Öffentlichkeit

Datenleck bei SchülerVZ (Update)

Aus anonymer Quelle wurden uns Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein Datensatz umfasst mehr als eine Million Datensätze mit den Feldern Profil-ID, Name und dazugehörige Schule samt ID. Ein kleinerer Datensatz zeigt detailliertere Informationen mit den Feldern Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild (Plus dazu gehörigem Link auf Bild) an.


netzpolitik.org - unabhängig & kritisch dank Euch.

Wir haben einige Datensätze verifiziert und die Personen bei SchülerVZ gefunden.

Mit den Listen lassen sich einfache Datenabfragen erstellen wie „alle Schüler aus Berlin“, oder „alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule“. Man kann sich vorstellen, dass diese Daten nicht aus den Datenbanken von SchülerVZ in einer solchen Größe ausgelesen werden dürfen.

Das weist darauf hin, dass SchülerVZ ein großes Sicherheitsloch hat und man aus den Erfahrungen mit StudiVZ vor drei Jahren nichts gelernt hat. Damals wurde bekannt, dass man auf ähnliche Weise aus der StudiVZ-Datenbank viele Informationen aus den Profilen auslesen konnte. Bei SchülerVZ ist das Problem noch größer: Hier handelt es sich um Kinder und Jugendliche, die einen besonderes Schutzraum brauchen.

Bei SchülerVZ gibt es einen Extrapunkt „Sicherheit“. Unter der viel versprechenden Überschrift „Darauf kannst du dich verlassen:“ gibt es den Punkt:

Deine persönlichen Daten sind auf unseren Servern (den Speicherorten für diese Daten) bestmöglich geschützt. Sie können z.B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb vom schülerVZ auf.

Wir haben beim Bundesverband Verbraucherzentralen angefragt, was sie davon halten. Falk Lüke, der Referent fuer Verbraucherrechte in der digitalen Welt, erklärte gegenüber netzpolitik.org:

Die Betreiber sozialer Netzwerke sind in der Pflicht, Daten ihrer Mitglieder gegen unbefugten Zugriff zu schützen. Das aktuelle Beispiel zeigt, dass Benutzer sich nicht in Sicherheit wiegen lassen sollten: Netzwerke sind ein Teil des Internets und nicht von ihm getrennt. Und genau wie im Rest des Netzes gilt, dass nur solche Daten veröffentlicht werden sollten, bei denen man selbst kein Problem damit hätte, wenn diese am nächsten Tag auf einer Zeitungstitelseite stehen würden. Kinder können sich die Folgen allerdings oft noch nicht ausmalen.

Eine Anfrage an SchülerVZ zur Stellungnahme haben wir soeben raus geschickt.

Update: SchülerVZ hat jetzt eine kurze Meldung rausgegeben:

Wir haben am heutigen Nachmittag Kenntnis über folgenden Vorgang erhalten: Ein schülerVZ-Nutzer hat eine Vielzahl von Profilen aufgerufen und Kopien einzelner der für alle schülerVZ-Nutzer sichtbaren Daten angelegt: Name, Schule, Geschlecht, Alter, Profilfoto. Es handelt sich hierbei explizit nicht um Daten wie Postadressen, Email Adressen, Zugangsdaten, Telefonnummern und Fotoalben, sondern um für alle Community-Nutzer einsehbare Daten. Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen. Die VZ-Netzwerke haben die Datenschutzbehörden umgehend informiert und werden rechtliche Schritte gegen Unbekannt einleiten.

Ich hab nicht alle mir vorliegenden Daten verifiziert, sondern nur Samples. Ich gehe nicht davon aus, dass die Quelle sich die Daten manuell gezogen hat, wie der Blogeintrag suggeriert. Hier wurden Scripte verwendet und eine sogenannte CSRF-Lücke genutzt („Cross Site Request Forgery“). Wäre schön, wenn SchülerVZ das korrigieren könnte. Ich habe sie darauf hingewiesen.

Übrigens haben wir seit Veröffentlichung zwei weitere Hinweise auf Sicherheitslecks bekommen.

Die erste ist interessant: Nach Angaben der Quelle wurde eine kritische Cross-Site-Scripting Lücke entdeckt, mit welcher es möglich ist, ganze Accounts zu übernehmen. Der Quelle zufolge wurde SchülerVZ vor einer Woche von der Lücke informiert, aber sie kann heute immer noch genutzt werden. Uns wurde ein Video-Screencast mitgeschickt, die die Lücke ausführlich beschreibt. Ist aber etwas nerdig und soviel Ahnung hab ich nicht von Javascript.

Die zweite kommt noch. Da warte ich noch auf weitere Infos. Siehe unten.

Update: Ich hab ein fertiges Interview mit der ersten Quelle. Da dort noch weitere Sicherheitslücken angedeutet und beschrieben werden, hab ich den Text erstmal an die Technikabteilung von SchülerVZ geschickt, damit die etwas Vorlauf haben. (Update: SchülerVZ hat mich gebeten, das Interview nicht zu veröffentlichen. Die haben natürlich ein Interesse, dass es nicht noch mehr aufsehen gibt. Ich überlege noch, was ich tun soll.)

Da gerade oftmals in der Medienberichterstattung von „gehackten Accounts“ gesprochen wird, wollte ich nochmal darauf hinweisen, dass es sich hier um das automatisierte Auslesen von sehr vielen Datensätzen über die öffentliche Suche handelt. Allerdings sollte es technisch nicht möglich sein, das in einer so großen Anzahl automatisiert zu machen. Und die daraus ermittelten Daten haben durchaus etwas Sprengkraft, wie ich oben schon beschrieben habe.

Update: Die zweite oben angesprochene Sicherheitslücke soll wohl gelöschte Bilder betreffen. SchülerVZ beschreibt in der Datenschutzerklärung: „Wenn du etwas löschst, ist es auch weg. Und das komplett!“. Das scheint nicht so zu sein, wenn man den Link zum Bild kennt. Die Bilder verbleiben anscheinend auf dem Server. Das soll auch für Bilder in Fotoalben gelten. Diese Lücke wird aber von SchülerVZ bestritten.

