte knüpfen und nicht ihr Profil verrammeln. Eine hohe “Privatsphäre” bedeutet für 13-17-Jährige Einsamkeit, ausgeschlossen sein.“

    Stimmt ich hab noch keine (halte mich mit unter 20 noch für zu jung ^^), aber eine hohe Privatsphäre heißt nicht gleich Einsamkeit & ausgeschlossen sein. Aber es muss ein entsprechendes Bewusstsein dafür geschult werden. Das fehlt derzeit bei vielen anderen, daher ists Aufgabe der Eltern das zu schulen und vor allem des VZs auch „ungeschulten“ einen Schutz zu bieten.

    —–

    49. Post web008
    „Zusammenfassung:
    Florian Strankowski hat es geschafft mittels eines PHP-Scripts (, was nicht unbedingt eine Leistung ist) öffentliche Daten auszulesen.
    Ich wiederhole: ÖFFENTLICHE Daten
    Sinn und Zweck des ganzen?“

    Du beantwortest deine Frage selbst.
    Gerade da es keine Kunst ist muss ja was getan werden!
    Ich Sage: NICHT öffentliche Daten, denn für das schülerVZ benötigt man einen Account, welchen man über ne Einladung bekommt…

    —–

    52. Post Simon Lange
    „Moinsen liebes Netzpolitik.de-Team.
    Darf man fragen ob Google-Bots bzw. Crawler von Suchmaschinen täglich als Skandal und Datenleck von Euch postuliert werden? Denn technisch ist nichts anderes passiert, als das jemand öffentlich zugängliche Informationen […]“

    Bin zwar nicht vom Netzpolitik.org Team, aber ich möchte nochmal wiederholen, dass es eben nicht wirklich öffentliche Daten sind. BTW Um den Google Chrome gibts entsprechende Diskussionen…

    —–

    So hab genug Kommentare kommentiert… ^^
    Ich denke meine Meinung dazu kann man sich aus diesen herauslesen.

  38. @66 Toastbrot: Endlich mal einer, der mir aus der Seele spricht. Nur weil man es machen kann, ist es noch lange nicht toll.

    @67 Gunnar: Weil es die Textwand auflockert und gut aussieht. Und so hässlich ist der Florian auch nicht, dass man dagegen protestieren müsste. Aus selbstdarstellerischen Gründen hat er das meines Erachtens nicht getan.

    -„caucus of“-

    PS: Hier gibts noch mind. einen weiteren Floh. Wir sind nicht immer der selben Meinung. Wir sind nicht die selbe Person.

  39. Eben festgestellt, dass man meinen Kommentar zu #66 auch falsch verstehen kann… Ich meinte natürlich – nur weils jeder machen kann, heißt es nicht, dass es möglich sein sollte. Wenn einer hergeht und das von Hand macht, braucht er ewig. Daher sollten Crawler, die das doch wesentlich schneller erledigen können, in sozialen Netzwerken nicht oder möglichst schlecht arbeiten können.

    -„described beverages“-

  40. VZ ist wirklich ein SAULADEN, sagen meine Freunde!

    Null Service!

    Null Sicherheit!

    Dauernd techn. Probleme!

    Ich bin jedenfalls geheilt. Von mir bekommen soziale Netzwerke keine Daten.

  41. Ich meine, es handelt sich in diesem Fall NICHT um eine Sicherheitslücke. Es wurde nur den automatisierten Crawlern einfach gemacht, Massendaten zu sammeln. Es wird IMMER möglich sein, öffentliche Daten in einem bestimmten Umfang zu sammeln.

    Anders ist es, wenn es möglich wäre, eine Struktur in der Dateinamensgebung (z.B. jan_private001.jpg) zu finden. Das ist sehr wohl eine Sicherheitslücke. Bitte korrigiert mich, aber dieses tritt in diesem Fall nicht auf, oder?

  42. Ich verstehe die Verharmlosung von einigen nicht.

    1.) Wenn VZ nicht einmal Captchas einsetzt, dann tun sie lange nicht alles, was sie tun könnten, um das maschinelle Auslesen der Daten zu verhindern.

    2.) Es geht um besonders sensible Daten von Kindern und Jugendlichen.

