Neues vom SchülerVZ-Datenleck

Am Freitag hatten wir darüber berichtet, dass jemand bei SchülerVZ über eine Million Profilseiten automatisiert ausgelesen und die dort stehenden Informationen teilweise in einer Datenbank gespeichert hat. Diese wurde uns zugeschickt samt einer kleineren Liste mit mehr Profildaten. Die ganze Story findet sich hier. Wir haben SchülerVZ darauf aufmerksam gemacht und als Vermittler zwischen SchülerVZ und unserer Quelle kommuniziert. Soweit ich das einschätzen kann, wurden uns die Daten zugespielt, weil unsere Quelle ein Interesse daran hat, dass einige Sicherheitslücken in SchülerVZ behoben werden und der Datenschutz der Teilnehmer dadurch gestärkt wird. Ich hab die mir zugeschickten Datensätze gelöscht und meine Quelle hat das auch zugesagt. Problem gelöst?

Gestern kommunizierte SchülerVZ, dass meine Quelle nur ein Trittbrettfahrer gewesen sei, weil jemand anderes die Originalquelle sei. Seitdem hat es einige neue Informationen gegeben. In einem Blog beschwerte sich jemand, dass er vor nun drei Tagen die Ergebnisse seiner Crawl-Aktionen in einem internen Cracker-Forum zum Download hingestellt habe und jemand diese Daten an mich weitergeleitet habe. Was für mich an der Story nicht stimmem konnte: Meine Quelle hat erstmals vor zwei Wochen Kontakt zur mir aufgenommen, mir vor einer Woche die Datensätze zukommen lassen und diese nunmehr zweite Person schrieb in ihrem Blog von mehr Profil-Feldern, die abgespeichert wurden.

Also ist der Stand bisher: Es gab mindestens zwei Personen, die getrennt voneinander mit Hilfe von automatisierten Profilabfragen sehr viele Profile abgegrast haben und diese Datensätze aus dem SchülerVZ/StudiVZ kopiert haben. Unsere Quelle ist wohl über einen Bot vorgegangen, der einfach Suchanfragen nach öffentlich zugänglichen Profilen gesammelt hat. Der zweite, nennen wir ihn mal „Cracker“, ist von „Freund-zu-Freund“ gesprungen.

„Cracker“ hat nicht nur SchülerVZ mit einem Bot abgegrast, sondern auch StudiVZ und MeinVZ. Wieviele Profile dabei gespeichert wurden, ist unklar. In einem Blog-Posting von Ende Mai beschreibt „Cracker“, dass er mit seinem Bot 48000 Profile in vier Stunden abgrasen konnte. In einem Blog-Posting von Anfang Juli beschwert er sich, dass der eigene Sammelbot einen IP-Ban bekommen habe. Unklar ist, ob der Bot in der Zwischenzeit komplett online war und in dieser Geschwindigkeit weiter Daten abgegriffen hat. Im übrigen gibt es seit Ende Mai 2009 bei Youtube auch ein Video, was die Arbeit kurz visuell beschreibt und den Namen „StudiVZ / SchülerVZ / MeinVZ Crawler“ trägt. In der Beschreibung zum Video wird die Technik kurz erklärt.

Nun ist dieser Fall irgendwie zufällig zu unserer Veröffentlichung aufgetreten. Konnte ja niemand ahnen. Und hätte sich „Cracker“ nicht gestern in seinem Blog darüber beschwert, wäre wohl auch nicht rausgekommen, dass es da noch einen zweiten Datensatz gibt, der jetzt mehr oder weniger unkontrolliert durch das Netz geistert (Der aber nur Daten von SchülerVZ enthält und nicht von StudiVZ und MeinVZ, wie die VZ-Gruppe in einem Blog-Posting betont). Unklar ist bisher bei diesem zweiten Datensatz, wieviele Datensätze er genau enthält. Soweit ich das mitbekommen habe, sind dort noch mehr Profildaten enthalten. Mit dabei sind Wohnort, Geburtsdatum, Beziehungsstatus (z.B. verliebt / solo / vergeben), Hobbies, Lieblingsmusik und Lieblingsfilm. Insgesamt sehr interessante Daten, nicht nur für die Werbeindustrie.

Was daraus folgt:

Die VZ-Gruppe sollte und wird sicherlich nach diesem Fall mehr in Datensicherheit investieren. Es sollte zukünftig verhindert werden, dass in solchen Größenmengen Profile automatisiert ausgelesen werden können. In einem ersten Schritt hat man wohl das Captcha-System durch ein anderes ersetzt. Wie einfach das alte Captcha zu cracken war, beschreibt dieses Code-Beispiel, was übrigens auch schon einige Monate online zu finden ist.

Immerhin ist SchülerVZ der Quasi-Monopilist bei den Social-Networks für Schüler. Und es sollte klar sein, dass keine Listen mit allen Schülern Deutschlands im Umlauf sein sollten. Die stehen ja auch nicht auf den Webseiten der Kultusminister zum Download online.

Würde mich freuen, wenn die Aktion das Bewusstsein bei vielen Menschen für Datenschutzfragen in Bezug auf Social-Networks steigern würde. Wir brauchen ganz klar mehr Medienkompetenz und die muss auch unterrichtet werden. Dazu zählen auch Privatsphäre-Einstellungen auf Profilseiten und ein Bewusstsein, was passiert, wenn man zu freizügig mit den eigenen Profilen umgeht.

40 Kommentare
  1. Hugorrrrrrr 18. Okt 2009 @ 17:35
  2. M_computAMann 19. Okt 2009 @ 22:09
  3. dot tilde dot 20. Okt 2009 @ 2:39
  4. M_computAMann 20. Okt 2009 @ 8:02
  5. Ramjuni Koneshwani 20. Okt 2009 @ 9:46
  6. Ramjuni Koneshwani 20. Okt 2009 @ 9:47
Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden