Spenden

Dieser Artikel ist mehr als 16 Jahre alt.

Festnahme wegen SchülerVZ-Datenleck

Nach Angaben von SchülerVZ gab es gestern die Festnahme eines 20-jährigen in Berlin. Dabei handelt es sich nicht um meine Quelle, die ich natürlich schütze und wo mich die Pressefreiheit auch vor Auskünften schützt.

Gut möglich, dass es sich um die weitere Person handelt, die ich hier schon genannt habe. Diese Person ist 20, wohnt aber nach eigenen Aussagen im Blog in Franken. Unklar ist auch, was ihr konkret vorgeworfen wird. Da gibt es derzeit verschiedene Interpretationen, inklusive der Interpretation, dass das vor Gericht wenig Bestand haben wird.

Spannend ist auch die Frage, wie viele Menschen eigentlich in den letzten Monaten die Sicherheitslücken ausgenutzt haben und automatisiert umfangreiche Datensätze aus den SchülerVZ-ausgelesen haben. Bisher sind ja erst zwei Fälle öffentlich geworden.

Spreeblick berichtet jetzt auch über weitere Sicherheitslücken bei der VZ-Gruppe. Und zwar ist die mobile Version von StudiVZ betroffen.

Weiterhin scheint es ein paar Phishing-Attacken gegeben zu haben. Das erklärt vielleicht auch die paar Nutzer-Accounts, die mir als Samples zugeschickt worden sind.

Die Historie zum SchülerVZ-Datenleck:

Datenleck bei SchülerVZ (Update)
Neues vom SchülerVZ-Datenleck

  • Markus Beckedahl
Markus Beckedahl
27

Nach Angaben von SchülerVZ gab es gestern die Festnahme eines 20-jährigen in Berlin. Dabei handelt es sich nicht um meine Quelle, die ich natürlich schütze und wo mich die Pressefreiheit auch vor Auskünften schützt.

Gut möglich, dass es sich um die weitere Person handelt, die ich hier schon genannt habe. Diese Person ist 20, wohnt aber nach eigenen Aussagen im Blog in Franken. Unklar ist auch, was ihr konkret vorgeworfen wird. Da gibt es derzeit verschiedene Interpretationen, inklusive der Interpretation, dass das vor Gericht wenig Bestand haben wird.

Spannend ist auch die Frage, wie viele Menschen eigentlich in den letzten Monaten die Sicherheitslücken ausgenutzt haben und automatisiert umfangreiche Datensätze aus den SchülerVZ-ausgelesen haben. Bisher sind ja erst zwei Fälle öffentlich geworden.

Spreeblick berichtet jetzt auch über weitere Sicherheitslücken bei der VZ-Gruppe. Und zwar ist die mobile Version von StudiVZ betroffen.

Weiterhin scheint es ein paar Phishing-Attacken gegeben zu haben. Das erklärt vielleicht auch die paar Nutzer-Accounts, die mir als Samples zugeschickt worden sind.

Die Historie zum SchülerVZ-Datenleck:

Datenleck bei SchülerVZ (Update)
Neues vom SchülerVZ-Datenleck

Über die Autor:innen

  • Markus Beckedahl
    Darja Preuss
    Markus Beckedahl

    Markus Beckedahl hat schon 2003 in der Ur-Form von netzpolitik.org gebloggt und hat zwischen 2004 bis 2022 die Plattform als Chefredakteur entwickelt. Seit 2024 ist er nicht mehr Teil der Redaktion und schreibt einen Newsletter auf digitalpolitik.de. Kontakt: Mail: markus (ett) netzpolitik.org, Presseanfragen: +49-177-7503541 Er ist auch auf Mastodon, Facebook, Twitter und Instagram zu finden.

Veröffentlicht

Kategorie

Schlagwörter

, , ,

Weiterlesen

Thema

Datenschutz

Thema

Datenschutz

Thema

Deutschland

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

27 Kommentare zu „Festnahme wegen SchülerVZ-Datenleck“

  1. Kokolores

    ,

    Erbärmlich. Die Betreiber dieser VZs gehören in den Knast.

