Datenleck bei SchülerVZ (Update)

Aus anonymer Quelle wurden uns Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein Datensatz umfasst mehr als eine Million Datensätze mit den Feldern Profil-ID, Name und dazugehörige Schule samt ID. Ein kleinerer Datensatz zeigt detailliertere Informationen mit den Feldern Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild (Plus dazu gehörigem Link auf Bild) an.

Wir haben einige Datensätze verifiziert und die Personen bei SchülerVZ gefunden.

Mit den Listen lassen sich einfache Datenabfragen erstellen wie „alle Schüler aus Berlin“, oder „alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule“. Man kann sich vorstellen, dass diese Daten nicht aus den Datenbanken von SchülerVZ in einer solchen Größe ausgelesen werden dürfen.

Das weist darauf hin, dass SchülerVZ ein großes Sicherheitsloch hat und man aus den Erfahrungen mit StudiVZ vor drei Jahren nichts gelernt hat. Damals wurde bekannt, dass man auf ähnliche Weise aus der StudiVZ-Datenbank viele Informationen aus den Profilen auslesen konnte. Bei SchülerVZ ist das Problem noch größer: Hier handelt es sich um Kinder und Jugendliche, die einen besonderes Schutzraum brauchen.

Bei SchülerVZ gibt es einen Extrapunkt „Sicherheit“. Unter der viel versprechenden Überschrift „Darauf kannst du dich verlassen:“ gibt es den Punkt:

Deine persönlichen Daten sind auf unseren Servern (den Speicherorten für diese Daten) bestmöglich geschützt. Sie können z.B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb vom schülerVZ auf.

Wir haben beim Bundesverband Verbraucherzentralen angefragt, was sie davon halten. Falk Lüke, der Referent fuer Verbraucherrechte in der digitalen Welt, erklärte gegenüber netzpolitik.org:

Die Betreiber sozialer Netzwerke sind in der Pflicht, Daten ihrer Mitglieder gegen unbefugten Zugriff zu schützen. Das aktuelle Beispiel zeigt, dass Benutzer sich nicht in Sicherheit wiegen lassen sollten: Netzwerke sind ein Teil des Internets und nicht von ihm getrennt. Und genau wie im Rest des Netzes gilt, dass nur solche Daten veröffentlicht werden sollten, bei denen man selbst kein Problem damit hätte, wenn diese am nächsten Tag auf einer Zeitungstitelseite stehen würden. Kinder können sich die Folgen allerdings oft noch nicht ausmalen.

Eine Anfrage an SchülerVZ zur Stellungnahme haben wir soeben raus geschickt.

Update: SchülerVZ hat jetzt eine kurze Meldung rausgegeben:

Wir haben am heutigen Nachmittag Kenntnis über folgenden Vorgang erhalten: Ein schülerVZ-Nutzer hat eine Vielzahl von Profilen aufgerufen und Kopien einzelner der für alle schülerVZ-Nutzer sichtbaren Daten angelegt: Name, Schule, Geschlecht, Alter, Profilfoto. Es handelt sich hierbei explizit nicht um Daten wie Postadressen, Email Adressen, Zugangsdaten, Telefonnummern und Fotoalben, sondern um für alle Community-Nutzer einsehbare Daten. Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen. Die VZ-Netzwerke haben die Datenschutzbehörden umgehend informiert und werden rechtliche Schritte gegen Unbekannt einleiten.

Ich hab nicht alle mir vorliegenden Daten verifiziert, sondern nur Samples. Ich gehe nicht davon aus, dass die Quelle sich die Daten manuell gezogen hat, wie der Blogeintrag suggeriert. Hier wurden Scripte verwendet und eine sogenannte CSRF-Lücke genutzt („Cross Site Request Forgery“). Wäre schön, wenn SchülerVZ das korrigieren könnte. Ich habe sie darauf hingewiesen.

Übrigens haben wir seit Veröffentlichung zwei weitere Hinweise auf Sicherheitslecks bekommen.

Die erste ist interessant: Nach Angaben der Quelle wurde eine kritische Cross-Site-Scripting Lücke entdeckt, mit welcher es möglich ist, ganze Accounts zu übernehmen. Der Quelle zufolge wurde SchülerVZ vor einer Woche von der Lücke informiert, aber sie kann heute immer noch genutzt werden. Uns wurde ein Video-Screencast mitgeschickt, die die Lücke ausführlich beschreibt. Ist aber etwas nerdig und soviel Ahnung hab ich nicht von Javascript.

Die zweite kommt noch. Da warte ich noch auf weitere Infos. Siehe unten.

Update: Ich hab ein fertiges Interview mit der ersten Quelle. Da dort noch weitere Sicherheitslücken angedeutet und beschrieben werden, hab ich den Text erstmal an die Technikabteilung von SchülerVZ geschickt, damit die etwas Vorlauf haben. (Update: SchülerVZ hat mich gebeten, das Interview nicht zu veröffentlichen. Die haben natürlich ein Interesse, dass es nicht noch mehr aufsehen gibt. Ich überlege noch, was ich tun soll.)

Da gerade oftmals in der Medienberichterstattung von „gehackten Accounts“ gesprochen wird, wollte ich nochmal darauf hinweisen, dass es sich hier um das automatisierte Auslesen von sehr vielen Datensätzen über die öffentliche Suche handelt. Allerdings sollte es technisch nicht möglich sein, das in einer so großen Anzahl automatisiert zu machen. Und die daraus ermittelten Daten haben durchaus etwas Sprengkraft, wie ich oben schon beschrieben habe.

Update: Die zweite oben angesprochene Sicherheitslücke soll wohl gelöschte Bilder betreffen. SchülerVZ beschreibt in der Datenschutzerklärung: „Wenn du etwas löschst, ist es auch weg. Und das komplett!“. Das scheint nicht so zu sein, wenn man den Link zum Bild kennt. Die Bilder verbleiben anscheinend auf dem Server. Das soll auch für Bilder in Fotoalben gelten. Diese Lücke wird aber von SchülerVZ bestritten.

Nach Angaben von der SchülerVZ-Technikabteilung wurden die Lücken wohl jetzt kurzfristig behoben. Ob das auch für die Bilder gilt, weiß ich nicht. Ich hatte SchülerVZ von dem Problem auch berichtet.

Da mehrfach in Medienberichten davon die Rede ist, dass mehr als eine Million Datensätze im Umlauf sind, wollte ich das auch nochmal klarstellen: Weder die Quelle noch ich habe ein Interesse daran, dass die Datensätze ins Netz kommen. Wir werden sie heute löschen.

Von Seiten SchülerVZs wurde auch kommuniziert, dass sie im Falle einer Kooperation von einer Strafanzeige Abstand nehmen. SchülerVZ hat mittlerweile detaillierte Beschreibungen der Lücken bekommen, so dass dieser Fall eintreten müsste. Der vor einer Woche eingeschickte Warnhinweis bezüglich der XSS-Lücke zum übernehmen von Profilen wurde nach dem heutigen Hinweis von mir mittlerweile auch gefunden. Das sollte in Zukunft schneller gehen.

Update von Samstag Abend: SchülerVZ schreibt jetzt, dass es sich bei meiner Quelle um einen Trittbrettfahrer gehandelt habe, der die Daten von jemand anderen bekommen hat. Ich bin da noch etwas skeptisch. Die von SchülerVZ hier genannte Quelle hatte in einem derzeit nicht mehr zugänglichen Blog geschrieben, er habe vor zwei Tagen seine Datenbank anderen zugänglich gemacht. Ich hab meine Daten aber davor bekommen. Insofern ist da wohl ein Wurmloch dazwischen. Und soweit ich das richtig verstanden habe, hat diese zweite Person auch weitere Datenfelder gezogen wie Geburtsdatum. Dieses Feld stand nicht in den mir zugegangenen Daten.

Vielleicht gibt es mehrere Datensätze, die von verschiedenen Menschen gecrawlt wurden und die um Umlauf sind?

Update: Im StudiVZ-Blog beschreibt jemand in den Kommentaren mehr oder weniger pseudonymisiert diesen zweiten Fall:

Die Daten sind mittlerweile getrieben eben durch die Öffentlichkeit so gut wie in jedem halbwegs “brauchbar” sortierten Board mit weltweiten Mirrors verlinkt [Raid-Rush, gulli, gsmfreeboard usw.], wer behauptet das diese Daten jemals zufriedenstellend gelöscht werden können begibt sich auf sehr sehr dünnes Eis. Aber es wird wenigstens versucht, das ist toll, meine ich ganz ernst.

Unklar ist, wie viele Datensätze das sind, die nun dazu im Umlauf sind. Ich habe diese nicht gesehen. Ich gehe mittlerweile aber ziemlich fest davon aus, dass es sich definitiv um einen weiteren Fall handelt.

Einen neuen Artikel mit den neuesten Entwicklungen gibt es hier.

90 Kommentare
  1. Hugorrrrrrr 16. Okt 2009 @ 17:55
Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden