Datenschutz

Festnahme wegen SchülerVZ-Datenleck

Nach Angaben von SchülerVZ gab es gestern die Festnahme eines 20-jährigen in Berlin. Dabei handelt es sich nicht um meine Quelle, die ich natürlich schütze und wo mich die Pressefreiheit auch vor Auskünften schützt.


Netzpolitik.org ist unabhängig, werbefrei und fast vollständig durch unsere Leserinnen und Leser finanziert.

Gut möglich, dass es sich um die weitere Person handelt, die ich hier schon genannt habe. Diese Person ist 20, wohnt aber nach eigenen Aussagen im Blog in Franken. Unklar ist auch, was ihr konkret vorgeworfen wird. Da gibt es derzeit verschiedene Interpretationen, inklusive der Interpretation, dass das vor Gericht wenig Bestand haben wird.

Spannend ist auch die Frage, wie viele Menschen eigentlich in den letzten Monaten die Sicherheitslücken ausgenutzt haben und automatisiert umfangreiche Datensätze aus den SchülerVZ-ausgelesen haben. Bisher sind ja erst zwei Fälle öffentlich geworden.

Spreeblick berichtet jetzt auch über weitere Sicherheitslücken bei der VZ-Gruppe. Und zwar ist die mobile Version von StudiVZ betroffen.

Weiterhin scheint es ein paar Phishing-Attacken gegeben zu haben. Das erklärt vielleicht auch die paar Nutzer-Accounts, die mir als Samples zugeschickt worden sind.

Die Historie zum SchülerVZ-Datenleck:

Datenleck bei SchülerVZ (Update)
Neues vom SchülerVZ-Datenleck

Weitersagen und Unterstützen. Danke!
27 Kommentare
      1. @markus

        Der Cracker ist wohl kaum für die Sicherheitslücken verantwortlich. Es liegt in der Verantwortung der Betreiber die Sicherheit zu gewährleisten. Da haben die kläglich versagt. Es kann ja auch nicht ausgeschlossen werden, dass bereits vorher Datenbanken der Nutzer angelegt wurden. Der Verhaftete ist ein Bauernopfer.

        1. @Kokolores: Das sehe ich ähnlich. Aber dafür Knast zu fordern finde ich etwas übertrieben. Die haben jetzt einen Vertrauens-Schaden und da gibts auch noch andere Sanktionsmassnahmen.

  1. @Kokolores: Warum [sollten die Betreiber in den Knast gehören]?

    Wahrscheinlich aus dem gleichen Grund wie im Falle des Festgenommenen: „Mir gefällt nicht, was sie tun – sperrt sie weg!“

    … und dieses Gefühl kann ich auch nachvollziehen. Da wird mal wieder die geballte Staatsmacht im Auftrag der Wirtschaft in einer Weise tätig, wie es im umgekehrten Fall doch eher selten anzutreffen wäre. Das alleine macht schon wütend.

    Obendrein wirkt es auf mich als läge das Interesse von VZnet weniger bei der berechtigten Aufklärung sondern primär in einer Mischung aus Abschreckung und der Ablenkung von eigenem Versagen zu finden. Gut finden muss man das nicht.

  2. @ kokolores: Natürlich ist der Cracker nicht für die Sicherheitslücken verantwortlich, allerdings ist nicht alles was möglich ist auch erlaubt (eben z.B. das Eindringen in die Struktur der VZ-Netzwerke). Ohne genauere Kenntnis, was dem Festgenommenen vorgeworfen wird und wie lange die Sicherheitslücke dem VZ-Team schon bekannt war sollte man sich denke ich mit Vorwürfen sowohl in die eine als auch in die andere Richtung zurückhalten.

    Desweiteren sollte jedem technisch versierten Menschen, zu denen ich dich jetzt mal dazu zähle, klar sein, dass es vollständige Sicherheit nicht gibt. Irgendwelche Sichreheitslücken findet man immer. Es läuft im Prinzip auf ein Wettrüsten zwischen den Anbietern und den (böswilligen) Hackern hinaus, bei dem mal die eine, mal die andere Seite schneller ist.

    Das müssen natürlich auch die Nutzer einkalkulieren. Deshalb sollten solche Fälle in der Medienerziehung behandelt werden umd zu zeigen, dass man im Internet nicht so viel preisgeben sollte.

  3. Eindringen in VZ Netzwerke, wenn ich so nen Scheiss lese kommts mir hoch. Seit August gibts (gabs?) nen Video vom Bot bei YT, dort wurde gezeigt wie er arbeitet. Wenn die Holzbrinckhanseln ihrn Dreck nich in Griff kriegen sollen die nich irgendwelche Leute die ihren (ich nenns mal) Spieltrieb freien Lauf lassen dafür verantwortlich machen. Man stellt sich hier nur äußerst offensiv als Opfer dar, was mam aber definitiv nicht ist. Siehe neues Leck in der mobilen Version.

    Der gute Junge hat maximal gegen AGB/Nutzungsbestimmungen verstoßen. Das dies eine Verhaftung rechtfertigt ist die absolute Höhe. Btw. Das „knacken“ eines Captchas ist wohl kaum eine Straftat, da dieses nicht als geeignete Sicherheitsmaßnahme gegen Datendiebstahl zählen kann.

  4. Ich sehe es auch eher so, dass man nicht den Hacker als den Bösewicht ansehen sollte sondern primär die Verantwortlichen bei VZ die es verbockt haben. Sicherlich, es ist ja auch nicht erlaubt in offen stehende Lagerhäuser einzudringen und dort Dinge von dritten zu nehmen. Aber erstens wäre hier auch das lagernde Unternehmen verantwortlich zu machen und zweitens würde man es dem Hacker wohl schwer glauben, wenn er behauptete, er habe die Daten kopiert wenn er sie nicht veröffentlicht. Denn den die Daten können trotz Entwendung immer noch an Ort und Stelle sein – im Gegensatz zu den Waren im Lagerhaus. Ergo. Wenn er es nicht gemacht hätte, hätte es keine Wellen geschlagen und keiner hätte etwas unternommen.

  5. hihi lustig, die Tech-Nerds schlagen sich auf sie Seite eines Erpressers weil alle den Goliath VZ den Erfolg nicht gönnen.
    Leider gab es ja 3 Jahre keine Sicherheitsprobleme, muss ne schlimme Zeit für euch gewesen sein, oder?

  6. zum Thema „wohnt aber nach eigenen Aussagen im Blog in Franken“:

    Laut tagesschau.de wurde der zwar in Berlin festgenommen, wohnt aber in Erlangen…

  7. Könnt ihr endlich mal aufhören, von (illegalem) Ausnutzen einer Sicherheitslücke zu reden? Das hat nichts von wegen die Tech-Nerds schlagen sich auf die Seite des Erpressers (hab ich was verpasst, oder warum ist er nun auf einmal ein Erpresser?) zu tun sondern einfach damit, dass es kein Ausnützen einer Sicherheitslücke war (außer eventuell in dem Falle der Netzpolitk-Quelle) sondern ein „Ausnutzen einer regulären Funktion“…

    Wenn ihr euch jetzt darüber aufregt, dass da jemand eure Daten absaugt, dann seid ihr einfach nur so ziemlich selber Schuld weil ihr euch vorher keine Gedanken gemacht habt.

  8. @einanderer: Stand der Dinge scheint zu sein, dass auch der nun Festgenommene einen Crawler eingesetzt hat, der Captchas knackt. Laut Heise soll er zudem versucht haben, die Daten zu verkaufen.

    Als was würdest du das zielgerichtete Umgehen einer Sicherungsfunktion bezeichnen, die das automatisierte Auslesen von Datensätzen erschweren/verhindern soll?

    Und ja, dem stehen nicht nur die AGB, sondern auch diverse datenschutzrechtliche Bestimmungen entgehen. Möglichweise ist es nicht strafrechtlich relevant, nach meinem Verständnis aber sehr wohl „illegal“.