    3.) Die Datenschutz-Beschreibung von SchülerVZ finde ich irreführend, denn Daten werde sehr wohl maschinell ausgelesen.

    Es ist möglich, dass bereits viele komplette Datensätze der Schüler im Umlauf sind. Ich finde sehr wohl, dass man ernst nehmen sollte.

    Einerseits will man uns kontraproduktive Zensurinfrastruktur zum Schutz von Kindern verkaufen („Zensursula“, „Censilia“), aber wenn es um echte Gefahr und Geschäftsinteressen geht, schau man lieber weg. Ja, ich finde, man kann das einen Skandal nennen.

  43. @Tharben:
    zu 1. Captchas verhindern kein Crawling, sie erschweren es höchtens. Und mittlerweile ist das Hacken von Captchas durch Bildanalyseverfahren ein „motivierender Sport“ geworden.

    zu 2. Um welche Daten geht es denn genau? Ich finde, man sollte durchaus differenzieren zwischen Daten, aus denen Trends ablesbar sind, und Daten, mit denen man gezielt Rückschlüsse auf eine bestimmte Person ziehen kann (gerade wenn diese Person bestimmte Daten als privat deklariert hat). Letzteres wäre unverantwortlich und ein Skandal. Aber ist es in diesem Fall auch wirklich so?

    zu 3. In der Datenschutzbeschreibung habe ich gerade keine Passage gefunden, die darauf hindeutet, dass die Daten nicht maschinell ausgelesen werden.

    Den eigentlichen Schaden hat doch VZnet selber, denn es hat hier jemand Datenpakete gesammelt, aus denen man Trends ablesen kann. Und diese Trends sind eine beliebte Handelsware.

    Eigentlich müsste die Debatte weiter in die Richtung gehen, wer den eigentlich verantwortlich ist, wenn Minderjährige einen Service wie SchuelerVZ nutzen und nicht richtig mit ihren eigenen Daten umgehen. Da sind Eltern und Lehrer, aber auch VZnet gefragt…

  44. @Bresenham (#73)

    1.) Mir ist bewusst, dass einfache Captchas maschinell gelesen werden können. Gute Captchas hingegen sind nicht maschinell zu lesen. Sie sind also ein effektiver Schutz.

    2.) Es geht um folgende Daten: Name, Alter, Geschlecht, Schule, Klasse, Bild, Beziehungsstatus, Hobbys, politische Einstellung, Lieblingsfach, -musik, -filme, -bücher, wie lange man im SchülerVZ aktiv ist und individuelle Selbstbeschreibungstexte. Wenn, wie von „vielen Schülern“ gehandhabt, nicht scharfe Datenschutzeinstellungen aktiviert wurden. [Link]

    3.) „maschinell auslesen“ kann missverständlich sein. Ich meine damit massenhaft und automatisiert auslesen. Ich finde, dass SchülerVZ suggeriert, dass dies unmöglich sei:

    * Deine persönlichen Daten sind auf unseren Servern (den Speicherorten für diese Daten) bestmöglich geschützt. Sie können z.B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb vom schülerVZ auf.

    Deine Bedingungen für einen Skandal sehe ich erfüllt.

  45. Dass der Datenschutz bei vielen sozialen Netzwerken mangelhaft ist, ist eine Sache, aber
    dass dieser Sache in einigen Kreisen so viel Aufmerksamkeit gewidmet wird, eine andere.
    Datenschutz in sozialen Netzwerken ist eben, verglichen zu den übrigen Problemen dieser Welt, kein wirklich wichtiges Thema.

    Den Menschen, die dieses Thema aber als extrem wichtig ansehen, unterstelle ich einen
    Kassandra-Komplex („Ich möchte die unwissenden, naiven Nutzer mit meiner geistigen Überlegenheit vor der großen, bösen und gierigen kapitalistischen Maschinerie retten….“).

    Ein anderer Grund könnte sein, dass viele Menschen aus Neid versuchen, Mängel an solchen Websites zu finden. Der Neid entsteht gerade deshalb, weil sie so genial einfach sind.