Nach Angaben von der SchülerVZ-Technikabteilung wurden die Lücken wohl jetzt kurzfristig behoben. Ob das auch für die Bilder gilt, weiß ich nicht. Ich hatte SchülerVZ von dem Problem auch berichtet.

Da mehrfach in Medienberichten davon die Rede ist, dass mehr als eine Million Datensätze im Umlauf sind, wollte ich das auch nochmal klarstellen: Weder die Quelle noch ich habe ein Interesse daran, dass die Datensätze ins Netz kommen. Wir werden sie heute löschen.

Von Seiten SchülerVZs wurde auch kommuniziert, dass sie im Falle einer Kooperation von einer Strafanzeige Abstand nehmen. SchülerVZ hat mittlerweile detaillierte Beschreibungen der Lücken bekommen, so dass dieser Fall eintreten müsste. Der vor einer Woche eingeschickte Warnhinweis bezüglich der XSS-Lücke zum übernehmen von Profilen wurde nach dem heutigen Hinweis von mir mittlerweile auch gefunden. Das sollte in Zukunft schneller gehen.

Update von Samstag Abend: SchülerVZ schreibt jetzt, dass es sich bei meiner Quelle um einen Trittbrettfahrer gehandelt habe, der die Daten von jemand anderen bekommen hat. Ich bin da noch etwas skeptisch. Die von SchülerVZ hier genannte Quelle hatte in einem derzeit nicht mehr zugänglichen Blog geschrieben, er habe vor zwei Tagen seine Datenbank anderen zugänglich gemacht. Ich hab meine Daten aber davor bekommen. Insofern ist da wohl ein Wurmloch dazwischen. Und soweit ich das richtig verstanden habe, hat diese zweite Person auch weitere Datenfelder gezogen wie Geburtsdatum. Dieses Feld stand nicht in den mir zugegangenen Daten.

Vielleicht gibt es mehrere Datensätze, die von verschiedenen Menschen gecrawlt wurden und die um Umlauf sind?

Update: Im StudiVZ-Blog beschreibt jemand in den Kommentaren mehr oder weniger pseudonymisiert diesen zweiten Fall:

Die Daten sind mittlerweile getrieben eben durch die Öffentlichkeit so gut wie in jedem halbwegs “brauchbar” sortierten Board mit weltweiten Mirrors verlinkt [Raid-Rush, gulli, gsmfreeboard usw.], wer behauptet das diese Daten jemals zufriedenstellend gelöscht werden können begibt sich auf sehr sehr dünnes Eis. Aber es wird wenigstens versucht, das ist toll, meine ich ganz ernst.

Unklar ist, wie viele Datensätze das sind, die nun dazu im Umlauf sind. Ich habe diese nicht gesehen. Ich gehe mittlerweile aber ziemlich fest davon aus, dass es sich definitiv um einen weiteren Fall handelt.

Einen neuen Artikel mit den neuesten Entwicklungen gibt es hier.

206 Kommentare
  1. wie wahrscheinlich ist es, dass diese Informationen durch automatisches Auslesen der für angemeldete Nutzer eh einsehbaren Informationen erhalten wurden?

  2. Wäre es nicht sinnvoller zuerst SchülerVZ über dieses Datenleck zu informieren und nicht irgendwelche Verbraucherzentralen?

    Sicherheitsprobleme kann es überall geben und selbst die sicherste Seite ist nicht dagegen gefeit, dass ein Schlupfloch gefunden wird und dort z.B. per SQL Injektion Daten abgezogen werden.

  3. Ich persönlich finde eher beeindruckend an der Geschichte: Warum präsentieren sich Menschen so gern und freiwillig mit ihrer Realwelt-Existenz im Netz? Für die hier vorhandenen Teilnahmeformen ist das absolut nicht erforderlich, wohl selbst nicht auf SchülerVZ.
    Und soweit die Lokalisierung oder Identifizierung über solche Profile wünschenswert wäre, könnte man das auch auf andere Weise erreichen als durch ein öffentlich oder halböffentlich zugängliches Profil.

  4. greife „blablub“ auf:
    Sind unter den Daten auch solche, die versteckt waren (z.B. „nur für Freunde“)? Wäre Ausschluss eines crawler-bots.
    Sollte im Bericht bereits erwähnt sein.

  5. @blablub

    Sobald die Seite „merkt“, dass du dich ohne Ende durch die Profile klickst, musst du einen Captcha beantworten. Eigentlich sollte eine automatische Erfassung somit unmöglich sein…

    1. @Flo Das „automatische“ Lösen von Captchas jeglichen Schwierigkeitsgrades stellt kein wirkliches Problem dar. Man reiche die Captchas einfach an eine eigene Seite weiter, welche Inhalte anbietet, für die normalerweise gezahlt werden muss. Um kostenlos Bilder von nicht-/leichtbekleideten Frauen zu sehen, tun Leute die komischsten Dinge – auch Captchas lösen :-)

  6. Im SchülerVZ ist es verpflichtend, sich mit Realnamen anzumelden. Alles andere wäre ein verstoß gegen die Nutzungsbedingungen.

    Was ich nicht verstehe ist, warum versierte Internetnutzer (Nein, ich bin nicht von der CDU) nicht verstehen, dass es wünschenswert ist mit Realnamen im Internet aufzutreten. Erst so funktioniert das Internet meiner Meinung nach richtig.

    Und bitte lasst es doch sein, gegen die Schüler loszuwettern. Ich bin 18, seit zwei Jahren oder so im SchülerVZ, und in meinem Bekanntenkreis (gymnasiale Mittel- und Oberstufe) interessiert es die Leute schon, was für Daten von und über sie verbreitet werden.