  9. Dein Verständnis definiert aber weder „legal“ noch „illegal“, und wenn du den heise Artikel oder diesen hier ganz gelesen hast, sollte dir klar sein, dass selbst das Umgehen eines Captchas nicht zweifelsfrei eine Straftat ist…

  10. Dass die Medien aufgrund ihres technischen Unverständnis von Hacker sprechen (oder einfach weil es sich besser anhört) kann ich ja noch verstehen. Aber könnt ihr wenigstens hier aufhören das Ganze als Hackversuch zu bezeichnen :) ?

    Ich denke die Gesetze sind nur dazu da um die Unfähigkeit der Industrie zu schützen. Dass unzureichende Zugangssperren umgangen werden wird solange akzeptiert, solange es nicht öffentlich wird. Dass Datensätze in der Industrie gesammelt werden und weitergegeben werden wird auch akzeptiert.

    Aber wenn dann rauskommt, dass die Sicherungsmassnahmen doch zu schlampig waren, dann wird mal mit der Gesetzeskeule draufgeschlagen um die eigene Unfähigkeit zu verbergen.

    Ich habe die Erfahrung damals mit der Personalausweisnummerabfrage bei ü18 Angeboten gemacht.. wenn man auf die eigene Unfähigkeit hingewiesen wird, wird zuerst einmal geklagt.

    Ich wette mit euch, dass wenn es nen Crawler gibt (oder gäbe) der automatisch Freundschaftseinladungen verschickt über 75% die ungefragt annehmen würden. Insofern halte ich die Strategie seine Seite vor Nicht-Freunden zu verbergen als vollkommen falsche an. Erstens ist das wider der Idee der sozialen Netzwerke und zweitens unter der Tatsache, dass viele dafür alle Freundschaftsanfragen akzeptieren, die dann gleich alles sehen, kontraproduktiv. Aber es ist halt cool möglichst viele Freunde zu haben :b

    Bei mir steht nichts drin ausser den Daten die ich bei ner Bewerbung eh angeben muss und im persönlichen Bereich nur die Daten die eh im Telefonbuch kursieren (und daraus auch reichlich weitergegeben werden). Aber ich kenne andere Fälle wo besonders Schüler Handynummer bzw Adressen angegeben haben. Das halte ich für viel gefährlicher und da bedarf es mehr Aufklärung.

  11. Es war so klar, dass der festgenommen wird..
    Ist in solchen Angelegenheiten immer so.
    Er hat sich aufgespielt, dass er ne Sicherheitslücke gefunden hat und war so dumm auch seine privaten Daten rauszugeben weil Schüler vz gesagt hat, dass sie GGF. von einer Strafanzeige absehen wenn er denen die Daten gibt. Natürlich stimmt sowas nie, als ob die den einfach laufen lassen würden.
    Das mti Schülervz steht in unmengen an Blogs und wird von irgendwelchen selbsternannten „experten“ diskutiert (ob diese Netzwerke für Kinder sicher wären oder sonst was)
    alles nur Medien Hype, mit der Datenbank kann man einen Dreck anfangen.. viele haben als benutzer id nicht ihren Namen eingetragen und wenn dann steht da Alex S.
    Was bringt das nun einem?

    Naja, aber der „Hacker“ der meines erachtens nichts drauf halt, weil der einfach ne beschissene xss gefunden hat die es in zig tausend seiten gibt wie z.B. auch bei paypal.de
    (immernoch) und so eine Hysterie auslöst ohne sinn.
    So nen beschissenen „crawler“ zu coden dauert 1 std. nicht länger (wenn cih den zumind. coden würde)
    Schülervz sagt, das Dingen konnte Captchas umgehen.. was aber totaler schwachsinn ist, denn seit dem sich alle bei schülervz über diese Capctahs aufgeregt haben treten die so gut wie gar nicht mehr auf.
    Ich bin selber dort aktiv und habe in den letzen Paar Monaten kein einziges mehr gesehen.

    Der „hacker“ oder wie man ihn nennen will, hat meines erachtens die „Betrafung“ verdient weil er einfach krank zu dumm ist.
    Man benutzt für sowas 1. Socks/Proxy
    2. nicht seinen eigenen Schülervzaccount
    dann kann man von Schülervz auch nicht unter druck gesetzt werden von wegen „Du gibst mir jetzt die Datenbank oder kriegst ne Anzeige“

    selbst schuld würd ich mal sagen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.