Aus anonymer Quelle wurden uns Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein Datensatz umfasst mehr als eine Million Datensätze mit den Feldern Profil-ID, Name und dazugehörige Schule samt ID. Ein kleinerer Datensatz zeigt detailliertere Informationen mit den Feldern Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild (Plus dazu gehörigem Link auf Bild) an.
Wir haben einige Datensätze verifiziert und die Personen bei SchülerVZ gefunden.
Mit den Listen lassen sich einfache Datenabfragen erstellen wie „alle Schüler aus Berlin“, oder „alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule“. Man kann sich vorstellen, dass diese Daten nicht aus den Datenbanken von SchülerVZ in einer solchen Größe ausgelesen werden dürfen.
Das weist darauf hin, dass SchülerVZ ein großes Sicherheitsloch hat und man aus den Erfahrungen mit StudiVZ vor drei Jahren nichts gelernt hat. Damals wurde bekannt, dass man auf ähnliche Weise aus der StudiVZ-Datenbank viele Informationen aus den Profilen auslesen konnte. Bei SchülerVZ ist das Problem noch größer: Hier handelt es sich um Kinder und Jugendliche, die einen besonderes Schutzraum brauchen.
Bei SchülerVZ gibt es einen Extrapunkt „Sicherheit“. Unter der viel versprechenden Überschrift „Darauf kannst du dich verlassen:“ gibt es den Punkt:
Deine persönlichen Daten sind auf unseren Servern (den Speicherorten für diese Daten) bestmöglich geschützt. Sie können z.B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb vom schülerVZ auf.
Wir haben beim Bundesverband Verbraucherzentralen angefragt, was sie davon halten. Falk Lüke, der Referent fuer Verbraucherrechte in der digitalen Welt, erklärte gegenüber netzpolitik.org:
Die Betreiber sozialer Netzwerke sind in der Pflicht, Daten ihrer Mitglieder gegen unbefugten Zugriff zu schützen. Das aktuelle Beispiel zeigt, dass Benutzer sich nicht in Sicherheit wiegen lassen sollten: Netzwerke sind ein Teil des Internets und nicht von ihm getrennt. Und genau wie im Rest des Netzes gilt, dass nur solche Daten veröffentlicht werden sollten, bei denen man selbst kein Problem damit hätte, wenn diese am nächsten Tag auf einer Zeitungstitelseite stehen würden. Kinder können sich die Folgen allerdings oft noch nicht ausmalen.
Eine Anfrage an SchülerVZ zur Stellungnahme haben wir soeben raus geschickt.
Update: SchülerVZ hat jetzt eine kurze Meldung rausgegeben:
Wir haben am heutigen Nachmittag Kenntnis über folgenden Vorgang erhalten: Ein schülerVZ-Nutzer hat eine Vielzahl von Profilen aufgerufen und Kopien einzelner der für alle schülerVZ-Nutzer sichtbaren Daten angelegt: Name, Schule, Geschlecht, Alter, Profilfoto. Es handelt sich hierbei explizit nicht um Daten wie Postadressen, Email Adressen, Zugangsdaten, Telefonnummern und Fotoalben, sondern um für alle Community-Nutzer einsehbare Daten. Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen. Die VZ-Netzwerke haben die Datenschutzbehörden umgehend informiert und werden rechtliche Schritte gegen Unbekannt einleiten.
Ich hab nicht alle mir vorliegenden Daten verifiziert, sondern nur Samples. Ich gehe nicht davon aus, dass die Quelle sich die Daten manuell gezogen hat, wie der Blogeintrag suggeriert. Hier wurden Scripte verwendet und eine sogenannte CSRF-Lücke genutzt („Cross Site Request Forgery“). Wäre schön, wenn SchülerVZ das korrigieren könnte. Ich habe sie darauf hingewiesen.
Übrigens haben wir seit Veröffentlichung zwei weitere Hinweise auf Sicherheitslecks bekommen.
Die erste ist interessant: Nach Angaben der Quelle wurde eine kritische Cross-Site-Scripting Lücke entdeckt, mit welcher es möglich ist, ganze Accounts zu übernehmen. Der Quelle zufolge wurde SchülerVZ vor einer Woche von der Lücke informiert, aber sie kann heute immer noch genutzt werden. Uns wurde ein Video-Screencast mitgeschickt, die die Lücke ausführlich beschreibt. Ist aber etwas nerdig und soviel Ahnung hab ich nicht von Javascript.
Die zweite kommt noch. Da warte ich noch auf weitere Infos. Siehe unten.
Update: Ich hab ein fertiges Interview mit der ersten Quelle. Da dort noch weitere Sicherheitslücken angedeutet und beschrieben werden, hab ich den Text erstmal an die Technikabteilung von SchülerVZ geschickt, damit die etwas Vorlauf haben. (Update: SchülerVZ hat mich gebeten, das Interview nicht zu veröffentlichen. Die haben natürlich ein Interesse, dass es nicht noch mehr aufsehen gibt. Ich überlege noch, was ich tun soll.)
Da gerade oftmals in der Medienberichterstattung von „gehackten Accounts“ gesprochen wird, wollte ich nochmal darauf hinweisen, dass es sich hier um das automatisierte Auslesen von sehr vielen Datensätzen über die öffentliche Suche handelt. Allerdings sollte es technisch nicht möglich sein, das in einer so großen Anzahl automatisiert zu machen. Und die daraus ermittelten Daten haben durchaus etwas Sprengkraft, wie ich oben schon beschrieben habe.
Update: Die zweite oben angesprochene Sicherheitslücke soll wohl gelöschte Bilder betreffen. SchülerVZ beschreibt in der Datenschutzerklärung: „Wenn du etwas löschst, ist es auch weg. Und das komplett!“. Das scheint nicht so zu sein, wenn man den Link zum Bild kennt. Die Bilder verbleiben anscheinend auf dem Server. Das soll auch für Bilder in Fotoalben gelten. Diese Lücke wird aber von SchülerVZ bestritten.
Nach Angaben von der SchülerVZ-Technikabteilung wurden die Lücken wohl jetzt kurzfristig behoben. Ob das auch für die Bilder gilt, weiß ich nicht. Ich hatte SchülerVZ von dem Problem auch berichtet.
Da mehrfach in Medienberichten davon die Rede ist, dass mehr als eine Million Datensätze im Umlauf sind, wollte ich das auch nochmal klarstellen: Weder die Quelle noch ich habe ein Interesse daran, dass die Datensätze ins Netz kommen. Wir werden sie heute löschen.
Von Seiten SchülerVZs wurde auch kommuniziert, dass sie im Falle einer Kooperation von einer Strafanzeige Abstand nehmen. SchülerVZ hat mittlerweile detaillierte Beschreibungen der Lücken bekommen, so dass dieser Fall eintreten müsste. Der vor einer Woche eingeschickte Warnhinweis bezüglich der XSS-Lücke zum übernehmen von Profilen wurde nach dem heutigen Hinweis von mir mittlerweile auch gefunden. Das sollte in Zukunft schneller gehen.
Update von Samstag Abend: SchülerVZ schreibt jetzt, dass es sich bei meiner Quelle um einen Trittbrettfahrer gehandelt habe, der die Daten von jemand anderen bekommen hat. Ich bin da noch etwas skeptisch. Die von SchülerVZ hier genannte Quelle hatte in einem derzeit nicht mehr zugänglichen Blog geschrieben, er habe vor zwei Tagen seine Datenbank anderen zugänglich gemacht. Ich hab meine Daten aber davor bekommen. Insofern ist da wohl ein Wurmloch dazwischen. Und soweit ich das richtig verstanden habe, hat diese zweite Person auch weitere Datenfelder gezogen wie Geburtsdatum. Dieses Feld stand nicht in den mir zugegangenen Daten.
Vielleicht gibt es mehrere Datensätze, die von verschiedenen Menschen gecrawlt wurden und die um Umlauf sind?
Update: Im StudiVZ-Blog beschreibt jemand in den Kommentaren mehr oder weniger pseudonymisiert diesen zweiten Fall:
Die Daten sind mittlerweile getrieben eben durch die Öffentlichkeit so gut wie in jedem halbwegs “brauchbar” sortierten Board mit weltweiten Mirrors verlinkt [Raid-Rush, gulli, gsmfreeboard usw.], wer behauptet das diese Daten jemals zufriedenstellend gelöscht werden können begibt sich auf sehr sehr dünnes Eis. Aber es wird wenigstens versucht, das ist toll, meine ich ganz ernst.
Unklar ist, wie viele Datensätze das sind, die nun dazu im Umlauf sind. Ich habe diese nicht gesehen. Ich gehe mittlerweile aber ziemlich fest davon aus, dass es sich definitiv um einen weiteren Fall handelt.
Einen neuen Artikel mit den neuesten Entwicklungen gibt es hier.
Ergänzungen
Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.
206 Kommentare zu „Datenleck bei SchülerVZ (Update)“
,
War ja klar, dass das irgendwann so kommen musste.
Den Kindern dort ist das doch meinstens eh völlig egal, was mit ihren Daten passiert.