    1. markus

      ,

      @Kokolores: Warum?

      1. Kokolores

        ,

        @markus

        Der Cracker ist wohl kaum für die Sicherheitslücken verantwortlich. Es liegt in der Verantwortung der Betreiber die Sicherheit zu gewährleisten. Da haben die kläglich versagt. Es kann ja auch nicht ausgeschlossen werden, dass bereits vorher Datenbanken der Nutzer angelegt wurden. Der Verhaftete ist ein Bauernopfer.

        1. markus

          ,

          @Kokolores: Das sehe ich ähnlich. Aber dafür Knast zu fordern finde ich etwas übertrieben. Die haben jetzt einen Vertrauens-Schaden und da gibts auch noch andere Sanktionsmassnahmen.

  2. Name (pflicht)

    ,

    @Kokolores: Warum [sollten die Betreiber in den Knast gehören]?

    Wahrscheinlich aus dem gleichen Grund wie im Falle des Festgenommenen: „Mir gefällt nicht, was sie tun – sperrt sie weg!“

    … und dieses Gefühl kann ich auch nachvollziehen. Da wird mal wieder die geballte Staatsmacht im Auftrag der Wirtschaft in einer Weise tätig, wie es im umgekehrten Fall doch eher selten anzutreffen wäre. Das alleine macht schon wütend.

    Obendrein wirkt es auf mich als läge das Interesse von VZnet weniger bei der berechtigten Aufklärung sondern primär in einer Mischung aus Abschreckung und der Ablenkung von eigenem Versagen zu finden. Gut finden muss man das nicht.

  3. Babel

    ,

    haha endlich nen skandal. und in nem monat iss alles vergessen und die benutzerzahlen steigen weiter ;)

    blaue pille schlucken und leben

  4. abc

    ,

    @ kokolores: Natürlich ist der Cracker nicht für die Sicherheitslücken verantwortlich, allerdings ist nicht alles was möglich ist auch erlaubt (eben z.B. das Eindringen in die Struktur der VZ-Netzwerke). Ohne genauere Kenntnis, was dem Festgenommenen vorgeworfen wird und wie lange die Sicherheitslücke dem VZ-Team schon bekannt war sollte man sich denke ich mit Vorwürfen sowohl in die eine als auch in die andere Richtung zurückhalten.

    Desweiteren sollte jedem technisch versierten Menschen, zu denen ich dich jetzt mal dazu zähle, klar sein, dass es vollständige Sicherheit nicht gibt. Irgendwelche Sichreheitslücken findet man immer. Es läuft im Prinzip auf ein Wettrüsten zwischen den Anbietern und den (böswilligen) Hackern hinaus, bei dem mal die eine, mal die andere Seite schneller ist.

    Das müssen natürlich auch die Nutzer einkalkulieren. Deshalb sollten solche Fälle in der Medienerziehung behandelt werden umd zu zeigen, dass man im Internet nicht so viel preisgeben sollte.

  5. André

    ,

    Eindringen in VZ Netzwerke, wenn ich so nen Scheiss lese kommts mir hoch. Seit August gibts (gabs?) nen Video vom Bot bei YT, dort wurde gezeigt wie er arbeitet. Wenn die Holzbrinckhanseln ihrn Dreck nich in Griff kriegen sollen die nich irgendwelche Leute die ihren (ich nenns mal) Spieltrieb freien Lauf lassen dafür verantwortlich machen. Man stellt sich hier nur äußerst offensiv als Opfer dar, was mam aber definitiv nicht ist. Siehe neues Leck in der mobilen Version.

    Der gute Junge hat maximal gegen AGB/Nutzungsbestimmungen verstoßen. Das dies eine Verhaftung rechtfertigt ist die absolute Höhe. Btw. Das „knacken“ eines Captchas ist wohl kaum eine Straftat, da dieses nicht als geeignete Sicherheitsmaßnahme gegen Datendiebstahl zählen kann.