    1. ROFL, Verstoß gegen die Nutzungsbedingungen, hm? Ist ja süß. Und nein: Ich könnte dir mindestens drei zwei gute Links zum Thema Anonymität im Internet raussuchen – und wie der Nutzer davon profitiert. Es geht nämlich nicht um Authentizität, sondern um persönliche Schutzräume. Wie in meinem Wohnzimmer, da lass ich auch nicht jeden rein, nur weil ich eine Klingel hab. Ist doch nachvollziehbar, oder?

    2. @10 Morgan Schönberger

      Vielleicht ist es deswegen interessant unter Pseudonym (Achtung, das ist nicht Anonym) aufzutreten weil es meinen Arbeitgeber/meine Kollegen/meine Freunde unter Umständen nichts angeht was ich im Internet so treibe. Weil meine sexuelle Orientierung und Interessen (die ich eventuell gerne mit anderen Menschen gleicher Interessen diskutieren möchte) nicht öffentlich sein sollten (weitergehen, sie sind unspannend, hier gibt es nichts zu sehen), genauso unter Umständen meine politische und religiöse Einstellung und auch gerne meine sonstigen Interessen. Beliebig viele weitere Fälle lassen sich konstruieren. Eine Freundin ist Politikwissenschaftlerin und besucht in dieser Funktion häufig Webseiten und Foren an den Rändern des Demokratischen Spektrums – und die ist ganz froh dass das alles gegenwärtig nicht nachverfolgbar ist. Es gibt ja auch genug Autoren die unter Pseudonymen geschrieben haben, durchaus mit Begründung.

      Deine Meinung im Ehren, aber ich glaube sie wird sich noch ändern.

  7. Ein Captcha hindert ja einen guten Bot nicht daran, etwas auszulesen. Man kann das Captcha-Bild problemlos auswerten und die Frage beantworten. Captchas verhindern nur, dass jeder Depp einen Crawler bauen kann – aber jemand, der sich ein wenig damit beschäftigt, wird damit kein Problem haben.

    Wenn es sich tatsächlich nur um gecrawlte Profile handelt, dann kann ich den Skandal daran nicht erkennen. Wenn es sich um einen Diebstahl von Daten aus der SchülerVZ-Datenbank handelt – also um Daten, die nicht ohnehin öffentlich verfügbar sind im Netzwerk – dann wäre das etwas anderes.

    Mehr Infos wären nicht schlecht.

  8. Arno/Niklas: Selbst wenn die Captchas geknackt werden/wurden, sollte es noch eine Sicherung geben, die bemerkt, dass in großem Ausmaß Datensätze abgezogen werden.

    Soweit ich Markus vorhin verstanden habe, reden wir nicht über 1.000 oder 10.000 Datensätze, sondern über weit mehr.

  9. @Morgan: Warum sollte man im Internet bzw. auf einer Vernetzungsplattform nicht mit Klarnamen auftreten?

    Natürlich gibt es Daten und Informationen, die ich unter Klarnamen nicht teilen würde. Mitunter mag im Netz auch ein Pseudonym oder eine anonyme Nutzung sinnvoll sein.

    Deswegen auf Klarnamen komplett zu verzichten, kann aber auch keine Lösung sein.

  10. @sa7yr: Herrje, ich gehe mit meiner „Realwelt-Existenz“ sogar für die Tür. An guten Tagen nenne ich bei einem Date sogar meinen echten Namen …

    Natürlich ist Datenschutz wichtig. Wenn sie zur Paranoia wird, läuft aber entschieden etwas falsch (auch gesellschaftlich, übrigens).

  11. Hmm verstehe ich nicht ganz? Da kann ich doch auch einfach die Suchfunktion bei Schuelervz benutzen? So ist doch auch alles offen? Die meisten Schueler dort haben ihr Privat auch auf öffentlich eingestellt und daher sind eh alle Seiten ersichtlich. Wo liegt denn das große Problem? Ich glaub ich stell mich blöd^^

  12. @ Klarnamen-Diskussion: Ich renne in der Realität als Privatperson auch immer mit Namensschild rum. Für jeden Lesbar, auch die weiteren Details.

    Oder etwa doch nicht?

  13. Jörg-Olaf,

    natürlich, aber der Crawler kann die Anfragen über lange Zeiträume strecken oder auf zahlreiche Rechner verteilen (Botnetze) oder ständig seine IP-Adresse ändern.

    Daten, die für jedermann verfügbar im Netz sind, können immer auch kopiert, gespeichert, gesammelt werden. Das kann man nicht verhindern, nur ein wenig erschweren. Punkt.

  14. Wie auch immer die Daten entwendet wurden und welchen Umfang dieser Vorfall auch haben mag, fakt ist, dass man sich nun umso mehr bewusst sein sollte, wie viele und was für Informationen man im SchülerVZ und auch generell bei Sozialen Netzwerken jeder Art preis gibt. Selbst Verlinkungen auf Party -oder Sauffotos mögen zwar anfangs lustig sein, können einem aber später auch den Ausbildungsplatz kosten, vor allem, wenn man das Bedürfnis hat in einem größeren Unternehmen oder bei einer Behörde zu arbeiten.
    Und ob nun jeder mit seinem richtigen Namen in den Verzeichnissen und Netzwerken angemeldet ist, sollte auch jedem selbst überlassen sein. Da können einen die AGBs und Nutzerrechte mal den Buckel herunterrutschen.
    Ich will jetzt nicht den Teufel an die Wand malen, aber man sollte sich wirklich im Klaren sein, auf was für Fotos man verlinkt ist und welche Inhalte man auf seiner Seite preis gibt. Da hilft im Zweifelsfalle auch kein privates Profil nicht weiter.

  15. @34/sa7yr: Doch, hab ich. Ich hab jedenfalls kein Namensschild um den Hals, wo auch immer. Deswegen steht in meinem vorigen Kommentar ja „oder etwa doch nicht?“.

    By the way braucht man doch gar keine Suche bei nem Namensschild im Real-life, wenn es genau so um weitere Infos angereichert ist wie auf diesen Profil-Seiten.

  16. @Mithos: Nicht alles, was hinkt, ist gleich ein Vergleich ,)

    Ganz abgesehen davon, dass auch ein Name nur ein Kriterium von vielen bei der Identifikation ist. Gerade in sozialen(!) Netzen.