,
wie wahrscheinlich ist es, dass diese Informationen durch automatisches Auslesen der für angemeldete Nutzer eh einsehbaren Informationen erhalten wurden?
,
[…] http://www.netzpolitik.org/2009/datenleck-bei-schuelervz/ a few seconds ago from xmpp […]
,
da macht SchülerVz so einen großen Ausriss, dass unsere Daten dort sicher sind und dann passiert sowas. Auf dieser Welt kann man halt niemanden trauen…
,
Wäre es nicht sinnvoller zuerst SchülerVZ über dieses Datenleck zu informieren und nicht irgendwelche Verbraucherzentralen?
Sicherheitsprobleme kann es überall geben und selbst die sicherste Seite ist nicht dagegen gefeit, dass ein Schlupfloch gefunden wird und dort z.B. per SQL Injektion Daten abgezogen werden.
,
Falsch. Den Kindern ist es jetzt egal, weil ihnen zukünftige Implikationen unklar sind. Ihre Privatsphäre muss genauso geschützt werden wie die von Personen, die sich möglicher Folgen bewusst sind.
,
Ich persönlich finde eher beeindruckend an der Geschichte: Warum präsentieren sich Menschen so gern und freiwillig mit ihrer Realwelt-Existenz im Netz? Für die hier vorhandenen Teilnahmeformen ist das absolut nicht erforderlich, wohl selbst nicht auf SchülerVZ.
Und soweit die Lokalisierung oder Identifizierung über solche Profile wünschenswert wäre, könnte man das auch auf andere Weise erreichen als durch ein öffentlich oder halböffentlich zugängliches Profil.
,
greife „blablub“ auf:
Sind unter den Daten auch solche, die versteckt waren (z.B. „nur für Freunde“)? Wäre Ausschluss eines crawler-bots.
Sollte im Bericht bereits erwähnt sein.
,
@blablub
Sobald die Seite „merkt“, dass du dich ohne Ende durch die Profile klickst, musst du einen Captcha beantworten. Eigentlich sollte eine automatische Erfassung somit unmöglich sein…
,
@Flo Das „automatische“ Lösen von Captchas jeglichen Schwierigkeitsgrades stellt kein wirkliches Problem dar. Man reiche die Captchas einfach an eine eigene Seite weiter, welche Inhalte anbietet, für die normalerweise gezahlt werden muss. Um kostenlos Bilder von nicht-/leichtbekleideten Frauen zu sehen, tun Leute die komischsten Dinge – auch Captchas lösen :-)
,
Im SchülerVZ ist es verpflichtend, sich mit Realnamen anzumelden. Alles andere wäre ein verstoß gegen die Nutzungsbedingungen.
Was ich nicht verstehe ist, warum versierte Internetnutzer (Nein, ich bin nicht von der CDU) nicht verstehen, dass es wünschenswert ist mit Realnamen im Internet aufzutreten. Erst so funktioniert das Internet meiner Meinung nach richtig.
Und bitte lasst es doch sein, gegen die Schüler loszuwettern. Ich bin 18, seit zwei Jahren oder so im SchülerVZ, und in meinem Bekanntenkreis (gymnasiale Mittel- und Oberstufe) interessiert es die Leute schon, was für Daten von und über sie verbreitet werden.
,
ROFL, Verstoß gegen die Nutzungsbedingungen, hm? Ist ja süß. Und nein: Ich könnte dir mindestens drei zwei gute Links zum Thema Anonymität im Internet raussuchen – und wie der Nutzer davon profitiert. Es geht nämlich nicht um Authentizität, sondern um persönliche Schutzräume. Wie in meinem Wohnzimmer, da lass ich auch nicht jeden rein, nur weil ich eine Klingel hab. Ist doch nachvollziehbar, oder?
,
@10 Morgan Schönberger
Vielleicht ist es deswegen interessant unter Pseudonym (Achtung, das ist nicht Anonym) aufzutreten weil es meinen Arbeitgeber/meine Kollegen/meine Freunde unter Umständen nichts angeht was ich im Internet so treibe. Weil meine sexuelle Orientierung und Interessen (die ich eventuell gerne mit anderen Menschen gleicher Interessen diskutieren möchte) nicht öffentlich sein sollten (weitergehen, sie sind unspannend, hier gibt es nichts zu sehen), genauso unter Umständen meine politische und religiöse Einstellung und auch gerne meine sonstigen Interessen. Beliebig viele weitere Fälle lassen sich konstruieren. Eine Freundin ist Politikwissenschaftlerin und besucht in dieser Funktion häufig Webseiten und Foren an den Rändern des Demokratischen Spektrums – und die ist ganz froh dass das alles gegenwärtig nicht nachverfolgbar ist. Es gibt ja auch genug Autoren die unter Pseudonymen geschrieben haben, durchaus mit Begründung.
Deine Meinung im Ehren, aber ich glaube sie wird sich noch ändern.
,
[…] http://www.netzpolitik.org/2009/datenleck-bei-schuelervz/ a few seconds ago from choqoK […]
,
Ein Captcha hindert ja einen guten Bot nicht daran, etwas auszulesen. Man kann das Captcha-Bild problemlos auswerten und die Frage beantworten. Captchas verhindern nur, dass jeder Depp einen Crawler bauen kann – aber jemand, der sich ein wenig damit beschäftigt, wird damit kein Problem haben.
Wenn es sich tatsächlich nur um gecrawlte Profile handelt, dann kann ich den Skandal daran nicht erkennen. Wenn es sich um einen Diebstahl von Daten aus der SchülerVZ-Datenbank handelt – also um Daten, die nicht ohnehin öffentlich verfügbar sind im Netzwerk – dann wäre das etwas anderes.
Mehr Infos wären nicht schlecht.
,
[…] http://www.netzpolitik.org/2009/datenleck-bei-schuelervz/ a few seconds ago from choqoK […]
,
[…] Eine Anfrage an SchülerVZ ist raus, mehr Infos gibt es bei netzpolitik. […]
,
Arno/Niklas: Selbst wenn die Captchas geknackt werden/wurden, sollte es noch eine Sicherung geben, die bemerkt, dass in großem Ausmaß Datensätze abgezogen werden.
Soweit ich Markus vorhin verstanden habe, reden wir nicht über 1.000 oder 10.000 Datensätze, sondern über weit mehr.
,
@Morgan: Warum sollte man im Internet bzw. auf einer Vernetzungsplattform nicht mit Klarnamen auftreten?
Natürlich gibt es Daten und Informationen, die ich unter Klarnamen nicht teilen würde. Mitunter mag im Netz auch ein Pseudonym oder eine anonyme Nutzung sinnvoll sein.
Deswegen auf Klarnamen komplett zu verzichten, kann aber auch keine Lösung sein.
,
@sa7yr: Herrje, ich gehe mit meiner „Realwelt-Existenz“ sogar für die Tür. An guten Tagen nenne ich bei einem Date sogar meinen echten Namen …
Natürlich ist Datenschutz wichtig. Wenn sie zur Paranoia wird, läuft aber entschieden etwas falsch (auch gesellschaftlich, übrigens).
,
vor, natürlich.
,
Wen wundert das noch?
,
@Jörg: Wieso MUSS das auffallen? Schonmal was von Botnetzen gehört?
,
@20/Jörg-Olaf Schäfers: Ist alles freiwillig. Sollte es auch bleiben. Nutzungsbedingungen interessieren mich da nicht die Bohne.
,
[…] Daten-Loch bei SchülerVZ? Zu den Kommentaren Soeben auf den Seiten von http://www.netzpolitik.org gelesen, dass scheinbar eine Unmenge von SchülerVZ-Accounts gehackt wurde. Den Machern des Blogs […]
,
[…] Netzpolitik heute bloggte, wurden ihnen diverse Listen mit Userdaten vom SchülerVZ zugespielt. Ein Datensatz […]
,
Es gibt bereits eine Stellungnahme von VZnet:
http://blog.studivz.net/
,
Hmm verstehe ich nicht ganz? Da kann ich doch auch einfach die Suchfunktion bei Schuelervz benutzen? So ist doch auch alles offen? Die meisten Schueler dort haben ihr Privat auch auf öffentlich eingestellt und daher sind eh alle Seiten ersichtlich. Wo liegt denn das große Problem? Ich glaub ich stell mich blöd^^
,
Ja und? War schon immer so… Registrieren kann sich bei sVZ theoretisch jeder, und jeder, der schonmal einen VZ-Spider geschrieben hat, weiß, wie problemlos das geht.
,
[…] netzpolitik.org VN:F [1.6.5_908]please wait…Rating: 0.0/10 (0 votes cast)VN:F [1.6.5_908]Rating: 0 (from 0 votes) […]
,
[…] http://www.netzpolitik.org/2009/datenleck-bei-schuelervz/#comment-350000 a few seconds ago from Gwibber […]
,
wir verwenden captchas zur vermeidung von crawling. die wurden geknackt und werden _jetzt_ durch recaptcha ersetzt. schön dass ihr die hier schon im einsatz habt.
,
@ Klarnamen-Diskussion: Ich renne in der Realität als Privatperson auch immer mit Namensschild rum. Für jeden Lesbar, auch die weiteren Details.