  6. Datenklau bei SchülerVZ | Daily Pod

    ,

    […] Eine Millionen Profildaten, soviel sind beim ersten großen Datenskandal im SchülerVZ entwendet worden. Das sind rund 1/5 der gesamten Profil des SchülerVZ’s. Geklaut wurden alle sichtbaren Angaben der freien Profile. Alles nicht sichtbare blieb verschont von dem Datenskandal. Ausgelesen wurden die Daten mit einem Crawler. Der schaut die Profile durch und liest sie automatisch aus. Die Daten wurden zum Teil schon rumgereicht. Vielen Sachen die man dagegen machen kann gibt es nicht. Das Einzige was hilft ist: Die Informationen so gering wie möglich zu halten und die Privatsphäreeintstellungen so gestalten, dass nur Befreundete alles sehen können. Nach derzeitigem Stand wurde ein Verdächtiger schon festgenommen. Das LKA ist aber noch dabei, herauszufinden, wer die Daten geklaut haben könnte. Ganz intensiv an der Aufklärung beteiligt ist auch das Blog “Netzpolitik”. Der Betreiber hatte in der vergangenen Woche bereits einige SchülerVZ Datensätze zugespielt bekommen. Aktuelle Informationen zur Datenpanne posten die VZ-Netzwerke in ihrem Blog. Außerdem gibt es die Infos natürlich auch auf Netzpolitik. […]

  7. Sebastian

    ,

    Ich sehe es auch eher so, dass man nicht den Hacker als den Bösewicht ansehen sollte sondern primär die Verantwortlichen bei VZ die es verbockt haben. Sicherlich, es ist ja auch nicht erlaubt in offen stehende Lagerhäuser einzudringen und dort Dinge von dritten zu nehmen. Aber erstens wäre hier auch das lagernde Unternehmen verantwortlich zu machen und zweitens würde man es dem Hacker wohl schwer glauben, wenn er behauptete, er habe die Daten kopiert wenn er sie nicht veröffentlicht. Denn den die Daten können trotz Entwendung immer noch an Ort und Stelle sein – im Gegensatz zu den Waren im Lagerhaus. Ergo. Wenn er es nicht gemacht hätte, hätte es keine Wellen geschlagen und keiner hätte etwas unternommen.

  8. Stefan Jung

    ,

    SchülerVZ: Festnahme nach Datenunfall…

    Nachdem letztens im SchülerVZ eine Sicherheitslücke identifiziert wurde, erfolgte heute die Festnahme eines Tatverdächtigen. Nach dem Skandal ist vor dem Skandal: jetzt gibt es mehrere Leute, die für sich eine Methode zur automatisierten Abfrage des Ne…

  9. Andreas22

    ,

    hihi lustig, die Tech-Nerds schlagen sich auf sie Seite eines Erpressers weil alle den Goliath VZ den Erfolg nicht gönnen.
    Leider gab es ja 3 Jahre keine Sicherheitsprobleme, muss ne schlimme Zeit für euch gewesen sein, oder?

  10. Sandman

    ,

    zum Thema „wohnt aber nach eigenen Aussagen im Blog in Franken“:

    Laut tagesschau.de wurde der zwar in Berlin festgenommen, wohnt aber in Erlangen…

  11. einanderer

    ,

    Könnt ihr endlich mal aufhören, von (illegalem) Ausnutzen einer Sicherheitslücke zu reden? Das hat nichts von wegen die Tech-Nerds schlagen sich auf die Seite des Erpressers (hab ich was verpasst, oder warum ist er nun auf einmal ein Erpresser?) zu tun sondern einfach damit, dass es kein Ausnützen einer Sicherheitslücke war (außer eventuell in dem Falle der Netzpolitk-Quelle) sondern ein „Ausnutzen einer regulären Funktion“…

    Wenn ihr euch jetzt darüber aufregt, dass da jemand eure Daten absaugt, dann seid ihr einfach nur so ziemlich selber Schuld weil ihr euch vorher keine Gedanken gemacht habt.

  12. Polizei als Hilfsscherrif für mangelnden Datenschutz missbraucht » Nerd6

    ,

    […] Daten runtergeladen hatte? Die IT-Newsticker überschlugen sich dann auch gleich mit Meldungen [1] [2] darüber, ohne den Grund für die Verhaftung zu […]

  13. Jörg-Olaf Schäfers

    ,

    @einanderer: Stand der Dinge scheint zu sein, dass auch der nun Festgenommene einen Crawler eingesetzt hat, der Captchas knackt. Laut Heise soll er zudem versucht haben, die Daten zu verkaufen.