    @Arno: Siehe Stephen. Woher weißt du, wie lange gebraucht wurde?

    @Jodok Batlogg: Dummerweise ist ReCaptch ziemlich nervtötend für die User ,(

  17. @39/Mithos: Uiuiuiui, die Welt, in der du gern Leben möchtest, scheint überall deine Identität zu erfassen. Im Netz ist das jetzt schon möglich. Blöd, wenn man dort nicht anonym auftritt. Aber das ist deine Sache.

  18. sa7yr, du scheinst mich vollkommen falsch zu verstehen, ich trete im Netz eigentlich ausschliesslich anonym auf.

    Ich hab übrigens neulich beim zappen nen Beitrag gesehen, in dem nen Reporter-Team sich mal so nen detailliertes Profil ausgewählt und die Person mit diesen Informationen besucht hat. Sie haben die junge Frau in ner Sportstätte vor ihrer Tanzstunde aufgesucht und sie gefragt, ob sie sich von der Krankheit inzwischen gut erholt hätte. Alle nötigen Infos wie gesagt aus dem Profil.

    Deswegen keine Klarnamen. Und weitere Details auch nicht.

  19. @ Mithos: Genau das meine ich auch.
    Das kann bis zum zukünftigen Arbeitgeber gelangen.
    Aus dem Grund sollte man sich wirklich zweimal überlegen, was man wo verbreitet oder preis gibt.

  20. @43/Mithos: Achso, kann sein, dass ich die Ironie in deinem Ausgangsbeitrag überlesen habe. Ich persönlich gebe auf Twitter natürlich auch etwas über meinen Alltag preis. Aber niemals Details, die auch nur ansatzweise eine Lokalisierung möglich machen (außer: man hat die IP + betreibt aufwendig Datamining). Noch nicht so Gefestigte sollten noch weit mehr darauf achten, was sie nicht äußern dürfen. Naja, andererseits kriegen die das noch weniger auf die Reihe als viele Erwachsene Teilnehmer. Schwierig.

  21. heftig^^ mehr fällt mir gerade nich ein^^ bin sprachlos^^

    is ja klar,dass es immer irgendwo lücken gibt,aber so krasse und viele auf einmal^^

    die vz-admins werden wohl kein wochenende haben ;) ZU RECHT! ;)

  22. Gegen diese Art von Angriff kann man letztenendes rein gar nichts machen, zuguterletzt können sich Bots genauso verhalten wie echte Nutzer und dann unterscheide mal was was ist. Man muss sich dann als „Angreifer“ nur etwas Zeit lassen und ein kleines Botnetz zur Verfügung haben.
    Was für andere in der Community offen lesbar ist, ist (mit mehr oder weniger Aufwand) für die Welt offen lesbar, das sollte man mal so akzeptieren. Was anderes sind auf „privat“ gestellte Infos, die sollten in der Tat technisch geschützt werden (können).

  23. Achja, wer den Direktlink kennt kann Bilder auch aufrufen, ohne angemeldet zu sein (eigentlich eine Sicherheitsmaßnahme die über den Referrer fragt woher der User kommt -> wenn nicht SVZ wird das Bild nicht angezeigt). Das *.jpg ist aber wie gesagt von dieser Maßnahme wohl nicht betroffen. Nur wenn man den bei den Alben in der URL-Zeile angezeigten Link aufruft.

  24. Wenn ich viel Zeit und Lust hätte, könnte ich das im StudiVZ auch machen. Weil die Daten die da rausgezogen worden sind, kann jeder einsehen (und muss es sogar, wie sonst soll man andere Leute finden?).
    Einfach eine Gruppe angeschaut und die Profile sämtlicher User aufgerufen und abgespeichert und ausgelesen. Das kann man in jedem Netzwerk machen. Im Studivz gibt es diesbezüglich auch eine Captcha-Abfrage, jedoch unterschiedlich penetrant. Manchmal kann man 10 Profile aufrufen und nix passiert.
    Jetzt hier einen großen Datenskandal herzureden ist lächerlich.

  25. @55: Nette Idee, doch jeder der seinen Referer aus Datenschützgründen deaktiviert bekommt dann keinerlei Fotos mehr angezeigt. Insofern könnte man aber einen leeren Referer auch zulassen und nur welche, die nicht von StudiVZ kommen blocken.

  26. Das ist ja frech (wenn es stimmt). Da wird behauptet, die Daten (Fotos) werden gelöscht und seinen dann weg, sind es in Wirklichkeit aber gar nicht. Nennt man sowas nicht Vortäuschung falscher Tatsachen (=Betrug?)….

  27. […]Der vor einer Woche eingeschickte Warnhinweis bezüglich der XSS-Lücke zum übernehmen von Profilen wurde nach dem heutigen Hinweis von mir mittlerweile auch gefunden. Das sollte in Zukunft schneller gehen. […]

    Schneller gehen – auf welcher Seite? :p

  28. „Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen.“

    Was ist daran bitte illegal?

    Wann setzt sich endlich die Erkenntnis durch, dass ein Zugriff durch einen „Menschen“ auch über ein „Programm“ abläuft und man einen „manuellen“ von einem „automatischen“ Zugriff nie wirklich unterscheiden kann?

    Was im Web steht ist öffentlich, besonders wenn der einzige Zugriffsschutz die einfache Anmeldung bei einem Social Network ist.

    Ich bin dafür, die Social Networks von Datenschutzpflichten zu befreien. In den AGB sollte klar stehen, dass die vom Nutzer zur Verfügung gestellten Daten für jeden einsehbar sein werden. Dann könnten wir diese ganzen Skandale endlich hinter uns lassen.

  29. Ich habs mal getestet mit den Fotos und eins ohne großen Wert gelöscht, das ich irgendwo in einem Fotoalbum hatte. Das dürft ihr euch gerne angucken als Testmaterial: http://img-a1.pe.imagevz.net/photo7/18/30/60a6aeff74913d7e48d7b02dab0b/6-d8d10b27a2426a087808800c700d3762.jpg
    Solange das noch da erreichbar ist, werden die Fotos nicht automatisch gelöscht :)
    Ach ja, dass die Verschwörungstheoretiker auch was haben: Natürlich wird das *VZ-Team das Foto jetzt von Hand löschen und die anderen trotzdem behalten, natürlich ;)

  30. Ich persönlich bin Userin bei schuelerVZ und habe dort all meine Daten so gut „verborgen/versteckt“ wie es nur möglich ist. Hier zu erfahren, dass es trotzdessen anderen Mitgliedern oder sogar Nicht-Mitgliedern möglich ist Zugriff auf diese zu erlangen oder sogar diese zu steuern finde ich erschreckend. Aber dass eine Community im Internet niemals vollkommen sicher sein kann ist leider nicht allen Mitgliedern dort bewusst. Gerade Kinder und Jugendliche sollten besser geschützt und informiert werden.

  31. Der große Spaß am Austausch mit Freunden im Web wird durch – sagen wir – unrechtmäßige Nutzung von Daten natürlich gefährdet. Wie eigentlich fast überall die Freiheit von Vielen durch die Unvernunft / Gier / kriminelle Energie … von Einigen eingeschränkt wird. Das Internet macht da keine Ausnahme, wie wir vermutlich in nächster Zeit leider immer öfter werden lernen müssen.

    Natürlich ist eigentlich nichts dagegen zu sagen, sich im Netz – auch unter seinem richtigen Namen – zu bewegen. Man sollte nur nicht so naiv sein, zu glauben, im Web wären – anders als im ”real life” – nur gute Menschen unterwegs!

  32. @Thaniell: Selbstredend kann man gegen das Knacken von Captchas etwas unternehmen. Und wenn man seine Sache ernstnimmt, kann man auch das massenhaften Abgreifen von Daten durch ein Botnetz erkennen.

    @Kritiker: „Manchmal kann man 10 Profile aufrufen und nix passiert.“ – Prima, das musst du dann nur ein etwa 200.000 Mal tun und du hast deine Datensätze zusammen. Kann es sein, dass du das Problem nicht verstanden hast?

    @Coolerfreak: Das ist in etwa die Art von Naivität, warum Minderjährige eines besonderen „Schutzraums“ bedürfen, wie Markus schreibt (Und ja, sowas glauben vermutlich auch manche Erwachsene).

    @drx: Ohne die AGB zu kennen: Das automatische Auslesen der Datenbank dürfte gegen eben diese verstoßen, eine Verbreitung oder Nutzung der Daten offsite ohnehin. So war es zumindest damals bei StudiVZ.

    Den Hinweis, dass man nicht zwischen Maschinen und Menschen unterscheiden könne, sehe ich als Polemik. Mir ist dein Argument und sein Hintergrund klar, gleichwohl macht es einen Unterschied, ob Daten im Rahmen des VZs von Nutzern eingesehen oder im großen Stil durch Maschinen gerastert und weiterverarbeitet werden.

  33. @Jörg-Olaf Schäfers (74):
    Ich vermute mal, dass der Hinweis, das Programm ließe sich nur sehr schwer vom Menschen unterscheiden, nicht ideeller Natur war, sondern technischer. Natürlich ist es ideell ein Unterschied. Aber technisch lässt sich menschliches Verhalten gegenüber von Software mittlerweile ziemlich gut simulieren – weil diese mit festen Vorgaben arbeitet und daher Automatismen nur so weit erkennt, wie die Programmierer dies vorgesehen haben. Ein Mensch würde diverse Dinge zwar sofort erkennen – aber eine Software eben nicht. Und das ist so lange der Fall, bis die Software verändert wird. Dann kann es ganz schnell mit der Erkennung einer Datenabgreifsoftware gehen.

    Ich meine, sowas ist doch machbar: Man kann anhand eines Wörterbuchs und verschiedenster Mail-Anbieter ständig neue Accounts registrieren, sich anmelden, unter Umständen das Captcha austricksen oder gar lösen, IP (und damit scheinbaren Standort) zusammen mit Benutzeraccount wechseln, per Zufallsgenerator in unregelmäßigen Abständen Profil- und meinetwegen zur Verschleierung dazwischen andere Seiten abrufen und diese auswerten. Zusätzlich lassen sich auf einem Rechner, wenn die Software entsprechend ausgelegt ist, mehrere Browser vorspiegeln, die natürlich alle parallel angemeldet sind, aber über unterschiedliche Proxys (und somit unterschiedliche IPs) gehen, unterschiedliche Cookies haben, unterschiedlich aktiv sein, unterschiedliche Seitenabrufmethoden haben, und meinetwegen auch Schlaf- und „Andere Aktivität“-Zeiten. Wenn du angenommene 20 Accounts hast, kannst du so pro Tag schätzungsweise 2.000 bis 3.000 Profile abrufen, ohne dass das Verhalten der Bots irgendwie auffällig wäre…

    captcha: bring 36
    -> nein, ich bring euch keine 36 Bier, ich geh‘ ins Bett :P

  34. @Jörg-Olaf Schäfers: Nur soweit bis auch Menschen es nicht mehr knacken können (bzw. deren Nervfaktor erreicht ist). Bekommt man keine Software die die Dinger knackt, lässt man es Menschen machen.
    Natürlich kann man den Aufwand nach oben treiben – ein Stück weit. Aber je größer die Seite, desto wertvoller die Datenbank, desto mehr Aufwand wird sich die Gegenseite leisten.
    Gleiches gilt für die Botnetzerkennung – wenn man nicht auf einmal alles abgreifen will, sondern sich Zeit lässt, halte ich das für recht gut verdeckt machbar.
    Effektiver Schutz mit massivem Captcha-Einsatz ist der Usability-Tod, dann doch lieber die Facebook Methode: Per Default das Profil so dicht vernageln wie es nur geht, so dass der User selbst sich dafür entscheiden muss etwas freizugeben. Dafür ist er dann auch selbst verantwortlich (sollte aber eben auch entsprechende Hinweise erhalten).