Oder etwa doch nicht?
,
@33/Mithos: Du hast es nicht verstanden: Da kann auch keiner Suchen auf dich anwenden. Außer vllt in GB
,
[…] netzpolitik heute berichtete, hat es mal wieder jemand geschafft Millionen Datensätze von SchülerVZ zu entwenden. […]
,
Jörg-Olaf,
natürlich, aber der Crawler kann die Anfragen über lange Zeiträume strecken oder auf zahlreiche Rechner verteilen (Botnetze) oder ständig seine IP-Adresse ändern.
Daten, die für jedermann verfügbar im Netz sind, können immer auch kopiert, gespeichert, gesammelt werden. Das kann man nicht verhindern, nur ein wenig erschweren. Punkt.
,
@Stephen: Natürlich. Und? Genau solche Angriffe zu erkennen, ist der Job der Verantwortlichen.
,
Wie auch immer die Daten entwendet wurden und welchen Umfang dieser Vorfall auch haben mag, fakt ist, dass man sich nun umso mehr bewusst sein sollte, wie viele und was für Informationen man im SchülerVZ und auch generell bei Sozialen Netzwerken jeder Art preis gibt. Selbst Verlinkungen auf Party ‑oder Sauffotos mögen zwar anfangs lustig sein, können einem aber später auch den Ausbildungsplatz kosten, vor allem, wenn man das Bedürfnis hat in einem größeren Unternehmen oder bei einer Behörde zu arbeiten.
Und ob nun jeder mit seinem richtigen Namen in den Verzeichnissen und Netzwerken angemeldet ist, sollte auch jedem selbst überlassen sein. Da können einen die AGBs und Nutzerrechte mal den Buckel herunterrutschen.
Ich will jetzt nicht den Teufel an die Wand malen, aber man sollte sich wirklich im Klaren sein, auf was für Fotos man verlinkt ist und welche Inhalte man auf seiner Seite preis gibt. Da hilft im Zweifelsfalle auch kein privates Profil nicht weiter.
,
@34/sa7yr: Doch, hab ich. Ich hab jedenfalls kein Namensschild um den Hals, wo auch immer. Deswegen steht in meinem vorigen Kommentar ja „oder etwa doch nicht?“.
By the way braucht man doch gar keine Suche bei nem Namensschild im Real-life, wenn es genau so um weitere Infos angereichert ist wie auf diesen Profil-Seiten.
,
@Mithos: Nicht alles, was hinkt, ist gleich ein Vergleich ‚)
Ganz abgesehen davon, dass auch ein Name nur ein Kriterium von vielen bei der Identifikation ist. Gerade in sozialen(!) Netzen.
@Arno: Siehe Stephen. Woher weißt du, wie lange gebraucht wurde?
@Jodok Batlogg: Dummerweise ist ReCaptch ziemlich nervtötend für die User ‚(
,
@39/Mithos: Uiuiuiui, die Welt, in der du gern Leben möchtest, scheint überall deine Identität zu erfassen. Im Netz ist das jetzt schon möglich. Blöd, wenn man dort nicht anonym auftritt. Aber das ist deine Sache.
,
[…] und was hatten wir lange nicht mehr im deutschsprachigen Internet? Richtig, so ein klaffendes Datenleck bei einem dieser VZ-Dinger für Studis, Schüler oder schlicht a.… Diesmal hat es das SchülerVZ erwischt. Datenlecks bei diesen VZ-Dingern sind ja nichts Neues, […]
,
sa7yr, du scheinst mich vollkommen falsch zu verstehen, ich trete im Netz eigentlich ausschliesslich anonym auf.
Ich hab übrigens neulich beim zappen nen Beitrag gesehen, in dem nen Reporter-Team sich mal so nen detailliertes Profil ausgewählt und die Person mit diesen Informationen besucht hat. Sie haben die junge Frau in ner Sportstätte vor ihrer Tanzstunde aufgesucht und sie gefragt, ob sie sich von der Krankheit inzwischen gut erholt hätte. Alle nötigen Infos wie gesagt aus dem Profil.
Deswegen keine Klarnamen. Und weitere Details auch nicht.
,
Datenleck bei SchülerVZ : netzpolitik.org…
yeah, die *VZ-Meldungen habe ich in letzter Zeit richtig vermisst.…..
,
@ Mithos: Genau das meine ich auch.
Das kann bis zum zukünftigen Arbeitgeber gelangen.
Aus dem Grund sollte man sich wirklich zweimal überlegen, was man wo verbreitet oder preis gibt.
,
@43/Mithos: Achso, kann sein, dass ich die Ironie in deinem Ausgangsbeitrag überlesen habe. Ich persönlich gebe auf Twitter natürlich auch etwas über meinen Alltag preis. Aber niemals Details, die auch nur ansatzweise eine Lokalisierung möglich machen (außer: man hat die IP + betreibt aufwendig Datamining). Noch nicht so Gefestigte sollten noch weit mehr darauf achten, was sie nicht äußern dürfen. Naja, andererseits kriegen die das noch weniger auf die Reihe als viele Erwachsene Teilnehmer. Schwierig.
,
heftig^^ mehr fällt mir gerade nich ein^^ bin sprachlos^^
is ja klar,dass es immer irgendwo lücken gibt,aber so krasse und viele auf einmal^^
die vz-admins werden wohl kein wochenende haben ;) ZU RECHT! ;)
,
Ich hätte Interesse an dem JavaScript. Ich durchforste mal meine Quellen, eventuell findet sich irgendwo eine Information zu dem Fall.
,
[…] und die VZ-Netzwerke sind um einen weiteren Datenschutz-Skandal reicher. Was ist passiert? Laut Netzpolitik sollen bei SchülerVZ Mitgliederdaten im großen Stil gesammelt worden sein. Von Millionen […]
,
Gegen diese Art von Angriff kann man letztenendes rein gar nichts machen, zuguterletzt können sich Bots genauso verhalten wie echte Nutzer und dann unterscheide mal was was ist. Man muss sich dann als „Angreifer“ nur etwas Zeit lassen und ein kleines Botnetz zur Verfügung haben.
Was für andere in der Community offen lesbar ist, ist (mit mehr oder weniger Aufwand) für die Welt offen lesbar, das sollte man mal so akzeptieren. Was anderes sind auf „privat“ gestellte Infos, die sollten in der Tat technisch geschützt werden (können).
,
[…] wurden von anonymer Quelle mehrere Datensätze von schuelerVZ-Profilen zusgespielt: Mit den Listen lassen sich einfache Datenabfragen erstellen wie “alle Schüler aus Berlin”, […]
,
[…] http://www.netzpolitik.org/2009/datenleck-bei-schuelervz/ a few seconds ago from firestatus […]
,
[…] netzpolitik.de wurden diverse “sichere Daten” der SchülerVZ Plattform ausgelesen, ob mittels eines […]
,
Das Bilderproblem ist noch nicht behoben, aber vielleicht tut sich da ja was in den nächsten Minuten. Die direkte URL bleibt also aufrufbar.
,
Achja, wer den Direktlink kennt kann Bilder auch aufrufen, ohne angemeldet zu sein (eigentlich eine Sicherheitsmaßnahme die über den Referrer fragt woher der User kommt -> wenn nicht SVZ wird das Bild nicht angezeigt). Das *.jpg ist aber wie gesagt von dieser Maßnahme wohl nicht betroffen. Nur wenn man den bei den Alben in der URL-Zeile angezeigten Link aufruft.
,
[…] netzpolitik.org […]
,
Wenn ich viel Zeit und Lust hätte, könnte ich das im StudiVZ auch machen. Weil die Daten die da rausgezogen worden sind, kann jeder einsehen (und muss es sogar, wie sonst soll man andere Leute finden?).
Einfach eine Gruppe angeschaut und die Profile sämtlicher User aufgerufen und abgespeichert und ausgelesen. Das kann man in jedem Netzwerk machen. Im Studivz gibt es diesbezüglich auch eine Captcha-Abfrage, jedoch unterschiedlich penetrant. Manchmal kann man 10 Profile aufrufen und nix passiert.
Jetzt hier einen großen Datenskandal herzureden ist lächerlich.
,
[…] Und, öfter mal was neues, die social-networking-Plattform “SchülerVZ” leidet wohl auch wieder unter automatisiertem Datenklau. […]
,
[…] Beckedahl berichtet seinen Lesern darin von einem “Datenleck bei SchülerVZ“. Er schreibt: “Aus anonymer Quelle wurden uns Listen von zahlreichen […]
,
[…] 16.10.2009 Datenleck bei SchülerVZ (Update) Fügen Sie diesen Artikel zu den folgenden Social-Bookmarking-Diensten hinzu: Diese Icons […]
,
@55: Nette Idee, doch jeder der seinen Referer aus Datenschützgründen deaktiviert bekommt dann keinerlei Fotos mehr angezeigt. Insofern könnte man aber einen leeren Referer auch zulassen und nur welche, die nicht von StudiVZ kommen blocken.