    Als was würdest du das zielgerichtete Umgehen einer Sicherungsfunktion bezeichnen, die das automatisierte Auslesen von Datensätzen erschweren/verhindern soll?

    Und ja, dem stehen nicht nur die AGB, sondern auch diverse datenschutzrechtliche Bestimmungen entgehen. Möglichweise ist es nicht strafrechtlich relevant, nach meinem Verständnis aber sehr wohl „illegal“.

  14. einanderer

    ,

    Dein Verständnis definiert aber weder „legal“ noch „illegal“, und wenn du den heise Artikel oder diesen hier ganz gelesen hast, sollte dir klar sein, dass selbst das Umgehen eines Captchas nicht zweifelsfrei eine Straftat ist…

  15. KinNeko

    ,

    Dass die Medien aufgrund ihres technischen Unverständnis von Hacker sprechen (oder einfach weil es sich besser anhört) kann ich ja noch verstehen. Aber könnt ihr wenigstens hier aufhören das Ganze als Hackversuch zu bezeichnen :) ?

    Ich denke die Gesetze sind nur dazu da um die Unfähigkeit der Industrie zu schützen. Dass unzureichende Zugangssperren umgangen werden wird solange akzeptiert, solange es nicht öffentlich wird. Dass Datensätze in der Industrie gesammelt werden und weitergegeben werden wird auch akzeptiert.

    Aber wenn dann rauskommt, dass die Sicherungsmassnahmen doch zu schlampig waren, dann wird mal mit der Gesetzeskeule draufgeschlagen um die eigene Unfähigkeit zu verbergen.

    Ich habe die Erfahrung damals mit der Personalausweisnummerabfrage bei ü18 Angeboten gemacht.. wenn man auf die eigene Unfähigkeit hingewiesen wird, wird zuerst einmal geklagt.

    Ich wette mit euch, dass wenn es nen Crawler gibt (oder gäbe) der automatisch Freundschaftseinladungen verschickt über 75% die ungefragt annehmen würden. Insofern halte ich die Strategie seine Seite vor Nicht-Freunden zu verbergen als vollkommen falsche an. Erstens ist das wider der Idee der sozialen Netzwerke und zweitens unter der Tatsache, dass viele dafür alle Freundschaftsanfragen akzeptieren, die dann gleich alles sehen, kontraproduktiv. Aber es ist halt cool möglichst viele Freunde zu haben :b

    Bei mir steht nichts drin ausser den Daten die ich bei ner Bewerbung eh angeben muss und im persönlichen Bereich nur die Daten die eh im Telefonbuch kursieren (und daraus auch reichlich weitergegeben werden). Aber ich kenne andere Fälle wo besonders Schüler Handynummer bzw Adressen angegeben haben. Das halte ich für viel gefährlicher und da bedarf es mehr Aufklärung.

  16. Erste Festnahme bei schülerVZ im Datenskandal

    ,

    […] Umfang Nutzerdaten kopiert und illegal weitergegeben haben. Der Skandal war durch das Berliner Blog netzpolitik.org am Wochenende aufgedeckt worden. Einige Medien, so der Berliner Radiosender Radio 1, spekulieren […]

  17. test

    ,

    Es war so klar, dass der festgenommen wird..
    Ist in solchen Angelegenheiten immer so.
    Er hat sich aufgespielt, dass er ne Sicherheitslücke gefunden hat und war so dumm auch seine privaten Daten rauszugeben weil Schüler vz gesagt hat, dass sie GGF. von einer Strafanzeige absehen wenn er denen die Daten gibt. Natürlich stimmt sowas nie, als ob die den einfach laufen lassen würden.
    Das mti Schülervz steht in unmengen an Blogs und wird von irgendwelchen selbsternannten „experten“ diskutiert (ob diese Netzwerke für Kinder sicher wären oder sonst was)
    alles nur Medien Hype, mit der Datenbank kann man einen Dreck anfangen.. viele haben als benutzer id nicht ihren Namen eingetragen und wenn dann steht da Alex S.
    Was bringt das nun einem?