  35. Abgesehen davon wäre es auch eine simple Lösung wenn man es auf Betreiberseite mal hinbekäme die Indexfunktion mit Vollname mal von der Selbstdarstellungs- und Diskutierfunktion zu lösen – für letztere bietet sich eigentlich eine (freiwillige) Pseudonymisierung an.

  36. Bitte veröffentliche alle Informationen die du besitzt. Es kann nicht sein, dass SchülerVZ wohlmöglich Daten nicht löscht, obwohl das dem Nutzer einddeutig versprochen wird. Gerade wegen dem Medienecho sollte das veröffentlicht werden. Ohne die Öffentlichkeit hätten die doch sicher auch die nächsten Wochen Nichts dagegen unternommen!

  37. vor eine woche wurde*vz benachrichtigt.
    der witz ist ja dass die mitarbeiter dort verpflichtet sind innerhalb 48 stunden auf solche meldungen zu reagieren.
    hast du eine „wird bearbeitet“-meldung bekommen vor einer woche oder kam garnichts von *vz?

  38. ICh bin auch beim svz angemeldet …. aber ich sehe bei der sache kein alzu großes problem… ob sich jetzt jemand nur meine seite anschaut oder ob er die, zudem sehr spärlichen, Infos über mich speichert ist mir im Prinzip schnuppe … groß anfangen kann er mit den daten sowieso wenig…

    zudem ist das wohl weniger ein „Datenleck“ als einfach das wo für Svz erstellt wurde ein austausch von Daten … ich gehe mal davon aus das dieser Nutzer einfach nur ein Programm erstellt hat das diese daten ausliest und speichert .

  39. Die VZs sollten sich nicht immer so wichtig machen, sondern endlich mal fähige Software-Entwickler einstellen und diese Dinge ein für alle mal abstellen. Das war zwar 2006 noch ganz toll und hat für viel Wirbel und Wachstum der Netzwerke gesorgt, solangsam nervts aber auch, wenn man nicht in der Lage ist, ein SN zu betreiben und dabei die Basics zu beherrschen.

    Das massenhafte automatisierte Auslesen wurde vor Jahren bei den VZ schon kritisiert; dennoch ist es scheinbar immer noch möglich. Da mit „Datenschutzbehörde“ und „rechtlichen Schritten“ herumzuposaunen finde ich schon mehr als lächerlich. Nein – bedenklich – liebe VZ-Betreiber.

  40. Hallo und guten Abend ich habe es gerade gelesen und möchte direkt anmerken, dass ich auch Nutzer im SchülerVZ bin und mich es jetzt ernsthaft stutzig macht. Ich meine es kann doch wohl nicht sein, dass vertrauliche Daten von den Betreibern solcher sozialen Netzerke nicht gut genug geschützt werden.

    Ich mache eine schulische informationstechnische Ausbildung und hin und wieder erfährt man wie schnell es gehen kann an Informationen zu kommen. sei es an Bankdaten und Zugangsdaten beim Onlien banking (Man in the Middle Attack)
    bei Geldautomaten (hier wird meist mit Notebook und Minikameras gearbeitet) oder in Anführungszeichen einfaches hacken eines normalen nicht richtig gesicherten WLAN.

    von den ungeschützten WLAN-Routern brauch ich gar nicht erst anfangen…
    Ich sag nur so viel. Selbst seinen PC kann man niemals 100%ig schützen. Da kann man die neuste Software haben und Sicherheits Updates installieren soviel man will. Ein Mensch auf der Welt findet garantiert früher oder später immer einen Weg rein.

    Bei Handys ist es genau dasselbe. Hierzu gebe ich auch nur einen Tipp: Lasst das Bluetooth wenn möglich immer aus.

    naja ich könnte noch ein paar beispiele nennen aber ich lass es erstmal bleiben.

    Ich hoffe jetzt mal dass das Sicherheitsleck in den VZ-Netzwerken gestopft werden und man aufs Gründlichste Überprüft ob nicht andere Sicherheitslücken auftauchen. Dasselbe sollten die anderen Betreiber dieser Netzerke auch machen denke ich. siehe Facebook, Jappy und CO.

    Einen schönen Abend noch und gute Nacht.

    Niclas

  41. Tja Sicherheitslecks wirds wohl immer geben.es wurden ja nur einsehbare daten kopiert also keine passwörter.Im handyhacking kenne ich mich aus(kenne Programme und Wege) ich würde dazu noch eine Passwortsicherung der Menüpunkte empfehlen weil die mit der bluetotth verbindung nicht übermittelt werden:zu deutsch Passwortraten.
    Naja danke dir für die Infos schönen tag noch

  42. ich bin selber bei schülervz angemeldet und es schockt mich schon ein wenig, das es anscheinend kein problem ist, die daten von EINEM VIERTEL der nutzer auszulesen…
    zum glück gibt es die funktion, dass man seine seite nur für freunde offen anzeigt und das sie dann für alle anderen nutzer nich sichbar ist (ich nutzte diese funktion)

  43. Wer Daten von sich preisgibt, der muss damit rechnen, dass sie missbräuchlich verwendet werden.

    Wer Bankverbindungen herausgibt, braucht sich nicht wundern, wenn dann irgendwann unberechtigte Abbuchungen stattfinden.

    Was die Social Networks so gefährlich macht: Man verliert die Kontrolle über seine Daten.

    Nehmen wir mal an, jemand schreibt auf seiner Seite, er habe Zeitung xy abonniert. Was soll daran schon schlimm sein, wenn das jemand weiß, wird sich fast jeder sagen.
    Ein Betrüger, der dann zufällig noch die Bankverbindung hat, reicht einfach eine Laftschrift ein: Abo-Gebühr für Zeitung xy. Ich gehe jede Wette ein, dass fast niemand bemerken würde, wenn da 2x abgebucht würde.