,
Das ist ja frech (wenn es stimmt). Da wird behauptet, die Daten (Fotos) werden gelöscht und seinen dann weg, sind es in Wirklichkeit aber gar nicht. Nennt man sowas nicht Vortäuschung falscher Tatsachen (=Betrug?).…
,
Eine aus meiner Klasse dachte, bei SchülerVZ wären NUR Schüler und das Ganze wäre EXTREM sicher. wtf!!!
DAU^3
,
[…] Quelle: Netzpolitik.org / Zum Artikel […]
,
[…] http://www.netzpolitik.org/2009/datenleck-bei-schuelervz/ a few seconds ago from web in context […]
,
[…] einem Bot wurden über eine Millionen öffentliche Datensätze von SchülerVZ Nutzer kopiert, berichtet Netzpolitik.org: Aus anonymer Quelle wurden uns Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein […]
,
[…]Der vor einer Woche eingeschickte Warnhinweis bezüglich der XSS-Lücke zum übernehmen von Profilen wurde nach dem heutigen Hinweis von mir mittlerweile auch gefunden. Das sollte in Zukunft schneller gehen. […]
Schneller gehen – auf welcher Seite? :p
,
[…] bei SchülerVZ Netzpolitik.org wurde aus anonymer Quelle Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Einer der […]
,
„Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen.“
Was ist daran bitte illegal?
Wann setzt sich endlich die Erkenntnis durch, dass ein Zugriff durch einen „Menschen“ auch über ein „Programm“ abläuft und man einen „manuellen“ von einem „automatischen“ Zugriff nie wirklich unterscheiden kann?
Was im Web steht ist öffentlich, besonders wenn der einzige Zugriffsschutz die einfache Anmeldung bei einem Social Network ist.
Ich bin dafür, die Social Networks von Datenschutzpflichten zu befreien. In den AGB sollte klar stehen, dass die vom Nutzer zur Verfügung gestellten Daten für jeden einsehbar sein werden. Dann könnten wir diese ganzen Skandale endlich hinter uns lassen.
,
Ich habs mal getestet mit den Fotos und eins ohne großen Wert gelöscht, das ich irgendwo in einem Fotoalbum hatte. Das dürft ihr euch gerne angucken als Testmaterial: http://img-a1.pe.imagevz.net/photo7/18/30/60a6aeff74913d7e48d7b02dab0b/6‑d8d10b27a2426a087808800c700d3762.jpg
Solange das noch da erreichbar ist, werden die Fotos nicht automatisch gelöscht :)
Ach ja, dass die Verschwörungstheoretiker auch was haben: Natürlich wird das *VZ-Team das Foto jetzt von Hand löschen und die anderen trotzdem behalten, natürlich ;)
,
Ich persönlich bin Userin bei schuelerVZ und habe dort all meine Daten so gut „verborgen/versteckt“ wie es nur möglich ist. Hier zu erfahren, dass es trotzdessen anderen Mitgliedern oder sogar Nicht-Mitgliedern möglich ist Zugriff auf diese zu erlangen oder sogar diese zu steuern finde ich erschreckend. Aber dass eine Community im Internet niemals vollkommen sicher sein kann ist leider nicht allen Mitgliedern dort bewusst. Gerade Kinder und Jugendliche sollten besser geschützt und informiert werden.
,
Der große Spaß am Austausch mit Freunden im Web wird durch – sagen wir – unrechtmäßige Nutzung von Daten natürlich gefährdet. Wie eigentlich fast überall die Freiheit von Vielen durch die Unvernunft / Gier / kriminelle Energie … von Einigen eingeschränkt wird. Das Internet macht da keine Ausnahme, wie wir vermutlich in nächster Zeit leider immer öfter werden lernen müssen.
Natürlich ist eigentlich nichts dagegen zu sagen, sich im Netz – auch unter seinem richtigen Namen – zu bewegen. Man sollte nur nicht so naiv sein, zu glauben, im Web wären – anders als im ”real life” – nur gute Menschen unterwegs!
,
Automatisiertes Auslesen von Sch…
So soll es m…
,
@Thaniell: Selbstredend kann man gegen das Knacken von Captchas etwas unternehmen. Und wenn man seine Sache ernstnimmt, kann man auch das massenhaften Abgreifen von Daten durch ein Botnetz erkennen.
@Kritiker: „Manchmal kann man 10 Profile aufrufen und nix passiert.“ – Prima, das musst du dann nur ein etwa 200.000 Mal tun und du hast deine Datensätze zusammen. Kann es sein, dass du das Problem nicht verstanden hast?
@Coolerfreak: Das ist in etwa die Art von Naivität, warum Minderjährige eines besonderen „Schutzraums“ bedürfen, wie Markus schreibt (Und ja, sowas glauben vermutlich auch manche Erwachsene).
@drx: Ohne die AGB zu kennen: Das automatische Auslesen der Datenbank dürfte gegen eben diese verstoßen, eine Verbreitung oder Nutzung der Daten offsite ohnehin. So war es zumindest damals bei StudiVZ.
Den Hinweis, dass man nicht zwischen Maschinen und Menschen unterscheiden könne, sehe ich als Polemik. Mir ist dein Argument und sein Hintergrund klar, gleichwohl macht es einen Unterschied, ob Daten im Rahmen des VZs von Nutzern eingesehen oder im großen Stil durch Maschinen gerastert und weiterverarbeitet werden.
,
[…] Nominierungen für die nächsten Awards sind nach den heutigen Nachrichten schon wieder fällig: netzpolitik.org – Datenleck bei SchülerVZ ZEIT Online – Datenpanne bei Finanzdienstleister AWD Geschrieben von Rouven. […]
,
SchülerVZ fällt Datenklau zum Opfer!!
zitat schülerVZ(!!!):
„Die Daten, die ein schülerVZ-Nutzer illegal und entgegen der VZ-AGB kopiert hat, sind wieder in Sicherheit.“
zitat ende.
ja… natürlich…!!!
das sehen andere aber deutlich anders!!!
Näheres unter:
http://newstopaktuell.wordpress.com/category/schulervz-fallt-datenklau-zum-opfer/
http://www.golem.de/0910/70533.html
,
@Jörg-Olaf Schäfers (74):
Ich vermute mal, dass der Hinweis, das Programm ließe sich nur sehr schwer vom Menschen unterscheiden, nicht ideeller Natur war, sondern technischer. Natürlich ist es ideell ein Unterschied. Aber technisch lässt sich menschliches Verhalten gegenüber von Software mittlerweile ziemlich gut simulieren – weil diese mit festen Vorgaben arbeitet und daher Automatismen nur so weit erkennt, wie die Programmierer dies vorgesehen haben. Ein Mensch würde diverse Dinge zwar sofort erkennen – aber eine Software eben nicht. Und das ist so lange der Fall, bis die Software verändert wird. Dann kann es ganz schnell mit der Erkennung einer Datenabgreifsoftware gehen.
Ich meine, sowas ist doch machbar: Man kann anhand eines Wörterbuchs und verschiedenster Mail-Anbieter ständig neue Accounts registrieren, sich anmelden, unter Umständen das Captcha austricksen oder gar lösen, IP (und damit scheinbaren Standort) zusammen mit Benutzeraccount wechseln, per Zufallsgenerator in unregelmäßigen Abständen Profil- und meinetwegen zur Verschleierung dazwischen andere Seiten abrufen und diese auswerten. Zusätzlich lassen sich auf einem Rechner, wenn die Software entsprechend ausgelegt ist, mehrere Browser vorspiegeln, die natürlich alle parallel angemeldet sind, aber über unterschiedliche Proxys (und somit unterschiedliche IPs) gehen, unterschiedliche Cookies haben, unterschiedlich aktiv sein, unterschiedliche Seitenabrufmethoden haben, und meinetwegen auch Schlaf- und „Andere Aktivität“-Zeiten. Wenn du angenommene 20 Accounts hast, kannst du so pro Tag schätzungsweise 2.000 bis 3.000 Profile abrufen, ohne dass das Verhalten der Bots irgendwie auffällig wäre…
captcha: bring 36
-> nein, ich bring euch keine 36 Bier, ich geh’ ins Bett :P
,
@Jörg-Olaf Schäfers: Nur soweit bis auch Menschen es nicht mehr knacken können (bzw. deren Nervfaktor erreicht ist). Bekommt man keine Software die die Dinger knackt, lässt man es Menschen machen.
Natürlich kann man den Aufwand nach oben treiben – ein Stück weit. Aber je größer die Seite, desto wertvoller die Datenbank, desto mehr Aufwand wird sich die Gegenseite leisten.
Gleiches gilt für die Botnetzerkennung – wenn man nicht auf einmal alles abgreifen will, sondern sich Zeit lässt, halte ich das für recht gut verdeckt machbar.
Effektiver Schutz mit massivem Captcha-Einsatz ist der Usability-Tod, dann doch lieber die Facebook Methode: Per Default das Profil so dicht vernageln wie es nur geht, so dass der User selbst sich dafür entscheiden muss etwas freizugeben. Dafür ist er dann auch selbst verantwortlich (sollte aber eben auch entsprechende Hinweise erhalten).