  46. @Das Toastbrot

    Es dürfte hier ja wohl keinen verwundern, dass ich nicht in Facebook bin. Deshalb muss ich das auch nicht wissen und es ist auch nebensächlich. Es geht um Marktwirtschaft und VZler oder Facebook-Datenschutzaktivisten haben die ja offenbar nicht so genau verstanden:

    Dass bei Facebook „für jeden Scheiß“ ReCaptchas eingesetzt werden, weiß der User u.U. erst, wenn er schon drin ist. Aus Sicht eines Unternehmens wie VZnet ist die Frage aber doch nicht nur, ob Facebook das auch macht, sondern ob ein „Kunde“, der sich aus diesem Grund von VZnet verabschiedet, gleich wieder zurück kommt, wenn er feststellt, dass es anderswo auch nicht besser ist.

    Keine Ahnung ob das im Internet eher der Fall ist, als vielleicht beim Inet-Provider oder Stromanbieter. Trotzdem versucht man als Unternehmen doch nicht auch noch eine solche Motivation zu fördern. Erst recht nicht, da Facebook aufgrund der Internationalität ohnehin immer mehr (Studi-)VZler abzieht und für einen VZ-Flüchtling vermutlich die einzige Alternative ist.

    Captchas trüben auf die Dauer insgesamt das Nutzungsempfinden. Das kann sich vielleicht der Marktführer leisten. Für die kleineren Anbieter wird es aber zu einer strategischen Entscheidung, auch wenn man dieses Unterscheidungsmerkmal lieber nicht so genau bewirbt um die Expertenschelte zu vermeiden. Man bewirbt lieber was anderes und wer jetzt immer noch nicht weiß was: dazu gleich mehr…

    Das subjektive Empfinden beim Laien ist jedenfalls in aller Regel besser ohne als mit Captchas. Es stehen sich also Bedienungsfreundlichkeit (Usability) und Sicherheit konträr gegenüber.
    Da die Differenzen zwischen Bedienerlebnis und Sicherheit im Falle von Captchas jedenfalls nicht so einfach aufzuheben sind, bedient man sich klassischerweise dem Marketing, was die Vereinbarkeit des Unvereinbaren als Heilsversprechen unters Volk bringt.

    Und jetzt zum mitschreiben: VZnet’s Strategie (bisher): „Wir nehmen etwas mehr Unsicherheit für einfache und angenehme Bedienung in Kauf und kommunizieren lieber, dass wir sicher sind. Am besten mit TÜV-Zertifikat!“
    Wie gesagt: es ist MARKETING!
    Und das ich wohl nicht ganz so falsch liege, zeigt ja offenbar
    a) der vakante Posten eines IT-Sicherheitsbeauftragten
    b) die Tatsache, dass es Captchas bei VZ ja schonmal gab und evtl. konnte VZnet feststellen, dass die Aktivität im Netz dadurch zurück ging….

    ABER WEN WUNDERT ALL DAS BEI EINEM MEDIEN- und MARKETING UNTERNEHMEN DAS GELD VERDIENEN WILL????

    Und nachwievor sorgen auch Captchas weiter nur für ein gutes Gefühl indem sie vielleicht jetzt auch Crawler-Angriffe ausschließen. Am sichersten sind aber immer noch die Daten, die einfach nicht in einem globalen Netz zugänglich gemacht werden.

    Selbst wenn Hacking kein Volkssport wäre würden sich unter Milliarden Internetnutzern trotzdem noch genügend mit krimineller Energie finden. Und auch ganz ohne Hacker, gibt z.B. Facebook die Daten dann halt selbst raus (Marktwirtschaft!). Es braucht also schon ein gehöriges Maß an Naivität seine Daten im Netz sicher oder gar privat zu wähnen. Erst recht bei den beliebtesten und bekanntesten Seiten/Angriffszielen!

    Aus Sicht eines Unternehmens denken zu lernen und sich ein bisschen über die Technik zu informieren ist die Aufgabe des Sozialnetzwerkers. Ansonsten ist er doch nur ein DAU.


    Und DAUs müssen keine schlechten Menschen sein. Ich sehe das eigentlich eher pragmatisch…

  47. Es sist schlimm das datanklau so einfach ist, aber manche geben im schuelerVZ ihre ganze adresse, name, alter und usw. oder wenn mädchen sexy fotos reinstellen.

    Ich würde besser aufpassen was man da rein stellt/schreibt.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.