    Ebenso das Profilfoto. Die ganzen Fakeaccounts mit Bildern von wildfremden Personen. Niemand weiß, ob diese Bilder nicht längst für Sexforen in Großbritannien, Frankreich oder den USA verwendet werden.

    Oder Mädchen, die einem Cyberstalker aufsitzen und die plötzlich gefährdet sind, wenn diejenigen vor der Arbeitsstelle lauern, wenn man sie mal veröffentlicht hat.

    Es fehlt leider vielen die Vorstellungskraft, was man mit persönlichen Daten alles anfangen kann, wenn man kriminelle Absichten hat. Das ist der Punkt.

  44. Ich selbst nutze Schülervz, und finde es schrecklich, was dort passiert ist. Zwar habe ich kaum persönliche Daten angegeben, doch in meinem Freundeskreis gibt es genug, denen es egal ist, was mit ihren Daten passiert, da sie die Folgen nicht abschetzen können.
    Außerdem finde ich, Schülervz sollte mehr darauf hinweisen, das trotz dem \Schutz\ etwas passieren kann.

  45. Da kann man kaum von einem Datenskandal sprechen. Wer dort seine Daten für alle svz Nutzer sichtbar macht ist selber schuld. Es gibt nicht umsonst die möglichkeit, die persönlichen Daten nur für Freunde sichtbar zu machen.
    Ich habe viele Leute in meinem Freundeskreis die sich kein bisschen darum zu kümmern scheinen, auf welchen Fotos sie verlinkt werden…
    Ich habe nur darauf gewartet, dass sich so ein Datenmissbrauch, wie er vor einiger Zeit bei Studi VZ stattgefunden hat wierholt ;)

  46. es is schon bescheuert, das irgendwer unsere daten kopiert und rausgibt, aber jeder weiß das sowas in der heutigen zeit passieren kann, weil man immer irgendwie durchkommt,also is svz auf eigene gefahr,aba schön ist es tritzdem nicht…

  47. Selber Schuld wenn man denkt, dass man seine ganze Lebensgeschichte Preis geben muss.

    Jedoch finde ich es erschreckend, dass mit („falscher“) Sicherheit geworben wird.

    Ich hoffe für die Zukunft, dass das Problem schnellstmgl. gelöst wird.

    MfG

  48. Kann nicht jeder, der etwas PHP beherrscht mit fopen() und einer Funktion, die sich an den HTML-Quellcode anpasst jeweils den Link lesen, und dann die Daten von dieser Seite aufspüren? Das ist technisch doch nicht allzu versiert.

  49. welches sicherheitssystem von svz ??… die „gestohlenen“ daten sind doch eh jedem zugänglich ? man kann es zwar selbst bestimmen ob andere SVZ-nutzer nur namen schule und profilbild sehen oder eben die gesammte seite aber im grunde sind zu viele informationen für jeden sichtbar…das ist aber schon immer so und wenn jemand gezielt nach etwas sucht kann er auch die suchfunktion benutzen da brauch man keine hacks

  50. Hey Leute.

    Es wurden nur die Daten veröffentlicht die man auch freigegeben hat. Man kann bei sich selber einstellen ob man seine komplette Seite veröffentlicht oder alles. Die Leute die alles veröffentlicht haben, haben Pech weil das kopiert wurde. Da kann, so wie ich es verstanden habe, schuelervz nix für.

  51. ich finde es auch nict gut dass so sieten wie schülervz so leihct zugänglich sind und dass man so leicht daten klauen kann. ich finde auf solchen seiten sollte es verstärkte sicherheitvorkehrungen geben aber zum beispiel den button: suchen finde ich sehr gut, denn so kann man neue freunde die man zum beispiel auf einer party kennengelernt hat adden und sich viel. noch einmal verabreden. manche leute übertreiben es im schülervz, wenn sie zum beispiel bilder reinstellen wenn sie betrunken sind o.ä. andererseits finde ich es nichgt schlimm wenn man die bilder von der klassenfahrt oder der eigenen party reinstellt. ich sleber bin auch im schülervz und meine mutter will jetzt auch dasss ich alle meine bilder lösche aber ich meine ich weiß was ich tue. viel bin ich mir nicht ganz bewusst was ich da tue aber man kann es auch übertreiben in dem man seinen kindern jeglichen kontakt mit solchen chats verbietet.
    wenn jemand meine schule meine klasse und viel. sogar meinen stundenplan über freunde herausgefunden hat und meint er kann mich abfangen kann das auch nicht sein. weil ích meine es gibt solche leute die so gestört sind und andere aufspüren aber das geht auch auf andere art und weise. man kann zum beispiel bei einem telefonbuch den nachnamen eingeben und die adresse heraussuchen solche leute würden auch nicht davor zurückschrecken nach hause zu gehen o.ä. ich meine die sorgen sind berechtigt aber deshalb würde ich nicht sagen ich würde nie mehr ins schülervz gehen weil ich dort mit meinen freunden reden und disskutieren kann.

  52. Naja Datenskandal… der hat lediglich kopiert was eh jeder sehen kann. Jeder VZ Nutzer kann selbst entscheiden ob er seine Daten öffentlich macht oder Privat.

    Die die meinen sie brauchen keine Privatsphäre wird das ganze nun auch wenig kümmern. Sie wissen ja das jeder Nutzer die Daten sehen kann.

  53. mein account und der meiner freundin wurde gestern gehackt und meiner wurde gelöscht, der Hacker hat meine freundin bedroht und ihr gesagt er bringe sie um, und er hat versucht leuten aus ihrer freundesliste einen virus zu schicken!
    ich find das eigentlich nicht so lustig wie andere hier,sowas sollte euch mal passieren!

  54. „da macht SchülerVz so einen großen Ausriss, dass unsere Daten dort sicher sind und dann passiert sowas.“

    Naja, diese VZ-Trottel erschienen mir schon immer unseriös. Erst stehlen sie Facebook-Scripte um überhaupt etwas zum Laufen zu bekommen, dann jagt ein Datenschutzskandal den nächsten.