,
Abgesehen davon wäre es auch eine simple Lösung wenn man es auf Betreiberseite mal hinbekäme die Indexfunktion mit Vollname mal von der Selbstdarstellungs- und Diskutierfunktion zu lösen – für letztere bietet sich eigentlich eine (freiwillige) Pseudonymisierung an.
,
Bitte veröffentliche alle Informationen die du besitzt. Es kann nicht sein, dass SchülerVZ wohlmöglich Daten nicht löscht, obwohl das dem Nutzer einddeutig versprochen wird. Gerade wegen dem Medienecho sollte das veröffentlicht werden. Ohne die Öffentlichkeit hätten die doch sicher auch die nächsten Wochen Nichts dagegen unternommen!
,
vor eine woche wurde*vz benachrichtigt.
der witz ist ja dass die mitarbeiter dort verpflichtet sind innerhalb 48 stunden auf solche meldungen zu reagieren.
hast du eine „wird bearbeitet“-meldung bekommen vor einer woche oder kam garnichts von *vz?
,
[…] netzpolitik.org, 16.10.2009: Datenleck bei SchülerVZ […]
,
ICh bin auch beim svz angemeldet .… aber ich sehe bei der sache kein alzu großes problem… ob sich jetzt jemand nur meine seite anschaut oder ob er die, zudem sehr spärlichen, Infos über mich speichert ist mir im Prinzip schnuppe … groß anfangen kann er mit den daten sowieso wenig…
zudem ist das wohl weniger ein „Datenleck“ als einfach das wo für Svz erstellt wurde ein austausch von Daten … ich gehe mal davon aus das dieser Nutzer einfach nur ein Programm erstellt hat das diese daten ausliest und speichert .
,
[…] von den Nutzern des Online-Netzwerks „schülerVZ“ wurden dem Blog „Netzpolitik“ zugespielt. Die Betreiber von „schülerVZ“ haben das Datenleck bereits […]
,
[…] vorkommen. Der Facebook-Klon SchülerVZ hat hingegen anders geartete Probleme, so scheinen dort Listen von zahlreichen SchülerVZ-Nutzern im Internet zu kursieren, welche aber laut Angaben des Anbieters nicht direkt aus der Datenbank stammen sollen, […]
,
Das ist doch echt ein Witz, wie kann man so dumm seine und dermaßen lange sicherheitslücken offen lassen… udn aus alten vorfällen scheint man nicht zu lernen…
,
„Aus anonymer Quelle wurden uns Listen von zahlreichen SchülerVZ-Nutzern zuges…“…
Aus anonymer Quelle wurden uns Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein Datensatz umfasst mehr als eine Million Datensätze mit den Feldern Profil-ID, Name und dazugehörige Schule samt ID. Ein kleinerer Datensatz zeigt detailliertere In…
,
find den Artikel ein wenig aufgerissen… Ihr macht gern Aufsehen, was?
,
[…] muss gerade unglaubliches lesen, als ich in meinem Reader auf Netzpolitik klickte. “Datenleck bei SchülerVZ”. Man kann sich schon vorstellen, dass es nicht der erste […]
,
[…] 17. Oktober 2009, 14:11 Uhr | Autor: ich “Datenleck bei SchülerVZ” (netzpolitik.org) Aus anonymer Quelle wurden uns Listen von zahlreichen […]
,
[…] bin ich auf einen interessanten Beitrag bei Netzpolitik.org gestoßen, in diesem geht es um das massenhafte auslesen von Datensätzen bei SchülerVZ. Wir […]
,
Schlimm das das passiert ist ich hoffe das die sicherheitslücke gesclossen ist und dass netzpolitik die daten löscht!
,
Sowas darf doch garnicht passieren. Wie kann man sowas eig. zulassen vorallem als solch ein „großes“ Projekt. Ja die Datenschätze sollte man ambesten löschen.
,
[…] Datenleck bei SchülerVZ (Update) via @netzpolitik 17 10 2009 via netzpolitik.org […]
,
[…] Name, Schule samt ID, Geschlecht, Alter und Profil-Bild (Plus dazu gehörigem Link auf Bild) an.Quelle Share this on del.icio.usDigg this!Buzz up!Post this to MySpaceShare this on FacebookTweet […]
,
Die VZ-Gruppe hat anscheinend noch ein größeres Problem: Hier beschreibt jemand, wie er noch mehr Daten automatisiert aus den Profilen gesammelt hat. Und da sind noch Profil-Felder wie Geburtsdatum, Beziehungsstatus und sonstige Sachen enthalten.
http://3x1t-de.eva.3x1t.net/?p=200
http://3x1t-de.eva.3x1t.net/?p=462
,
Seit Mai gibt es bei Youtube ein Video, was die gerade verlinkte Sache anschaulich zeigt: http://www.youtube.com/watch?v=pBUJsMu86GU . Bin verwundert, warum man bei der VZ-Gruppe nicht in der Lage war, trotz eindeutigem Titel das Video zu finden und Massnahmen gegen solche Bots zu machen.
,
Da http://3×1t-de.eva.3×1t.net gerade nicht zu erreichen ist. Dort steht u.a das, was auch beim Youtube-Video steht. Das weist auf eine noch größeres Datenleck hin. Immerhin schreibt der Autor in seinem nicht mehr zugänglichen Blog, dass er vor zwei Tagen seine Daten in ein Forum hochgeladen hat. Und bei ihm gibt es noch andere Profilfelder als anscheinend netzpolitik.org zugeschickt wurden.
Aus der Youtube-Description:
Das Video ist aus dem Mai. Wenn der da schon 48.000 Profile in 4 Stunden gecrawlt hat, kann man sich vorstellen, wie viele Daten da rausgezogen wurden, die jetzt im Umlauf sind…
,
Die VZs sollten sich nicht immer so wichtig machen, sondern endlich mal fähige Software-Entwickler einstellen und diese Dinge ein für alle mal abstellen. Das war zwar 2006 noch ganz toll und hat für viel Wirbel und Wachstum der Netzwerke gesorgt, solangsam nervts aber auch, wenn man nicht in der Lage ist, ein SN zu betreiben und dabei die Basics zu beherrschen.
Das massenhafte automatisierte Auslesen wurde vor Jahren bei den VZ schon kritisiert; dennoch ist es scheinbar immer noch möglich. Da mit „Datenschutzbehörde“ und „rechtlichen Schritten“ herumzuposaunen finde ich schon mehr als lächerlich. Nein – bedenklich – liebe VZ-Betreiber.
,
[…] Datenleck bei SchülerVZ […]
,
[…] anonymer Quelle wurden der Website Netzpolitik.org Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein Satz umfasst mehr als eine Million […]
,
[…] hat. Sehr interessante Fakten zu dem Thema finden sich bei Markus Beckedahl und seinem Blog netzpolitik.org. Dort wird auch auf weitere mögliche Daten-Pannen hingewiesen, z.B. was eigentlich […]
,
Hallo und guten Abend ich habe es gerade gelesen und möchte direkt anmerken, dass ich auch Nutzer im SchülerVZ bin und mich es jetzt ernsthaft stutzig macht. Ich meine es kann doch wohl nicht sein, dass vertrauliche Daten von den Betreibern solcher sozialen Netzerke nicht gut genug geschützt werden.
Ich mache eine schulische informationstechnische Ausbildung und hin und wieder erfährt man wie schnell es gehen kann an Informationen zu kommen. sei es an Bankdaten und Zugangsdaten beim Onlien banking (Man in the Middle Attack)
bei Geldautomaten (hier wird meist mit Notebook und Minikameras gearbeitet) oder in Anführungszeichen einfaches hacken eines normalen nicht richtig gesicherten WLAN.
von den ungeschützten WLAN-Routern brauch ich gar nicht erst anfangen…
Ich sag nur so viel. Selbst seinen PC kann man niemals 100%ig schützen. Da kann man die neuste Software haben und Sicherheits Updates installieren soviel man will. Ein Mensch auf der Welt findet garantiert früher oder später immer einen Weg rein.
Bei Handys ist es genau dasselbe. Hierzu gebe ich auch nur einen Tipp: Lasst das Bluetooth wenn möglich immer aus.
naja ich könnte noch ein paar beispiele nennen aber ich lass es erstmal bleiben.
Ich hoffe jetzt mal dass das Sicherheitsleck in den VZ-Netzwerken gestopft werden und man aufs Gründlichste Überprüft ob nicht andere Sicherheitslücken auftauchen. Dasselbe sollten die anderen Betreiber dieser Netzerke auch machen denke ich. siehe Facebook, Jappy und CO.
Einen schönen Abend noch und gute Nacht.
Niclas
,
Tja Sicherheitslecks wirds wohl immer geben.es wurden ja nur einsehbare daten kopiert also keine passwörter.Im handyhacking kenne ich mich aus(kenne Programme und Wege) ich würde dazu noch eine Passwortsicherung der Menüpunkte empfehlen weil die mit der bluetotth verbindung nicht übermittelt werden:zu deutsch Passwortraten.