    Naja, aber der „Hacker“ der meines erachtens nichts drauf halt, weil der einfach ne beschissene xss gefunden hat die es in zig tausend seiten gibt wie z.B. auch bei paypal.de
    (immernoch) und so eine Hysterie auslöst ohne sinn.
    So nen beschissenen „crawler“ zu coden dauert 1 std. nicht länger (wenn cih den zumind. coden würde)
    Schülervz sagt, das Dingen konnte Captchas umgehen.. was aber totaler schwachsinn ist, denn seit dem sich alle bei schülervz über diese Capctahs aufgeregt haben treten die so gut wie gar nicht mehr auf.
    Ich bin selber dort aktiv und habe in den letzen Paar Monaten kein einziges mehr gesehen.

    Der „hacker“ oder wie man ihn nennen will, hat meines erachtens die „Betrafung“ verdient weil er einfach krank zu dumm ist.
    Man benutzt für sowas 1. Socks/Proxy
    2. nicht seinen eigenen Schülervzaccount
    dann kann man von Schülervz auch nicht unter druck gesetzt werden von wegen „Du gibst mir jetzt die Datenbank oder kriegst ne Anzeige“

    selbst schuld würd ich mal sagen.

  18. Raphael Michel (raphaelm) 's status on Tuesday, 20-Oct-09 13:07:01 UTC - Identi.ca

    ,

    […] http://www.netzpolitik.org/2009/festnahme-wegen-schuelervz-datenleck/ a few seconds ago from Gwibber […]

  19. Datenleck bei SchülerVZ war größer als bekannt : netzpolitik.org

    ,

    […] bei SchülerVZ ausgenutzt hatte, um massenweise Datensätze auszulesen. Diese zweite Person wurde verhaftet, nachdem sie SchülerVZ zu erpressen versuchte. In einer Mail vor seiner Reise nach Berlin […]

  20. Aktuelle Datenskandale bei SchülerVZ, Bundesagentur für Arbeit, JobBörse, Postbank und Online-Buchhändler Libri « cyberpunk – punkrock, politics & computer

    ,

    […] in sozialen Netzwerken (netzpolitik.org) – Datenleck bei SchülerVZ (Update) (netzpolitik.org) – Festnahme wegen SchülerVZ-Datenleck (netzpolitik.org) – Sicher in Sozialen Netzwerken (netzpolitik.org) – SchülerVZ: Warum wurde […]

  21. Der „VZ-Crawler“ Matthias L. und Eure Daten « cyberpunk – punkrock, politics & computer

    ,

    […] und damit angeblich die Betreiber der VZ-Seiten um 80.000 Euro erpresst. Aus diesem Grunde wurde er festgenommen und in Untersuchungshaft gesteckt, in der er sich, nach zwei Wochen in Gefangenschaft, das Leben […]

  22. Spiegel-Story über SchülerVZ-Selbstmord, vorab bei Heise Online : netzpolitik.org

    ,

    […] der Daten verhandelt hatte, ergibt sich bereits aus dem auch hier bei Netzpolitik dokumentierten zeitlichen Ablauf. Auszüge aus den bei Heise Online/im Spiegel erwähnten Chatprotokollen wurde ebenfalls […]

  23. Wayne … » Blog Archive » Sicherheitslücke bei der mobilen SchülerVZ-Version?

    ,

    […] das Melden von Sicherheitslücken noch 128 Euro bezahlt – heutzutage wird man für das Melden in den Knast gebracht und in den Selbstmord […]

  24. Datenklau bei SchülerVZ | Daily Pod

    ,

    […] Datenpanne posten die VZ-Netzwerke in ihrem Blog. Außerdem gibt es die Infos natürlich auch auf Netzpolitik. pp_flashembed( ‚powerpress_player_9391’, {src: […]

Dieser Artikel ist älter als 16 Jahre, daher sind die Ergänzungen geschlossen.