    Die freuen sich bestimmt, schließlich haben sie mit minimalem Aufwand „ganz Deutschland“ an sich hängen :)

  55. Da die Einträge vom Miniblog („Buschfunk“) auch das Löschen des Accounts überstehen verwundert es mich auch nicht im geringsten, wenn die Verlinkung auf die Bilder trotz offiziellen Löschen nur halt eine Verlinkung ist/war.

    Das jemand einen Crawler schreibt, war eigentlich nur eine Sache der Zeit, ich habe mir selber schon mal so etwas dafür überlegt, eher als proof-of-concept, es ist jedoch auf Grund der rechtlichen Dinge und meiner verfügbaren Zeit nichts draus geworden

    Das jetzt aber der Medienhype so groß ist, kann ich dennoch nicht wirklich nachvollziehen, denn StudiVZ limited (bzw. wie sie jetzt heißt, sie hatte sich vor einiger Zeit umbenannt) war ja wie bereits im Blogpost angeschnitten schon einige Male wegen ihrer tollen Kompetenz bezüglich der Sicherheit aufgefallen, mit dem technologischen Fortschritten der Plattform erscheint es mir eh mehr so, als wenn von den 240 Mitarbeitern 50 für PR und Werbung verantwortlich sind, 10 in der Geschäftsleitung sich die Beine hochlegen, 10 für die Server und die darauf liegende Software verantwortlich sind, 30 für das Testen der Plattform verantwortlich sind, 15 neue optische Effekte etc. im Browser entwickeln und neben den 120 Moderatoren etc. noch 5 verbleibende Entwickler für die Software angestellt sind, die sich am liebsten mit memcache auseinandersetzen und darüber bloggen, also keinen echten Fortschritt erreichen können – Alles zusammen kein Wunder also

  56. Liebe Freunde der Communities wie VZ, WKW, Facebook, etc. Gebt nur weiter eure Daten ein und vor allem die Bilder vom letzten Besäufnis in der Clique, etc. JEDE Personalabteilung der Republik googlet euch. Wundert euch also bitte nicht, wenn in 10 Jahren aus dem tollen Traumjob nichts wird, weil irgendwelche peinlichen Daten oder Bilder von euch existieren.

  57. Zwei Aspekte fallen mir an diesem Beispiel auf: Zum einen wird der Kommunikationsaufwand in Krisen scheinbar immer noch gnadenlos unterschätzt. Es ist fatal, wenn der Eindruck entsteht, das Wochenende sei den Betreibern wichtiger als ständig aktualisierte Informationen. Parallel zum Übermitteln von Fakten sollte zudem immer eine Diskussion mit den betroffenen Nutzern geführt werden. Sprich: Es müssen möglichst umfassende Ressourcen für das Thema mobilisiert werden.

    Zum Anderen muss in Krisen auch die interne Kommunikation funktionieren. Es hilft nichts, wenn der PR-Beauftragte oder der Community Manager vor dem Rechner sitzt, er aber keinen Input aus der Technik bekommt. Am Ende kann ein Unternehmen in der Krise ohnehin nur Kompetenz demonstrieren, wenn es diese auch tatsächlich besitzt. Das gilt für beide Themen: Datensicherheit und Kommunikation.

  58. Man sollte die Anbieter, Social Networks ebenfalls in die Verantwortung ziehen.

    Webseiten so zu betreiben, das sie einem Sicherheitsaspekt entsprechen der genaus so stark ist wie am Anfang des Internets ist. Keine der Webseiten baut SSL Verbidungen auf etc pp. schlimm schlimm.

  59. Was ist denn das für ein Quatsch? JEder könnte ohne großen Aufwand solche datenmengen sammeln und keine nur erdenkliche Sicherheitsmaßnahme könnte das verhindern.
    Wer persönliche Daten in solchen Communities einstellt muss auch damit rechnen das die Daten von anderen benutzt werden!!!

  60. ich find svz sollte sich ma nen comuter spezialisen anschaffen sollten!!!!! sie sollten das svz von 0-24 uhr überwachen und die „datenreuber“ zurückverfolgen!!! iss wen man es kann garnich so schwer.

  61. Da http://3×1t-de.eva.3×1t.net gerade nicht zu erreichen ist. Dort steht u.a das, was auch beim Youtube-Video steht. Das weist auf eine noch größeres Datenleck hin. Immerhin schreibt der Autor in seinem nicht mehr zugänglichen Blog, dass er vor zwei Tagen seine Daten in ein Forum hochgeladen hat. Und bei ihm gibt es noch andere Profilfelder als anscheinend netzpolitik.org zugeschickt wurden.

    Aus der Youtube-Description:

    Ein von mir entwickelter Bot für das sVZ bzw. mVZ.. Basiert auf PHP, JS, AJAX und diversen shell scripten die von PHP via shell_exec() aufgerufen werden. Leider noch etwas verbuggt da teilweise Profile doppelt und dreifach gecrawlt werden.. Gesammelt werden die Bilder sowie ALLE zugängliche Profildaten. Die Profildaten werden dann in eine ORACLE Datenbank geschrieben und können später ausgewertet werden. In nur 4 Stunden Crawlen hat der Bot bereits ÜBER 48000 Profile besucht.. Ich probiere das gesammte VZ zu crawlen und werde dann eine grafische Auflistung generieren lassen wer wen kennt über welche Ecken.. Bereits eingebaut ist eine Funktion die die Benutzer „verkuppelt“. Der Bot sucht jeweils ein weibliches und ein männliches Profil und schreibt beiden eine Pinnwand MSG. Leider können aufgrund des Spamschutzes pro Tag nur maximal 20 Einträge auf Fremde Pinnwände geschrieben werden. Ach und die Captchas werden auch automatisch ausgelesen und gecracked ;)

    Das Video ist aus dem Mai. Wenn der da schon 48.000 Profile in 4 Stunden gecrawlt hat, kann man sich vorstellen, wie viele Daten da rausgezogen wurden, die jetzt im Umlauf sind…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.