Naja danke dir für die Infos schönen tag noch
,
[…] Mit dem Satz “Zu gutem Journalismus gehört nicht nur das Verfassen flotter Texte, sondern auch eine umfassende, aufwändige und meist sehr teure Recherche, die sich nicht in der Benutzung der Suchmaschine Google erschöpft.”, über den ich bei Julia Seeliger gestolpert bin, ist, denke ich, die bisherige Aufgabenteilung recht gut dargestellt. Die Aufgabe der meist privat und nebenher betriebenen Blogs beschränkt sich auf eine mehr oder weniger fundierte Kommentierung und Hervorhebung von Nachrichten, die andere hervorgebracht haben. Nur in wenigen Nischenthemen können Blogger selbst Urheber einer Nachricht sein und in noch weniger Fällen werden sie von anderen dazu in die Lage versetzt. […]
,
[…] The sentence “Zu gutem Journalismus gehört nicht nur das Verfassen flotter Texte, sondern auch eine umfassende, aufwändige und meist sehr teure Recherche, die sich nicht in der Benutzung der Suchmaschine Google erschöpft.” (translation by the author: “Good journalism is not just writing good texts but an extensive and expensive recherche which is not done with the use of Internet search engines”) on which I stumbled upon at Julia Seeliger (german) is stating the current situation correctly. The job of the mainly private and secondarily written blogs is to more or less adequately point out and comment news which were made by someone else. There are only few themes where bloggers could be the originator of the news themselves and even fewer in which they are brought into the occasion by others (german). […]
,
ich bin selber bei schülervz angemeldet und es schockt mich schon ein wenig, das es anscheinend kein problem ist, die daten von EINEM VIERTEL der nutzer auszulesen…
zum glück gibt es die funktion, dass man seine seite nur für freunde offen anzeigt und das sie dann für alle anderen nutzer nich sichbar ist (ich nutzte diese funktion)
,
Wer Daten von sich preisgibt, der muss damit rechnen, dass sie missbräuchlich verwendet werden.
Wer Bankverbindungen herausgibt, braucht sich nicht wundern, wenn dann irgendwann unberechtigte Abbuchungen stattfinden.
Was die Social Networks so gefährlich macht: Man verliert die Kontrolle über seine Daten.
Nehmen wir mal an, jemand schreibt auf seiner Seite, er habe Zeitung xy abonniert. Was soll daran schon schlimm sein, wenn das jemand weiß, wird sich fast jeder sagen.
Ein Betrüger, der dann zufällig noch die Bankverbindung hat, reicht einfach eine Laftschrift ein: Abo-Gebühr für Zeitung xy. Ich gehe jede Wette ein, dass fast niemand bemerken würde, wenn da 2x abgebucht würde.
Ebenso das Profilfoto. Die ganzen Fakeaccounts mit Bildern von wildfremden Personen. Niemand weiß, ob diese Bilder nicht längst für Sexforen in Großbritannien, Frankreich oder den USA verwendet werden.
Oder Mädchen, die einem Cyberstalker aufsitzen und die plötzlich gefährdet sind, wenn diejenigen vor der Arbeitsstelle lauern, wenn man sie mal veröffentlicht hat.
Es fehlt leider vielen die Vorstellungskraft, was man mit persönlichen Daten alles anfangen kann, wenn man kriminelle Absichten hat. Das ist der Punkt.
,
[…] Versuch uninformierter Medien, das bloße Auslesen von SchülerVZ-Daten für einen fiesen Hack zu halten, sondern die Tatsache, dass unabhängig vom verwendeten Portal mit der Nutzung auch die […]
,
Ich selbst nutze Schülervz, und finde es schrecklich, was dort passiert ist. Zwar habe ich kaum persönliche Daten angegeben, doch in meinem Freundeskreis gibt es genug, denen es egal ist, was mit ihren Daten passiert, da sie die Folgen nicht abschetzen können.
Außerdem finde ich, Schülervz sollte mehr darauf hinweisen, das trotz dem \Schutz\ etwas passieren kann.
,
[…] hieß es, das Social Network SchülerVZ sei Ziel eines Hackerangriffs geworden: Der Redaktion von „Zeit Online“ wurden Datensätze zugespielt, die angeblich von […]
,
Wochenrückblick: Big Brother Awards, GEZ, neue Domains…
+++ Big Brother Awards verliehen: Schäuble endlich „geehrt”
+++ BVerfG: Eingeschränkte Medienpräsenz im Ulmer Mordprozess zulässig
+++ Betrüger tarnen sich als GEZ
+++ EGMR: Schweiz verletzte Pressefreiheit
+++ Versteigerung von…
,
[…] Quelle: http://www.netzpolitik.org… […]
,
[…] http://www.netzpolitik.org wurden Datensätze von SchülerVZ aus anonymer Quelle zugespielt! Diese Datensätze sollen u.a. Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild (Plus dazu gehörigem Link auf Bild) beinhalten. http://www.netzpolitik.org/2009/datenleck-bei-schuelervz/ […]
,
Da kann man kaum von einem Datenskandal sprechen. Wer dort seine Daten für alle svz Nutzer sichtbar macht ist selber schuld. Es gibt nicht umsonst die möglichkeit, die persönlichen Daten nur für Freunde sichtbar zu machen.
Ich habe viele Leute in meinem Freundeskreis die sich kein bisschen darum zu kümmern scheinen, auf welchen Fotos sie verlinkt werden…
Ich habe nur darauf gewartet, dass sich so ein Datenmissbrauch, wie er vor einiger Zeit bei Studi VZ stattgefunden hat wierholt ;)
,
[…] […]
,
es is schon bescheuert, das irgendwer unsere daten kopiert und rausgibt, aber jeder weiß das sowas in der heutigen zeit passieren kann, weil man immer irgendwie durchkommt,also is svz auf eigene gefahr,aba schön ist es tritzdem nicht…
,
[…] hat netzpolitik.org anonym Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. (Anonym? Wie hat dieser Jemand das […]
,
Selber Schuld wenn man denkt, dass man seine ganze Lebensgeschichte Preis geben muss.
Jedoch finde ich es erschreckend, dass mit („falscher“) Sicherheit geworben wird.
Ich hoffe für die Zukunft, dass das Problem schnellstmgl. gelöst wird.
MfG
,
[…] war ja klar und vermutlich ist es sogar gang und gebe diese Daten bei Studivz zu spidern:http://www.heise.de/security/meldung/Ueber-1-Million-Datensaetze-bei-SchuelerVZ-abgesaugt-832232.htmlhttp://futurezone.orf.at/stories/1629506/http://www.netzpolitik.org/2009/datenleck-bei-schuelervz/ […]
,
[…] Daten wurden dem Blog Netzpolitik zugespielt, dann wurde eine Welle losgetreten, inzwischen lief die Sache durch die Medien (NDR2 […]
,
[…] aber mal ran an den Speck – mal sehen was da so dran ist. Also Freitag berichtete Netzpolitik über ein Datenleck beim sozialen Netzwerk SchülerVZ, da konnte man sich ja schon denken […]
,
[…] nun SchülerVZ gehackt worden ist, fiel mir ein, ich habe doch noch account-loeschen.de… Ich dachte das ganze wird […]
,
[…] theoretisch möglich?Account Loeschen!!! (german) « Johannes Findeisen’s Weblog bei Datenleck bei SchülerVZ (Update)Riesenerfolg für Aktionsbündnis Winnenden? » fuechseblog bei Container-Aktion des […]
,
Ich sag immer, was ein Mensch programmiertechnisch absichert, kann ein anderer Mensch auch wieder knacken.
,
Kann nicht jeder, der etwas PHP beherrscht mit fopen() und einer Funktion, die sich an den HTML-Quellcode anpasst jeweils den Link lesen, und dann die Daten von dieser Seite aufspüren? Das ist technisch doch nicht allzu versiert.
,
welches sicherheitssystem von svz ??… die „gestohlenen“ daten sind doch eh jedem zugänglich ? man kann es zwar selbst bestimmen ob andere SVZ-nutzer nur namen schule und profilbild sehen oder eben die gesammte seite aber im grunde sind zu viele informationen für jeden sichtbar…das ist aber schon immer so und wenn jemand gezielt nach etwas sucht kann er auch die suchfunktion benutzen da brauch man keine hacks
,
Hey Leute.
Es wurden nur die Daten veröffentlicht die man auch freigegeben hat. Man kann bei sich selber einstellen ob man seine komplette Seite veröffentlicht oder alles. Die Leute die alles veröffentlicht haben, haben Pech weil das kopiert wurde. Da kann, so wie ich es verstanden habe, schuelervz nix für.
,
[…] Unternehmen VZnet Netzwerke sorgt erneut für negative Schlagzeilen: Am Freitag wurde bekannt, dass eine hohe Zahl von schülerVZ-Datensätzen ungeschützt im Internet kursieren. Teile der […]
,
[…] habt ihr alle schon vom “Hack” der schülerVZ Daten gehört (netzpolitik und netzpolitik), geht ja grad durch alle Nachrichten, sei ganz schlimm und […]
,
[…] nächsten Blogeintrag werde ich den Bericht von netzpolitik.org anschauen und mit dem Statement von SVZ in Verbindung bringen. Erschreckend was man da alles zu […]
,
ich finde es auch nict gut dass so sieten wie schülervz so leihct zugänglich sind und dass man so leicht daten klauen kann. ich finde auf solchen seiten sollte es verstärkte sicherheitvorkehrungen geben aber zum beispiel den button: suchen finde ich sehr gut, denn so kann man neue freunde die man zum beispiel auf einer party kennengelernt hat adden und sich viel. noch einmal verabreden. manche leute übertreiben es im schülervz, wenn sie zum beispiel bilder reinstellen wenn sie betrunken sind o.ä. andererseits finde ich es nichgt schlimm wenn man die bilder von der klassenfahrt oder der eigenen party reinstellt. ich sleber bin auch im schülervz und meine mutter will jetzt auch dasss ich alle meine bilder lösche aber ich meine ich weiß was ich tue. viel bin ich mir nicht ganz bewusst was ich da tue aber man kann es auch übertreiben in dem man seinen kindern jeglichen kontakt mit solchen chats verbietet.
wenn jemand meine schule meine klasse und viel. sogar meinen stundenplan über freunde herausgefunden hat und meint er kann mich abfangen kann das auch nicht sein. weil ích meine es gibt solche leute die so gestört sind und andere aufspüren aber das geht auch auf andere art und weise. man kann zum beispiel bei einem telefonbuch den nachnamen eingeben und die adresse heraussuchen solche leute würden auch nicht davor zurückschrecken nach hause zu gehen o.ä. ich meine die sorgen sind berechtigt aber deshalb würde ich nicht sagen ich würde nie mehr ins schülervz gehen weil ich dort mit meinen freunden reden und disskutieren kann.
,
Naja Datenskandal… der hat lediglich kopiert was eh jeder sehen kann. Jeder VZ Nutzer kann selbst entscheiden ob er seine Daten öffentlich macht oder Privat.
Die die meinen sie brauchen keine Privatsphäre wird das ganze nun auch wenig kümmern. Sie wissen ja das jeder Nutzer die Daten sehen kann.
,
[…] der Reihe nach: – Am Freitag veröffentlichte Netzpolitik.org, eine Meldung, dass man im Besitz von über einer Million Daten aus SchülerVZ-Profilen sei. […]
,
[…] – auf netzpolitik.org Mit den Listen lassen sich einfache Datenabfragen erstellen wie “alle Schüler aus Berlin”, […]
,
mein account und der meiner freundin wurde gestern gehackt und meiner wurde gelöscht, der Hacker hat meine freundin bedroht und ihr gesagt er bringe sie um, und er hat versucht leuten aus ihrer freundesliste einen virus zu schicken!
ich find das eigentlich nicht so lustig wie andere hier,sowas sollte euch mal passieren!
,
„da macht SchülerVz so einen großen Ausriss, dass unsere Daten dort sicher sind und dann passiert sowas.“
Naja, diese VZ-Trottel erschienen mir schon immer unseriös. Erst stehlen sie Facebook-Scripte um überhaupt etwas zum Laufen zu bekommen, dann jagt ein Datenschutzskandal den nächsten.
Die freuen sich bestimmt, schließlich haben sie mit minimalem Aufwand „ganz Deutschland“ an sich hängen :)
,
Da die Einträge vom Miniblog („Buschfunk“) auch das Löschen des Accounts überstehen verwundert es mich auch nicht im geringsten, wenn die Verlinkung auf die Bilder trotz offiziellen Löschen nur halt eine Verlinkung ist/war.
Das jemand einen Crawler schreibt, war eigentlich nur eine Sache der Zeit, ich habe mir selber schon mal so etwas dafür überlegt, eher als proof-of-concept, es ist jedoch auf Grund der rechtlichen Dinge und meiner verfügbaren Zeit nichts draus geworden
Das jetzt aber der Medienhype so groß ist, kann ich dennoch nicht wirklich nachvollziehen, denn StudiVZ limited (bzw. wie sie jetzt heißt, sie hatte sich vor einiger Zeit umbenannt) war ja wie bereits im Blogpost angeschnitten schon einige Male wegen ihrer tollen Kompetenz bezüglich der Sicherheit aufgefallen, mit dem technologischen Fortschritten der Plattform erscheint es mir eh mehr so, als wenn von den 240 Mitarbeitern 50 für PR und Werbung verantwortlich sind, 10 in der Geschäftsleitung sich die Beine hochlegen, 10 für die Server und die darauf liegende Software verantwortlich sind, 30 für das Testen der Plattform verantwortlich sind, 15 neue optische Effekte etc. im Browser entwickeln und neben den 120 Moderatoren etc. noch 5 verbleibende Entwickler für die Software angestellt sind, die sich am liebsten mit memcache auseinandersetzen und darüber bloggen, also keinen echten Fortschritt erreichen können – Alles zusammen kein Wunder also
,
[…] Haha! Share this on FacebookTweet This!Add this to Google BookmarksAdd this to Mister WongShare this on RedditDigg this!Share this on del.icio.us […]
,
Über 1 Million Datensätze bei SchülerVZ abgesaugt…
Wieder einmal gibt es in Deutschland Probleme mit sensiblen Daten. Diesmal sind es aber keine Informationen über Arbeitnehmer, sondern von Kindern und Jugendlichen, die sich im SchülerVZ angemeldet haben. Ich selber bin dort auch gelistet.
Eigentlich s…
,
Liebe Freunde der Communities wie VZ, WKW, Facebook, etc. Gebt nur weiter eure Daten ein und vor allem die Bilder vom letzten Besäufnis in der Clique, etc. JEDE Personalabteilung der Republik googlet euch. Wundert euch also bitte nicht, wenn in 10 Jahren aus dem tollen Traumjob nichts wird, weil irgendwelche peinlichen Daten oder Bilder von euch existieren.
,
[…] Datenleck bei SchülerVZ (Update) (netzpolitik, 16.10.2009) […]
,
[…] gute Idee für die Usability aber leider wohl doch nicht ganz geglückt. Wie die neuste Problematik der Daten im SchülerVZ zeigt. Seit neustem nun, sind die Captchas aber wieder drin. Scheinbar […]
,
[…] 1. SchülerVZ-Daten erreichen Netzpolitik Und das Team von Markus Beckedahl geht verantwortungsvoll damit um. Die ganze Geschichte hat er aufgeschrieben. […]
,
[…] Artikel auf Netzpolitik.org […]
,
[…] anonymer Quelle wurden der Website Netzpolitik.org Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein Satz umfasst mehr als eine Million […]
,
Zwei Aspekte fallen mir an diesem Beispiel auf: Zum einen wird der Kommunikationsaufwand in Krisen scheinbar immer noch gnadenlos unterschätzt. Es ist fatal, wenn der Eindruck entsteht, das Wochenende sei den Betreibern wichtiger als ständig aktualisierte Informationen. Parallel zum Übermitteln von Fakten sollte zudem immer eine Diskussion mit den betroffenen Nutzern geführt werden. Sprich: Es müssen möglichst umfassende Ressourcen für das Thema mobilisiert werden.
Zum Anderen muss in Krisen auch die interne Kommunikation funktionieren. Es hilft nichts, wenn der PR-Beauftragte oder der Community Manager vor dem Rechner sitzt, er aber keinen Input aus der Technik bekommt. Am Ende kann ein Unternehmen in der Krise ohnehin nur Kompetenz demonstrieren, wenn es diese auch tatsächlich besitzt. Das gilt für beide Themen: Datensicherheit und Kommunikation.
,
[…] […]
,
Neuer Datenskandal bei VZ-Netzwerk…
…
,
[…] Ins Rollen gebracht hatte den Trubel um das Netzloch netzpolitik.org. Denen wurde aus anonymer Quelle eine Liste mit den vermeintlich gehackten Daten zugespielt. Diese Info haben sie an die SchülerVZ-Betreiber gegeben mit der Aufforderung zu einer Stellungnahme. Im gleichen Atemzug kritisierten sie den Umgang mit den Daten. (Meldung auf netzpolititk.org) […]
,
[…] […]
,
[…] […]
,
[…] des Datenschutzskandals um SchülerVZ haben wir ein Dossier mit einigen Quellen zusammengestellt, in denen man sich über die Wahrung […]
,
[…] Alles begann (für mich) auf netzpolitik.org: […]
,
[…] gehört. Im Internet tauchte eine Matrix auf, in der millionen Nutzerdaten des Sozialen Netzwerkes aufgelistet wurden (Name, Alter, Geschlecht, Schule und Profilfotos). VZnet schickte relativ zügig eine […]
,
[…] Wohnort und Alter zu filtern und inklusive Benutzerbild anzeigen zu lassen. Die Datensätze wurden netzpolitik.org zugespielt, die daraufhin prompt einen Blogeintrag darüber […]
,
Daten unsicher bei [Schüler|Studi|Mein]VZ …
Momentan ist dies ein heißes Thema in der Presse. Da ist dann auch gleich die Rede von Hackern. Theoretisch könnte jedeR SchülerVZ-BenutzerIn diese Daten sammeln, allerdings wurde wohl tatsächlich eine sogenannte CSRF-Lücke (”Cross Site Request Forgery…
,
Man sollte die Anbieter, Social Networks ebenfalls in die Verantwortung ziehen.
Webseiten so zu betreiben, das sie einem Sicherheitsaspekt entsprechen der genaus so stark ist wie am Anfang des Internets ist. Keine der Webseiten baut SSL Verbidungen auf etc pp. schlimm schlimm.
,
[…] http://www.netzpolitik.org/2009/datenleck-bei-schuelervz/ […]
,
[…] gibt es Aufklärung: SchülerVZ stand schon am Samstag im Kontakt mit der zweiten Quelle, die wir hier “Cracker” genannt haben. Die Person stammt aus Franken und war wohl am Sonntag nach Berlin zu SchülerVZ ins Büro […]
,
[…] […]
,
Was ist denn das für ein Quatsch? JEder könnte ohne großen Aufwand solche datenmengen sammeln und keine nur erdenkliche Sicherheitsmaßnahme könnte das verhindern.
Wer persönliche Daten in solchen Communities einstellt muss auch damit rechnen das die Daten von anderen benutzt werden!!!
,
[…] Mädchen in seiner Nähe herausfiltern, sage der Blogger Markus Beckedahl auf seinem Blog Netzpolitik.org über die Gefahr, die in solchen Mengen gesammelter persönlicher Daten stecke – das […]
,
[…] […]
,
[…] werden, wurde ja insbesondere an letzterem gezeigt, dass es eben doch nicht wirklich schwierig ist (Netzpolitik: Datenleck bei SchülerVZ, Netzpolitik-Interview: Sicherheit bei der […]
,
[…] […]
,
[…] Friday the whistleblower blog Netzpolitik.org received data of more than 1m minors from another anonymous source that only wanted to point at a […]
,
Große Tränen um Daten, die es eigentlich gar nicht gibt…
Nach dem Angriff auf das schülerVZ und dem Bekanntwerden weiterer Sicherheitslücken in den VZ-Netzwerken (ist ja schließlich der selbe Codemüll verdreifacht) geht ein großer Ruck durch die Medien, was die Sicherheit unserer Daten und Sensibilität.…..
,
[…] http://www.netzpolitik.org/2009/datenleck-bei-schuelervz/ […]
,
[…] hat das am Freitag, als das Portal “Netzpolitik.org” die Datensätze zugeschickt bekommen hat. So schrieben […]
,
[…] von massivem Datendiebstahl betroffen. Netzpolitik.org schreibt am Freitag unter dem Titel “Datenleck bei SchülerVZ” Aus anonymer Quelle wurden uns Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein […]
,
[…] bei SchülerVZ + bsmparty und […]
,
[…] Without Border Podcast Politfunk.de Datenleck bei schülerVZ Salmon […]
,
[…] erste Quelle bei der Aufdeckung eines Datenlecks bei SchülerVZ hat die von ihre entdeckten Sicherheitslücken dokumentiert (PDF). Wir danke für die […]
,
[…] Nach den Vorfällen bei den geknackten Mailaccounts von Hotmail und den ausgelesenen Daten bei StudiVZ schaut man aber doch mal genauer hin AKPC_IDS += „42,“;Popularity: unrankedTweet This!Share this on […]
,
Verkauft der Betreiber der eins.de-Portale Nutzerdaten?…
Über Twitter wurde ich gestern auf einen Artikel beim Marketingblogger aufmerksam. Michael van Laar beschreibt, dass ihm vom Betreiber der Portale der eins.de-Gruppe per Email 370.000 Nutzerdaten angeboten wurden. Ausdrücklich genannt werden:
Vor‑, Na…
,
[…] bei Xing und Facebook nicht sicher Datenklau: So geht es bei Xing Datenleck bei SchülerVZ Datenmissbrauch bei SchülerVZ größer als angenommen SchülerVZ gelobt besseren Schutz von […]
,
[…] Netzpolitik.org meldete: “Aus anonymer Quelle wurden uns Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein Dat… […]
,
[…] ist es schon einige Tage her, seitdem das Datenleck bei SchülerVZ aufgetaucht ist. Aber was steckt eigentlich genau dahinter – und welche Konsequenzen zieht der […]
,
[…] Fassung: Vor zehn Tagen hatten wir erstmals über ein Datenleck bei SchülerVZ berichtet. Uns wurden 1,6 Millionen Datensätze von SchülerVZ-Nutzern zugeschickt. Einen […]
,
[…] sicherer wären): – Urheber- und Persönlichkeitsrechte in sozialen Netzwerken (netzpolitik.org) – Datenleck bei SchülerVZ (Update) (netzpolitik.org) – Festnahme wegen SchülerVZ-Datenleck (netzpolitik.org) – Sicher in Sozialen […]
,
[…] […]
,
[…] […]
,
behindert
,
[…] wo man hinschaut. Heute morgen wurde auf Netzpolitik.org mit einem Leck im Sparkasse-Shop nach SchülerVZ und Libri das dritte vergleichsweise bedeutungsschwere Datenschutzversagen in wenigen Tagen […]
,
[…] (also ohne Hürde) auszulesen waren, ist dies nicht einmal illegal. Mehr Infos dazu gibt es auf netzpolitik.org, wo das Geschehen zuerst thematisiert […]
,
[…] Blogs der deutschen Blogosphäre hat ein neues Beschäftigungsfeld gefunden: Seit dem sogenannten “Datenleck” von SchülerVZ.net, mit dem er sehr großes öffentliches und mediales Interesse geweckt hat (Nachricht kam bis in die […]
,
[…] erstes meldet netzpolitik.org, dass es ein „Datenleck bei SchülerVZ“ gibt. Die genauen Umstände klären sich […]
,
[…] Ende Oktober. Hier hat sich ein Hacker 2,8 Millionen Datensätze zu Eigen gemacht. Laut Markus Beckedahl von Netzpolitik.org hat der Täter die Daten mithilfe eines Scripts über eine ungesicherte […]
,
ich find svz sollte sich ma nen comuter spezialisen anschaffen sollten!!!!! sie sollten das svz von 0–24 uhr überwachen und die „datenreuber“ zurückverfolgen!!! iss wen man es kann garnich so schwer.
,
[…] verschiedene Datensätze mit SchülerVZ-Nutzerdaten im Netz veröffentlicht. Die Daten wurden u.a. an Netzpolitik.org geschickt und sind in einigen Foren aufgetaucht. Da hat sich einfach jemand einen Crawler gebastelt, ein paar […]
,
[…] Datenschutzskandal der VZ-Netzwerke ist ja schon allerhand. Aber das, was ich neulich im SchülerVZ gesehen habe, […]
,
[…] bei SchülerVZ + bsmparty und […]
,
[…] Aus anonymer Quelle wurden uns Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein Datensatz umfasst mehr als eine Million Datensätze mit den Feldern Profil-ID, Name und dazugehörige Schule samt ID. Ein kleinerer Datensatz zeigt detailliertere Informationen mit den Feldern Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild (Plus dazu gehörigem Link auf Bild) an. […]
,
[…] Heise und Netzpolitik wird von einem Angriff eines Crawlers berichtet. Dadurch bin ich auf die Idee gekommen mal […]
,
[…] Skandale der letzten Monate haben den Datenschutz in Social Networks ins Blickfeld einer breiteren […]
,
[…] posten sollten. Erst um 21.35 Uhr (Zur Erinnerung: Die Existenz der Liste wurde um 16.38 Uhr bei Netzpolitik bekannt) wurde in dieser Gruppe ein Thema eröffnet, in dem Frage zu den Vorfällen an das Team […]
,
[…] der zeitgleichen Datenklau-Skandale bei der Postbank, AWD und bei SchülerVZ komme übrigens keiner mit dem früher üblichen Geseiere, dass es sich hier um spezielle Probleme […]
,
[…] Fall reiht sich in die von uns im vergangenen Herbst aufgedeckten Datenlecks ein, die SchülerVZ betrafen und damals für großes Aufsehen sorgten. SchülerVZ hat […]
,
[…] Fall reiht sich in die von uns im vergangenen Herbst aufgedeckten Datenlecks ein, die SchülerVZ betrafen und damals für großes Aufsehen sorgten. SchülerVZ hat sich in den […]
,
[…] schöne maschinelle Listen zu erstellen. Das ist merkwürdig, denn genau weil es bereits im Vorfeld solche Fälle gab hatte die VZ-Gruppe das TÜV Siegel beauftragt. Und die VZ-Netzwerke […]
,
Hallo,
ich bin in SVZ angemeldet,
aber ich komme nicht in SVZ rein
,
Warum gehen bei machen den die Passwörter nicht mehr ? Sind die auch bekannt gegeben worden ?
,
[…] der bisherigen Datenlecks in den VZ-Netzwerken sollte man diese Funktionen aber ohnehin besser nicht nutzen. Wer […]
,
[…] einmal wurden Daten aus einem Social Network in die Öffentlichkeit getragen. Dem Blog Netzpolitik.org wurden Daten von ca. 1 Million Nutzern zugespielt.Großer Skandal oder nicht? Wie Teltarif […]
,
GTA SA Online spielen…
Datenleck bei SchülerVZ (Update)…
Dieser Artikel ist älter als 16 Jahre, daher sind die Ergänzungen geschlossen.