Mobile Sicherheitslücke bei SchülerVZ?

Update: Da scheint nichts dran zu sein. SchülerVZ hat bei der mobilen Version andere Sicherheitsmaßnahmen verwendet als in der „normalen“ Version. Bei der mobilen Version gibt es tägliche Zugriffslimits pro Nutzer-Account, die irgendwann keinen Zugriff mehr zulassen. Wir sind nach Hinweisen manuell vorgegangen, um das zu überprüfen und haben dabei die mobile Version mit der normalen Version verglichen. Sicherheitsmaßnahmen, die bei der normalen Version sichtbar wurden, sahen wir bei der mobilen Version nicht. Aber wir haben auch nicht so oft Profile angeklickt, so dass wir die Zugriffs-Limit erreichten.

Unsere Berichterstattung über Datenlecks bei SchülerVZ ist nun auch wieder drei Monate her. SchülerVZ hat Besserung gelobt, die technischen Hürden für ein massenhaftes Auslesen hoch gesetzt und hat nun auch ein TÜV Süd-Zertifikat für besonders viel Datensicherheit Grundsicherheit erhalten. Allerdings scheint man bei den ganzen Maßnahmen die mobile Version vergessen zu haben. Die kann man nicht nur vom Handy aus aufrufen, sondern ganz bequem über den Browser über die URL m.schuelervz.net. Dort surft man dann genauso wie bei der „offiziellen“ Version über die Profile. Die Profilseiten enthalten die üblichen Angaben wie Foto, Name, Schule, Alter, Wohnort und darüber hinaus auch Hobbys, Vorlieben, etc.

Das kann man wohl auch Scripte sammeln lassen und die Daten aus dem Netzwerk rausziehen. Technische Schutz-Maßnahmen wie Captchas sind uns nicht aufgefallen. Wir haben darauf verzichtet, Scripte zu schreiben, um zu schauen, wie wir über bewährte Angriffsmethoden wie „von Profil zu Profil springen und alles abspeichern“ wieviele Daten massenhaft auslesen können. Uns wurde aber berichtet, dass es diese Scripte gibt und dass sie funktionieren. Wir haben die Hinweise nur manuell verifiziert, indem wir schnell hintereinander zahlreich von Profil zu Profil gesprungen sind. Dabei sind uns keinerlei Sicherheitsabfragen aufgefallen, die nach den Datenlecks bei der „richtigen“ Version unter schuelervz.net eingeführt worden sind, um dort massenhaftes Auslesen durch Scripte etwas zu unterbinden.

Wir haben heute diese drei Fragen an SchülerVZ geschickt und warten mal auf eine Antwort:

1. Nach den öffentlichen Datenlecks im Herbst 2009, wo Sicherheitslücken bekannt wurden, die das massenhafte Auslesen von Daten ermöglichten, wurden Sicherheitsmaßnahmen gegen das massenhafte Auslesen getroffen. Warum wurde die mobile Version vergessen, bzw. was wurde dort gemacht?

2. Der TÜV-Süd hat aktuell die VZ-Gruppe zertifiziert. Wurde dabei auch die mobile Version überprüft?

3. Wann wird die mobile Version besser gegen massenhaftes Auslesen gesichert?

Auch hier stellt sich natürlich wieder die Frage, wie oft durch fehlende technische Hürden die Daten von wie vielen Kindern und Jugendlichen ausgelesen worden sind?

Update: SchülerVZ kümmert sich darum und checkt das nochmal. Mir wurde erklärt, dass bei der mobilen Version auf Captchas verzichtet wurde, weil nur eine begrenzte Anzahl an Abrufen pro User und Tag möglich sein soll und das die technische Schutzmaßnahme sei.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

11 Ergänzungen

  1. argh StudiVZ lernt es wohl auch nicht mehr!
    Und das man auf die TÜV zertifikate nicht viel setzen kann weis man ja seit dem Libri Fall eh schon.
    Betrifft das jetzt nur Schuelervz oder auch die anderen beiden Portale? Die haben ja auch entsprechende Portale: http://mobil.studivz.net
    Würde mich sehr wundern, wenn da verschiedene Schutzstandard eingesetzt werden. Aber naja Überraschungen werden bei StudiVZ wohl noch einige kommen.

    Matthias

    1. @matthias: Probier es doch aus und vergleich die technischen Sicherheitsmaßnahmen, indem Du in beiden Versionen schnell von Profil zu Profil klickst.

      1. @markus: Ich habe weder einen StudiVZ noch einen MeinVZ Account zur Zeit auch aus gutem Grund ;)
        Daher kann ich das nicht testen und extra dafür einen anlegen will ich auch nicht.

  2. Da zeigt sich wieder, dass ein noch so seriöses Prüfsigel keine Bedeutung hat, wenn nicht gewissenhaft geprüft wird. Bedauerlich finde ich besonders, dass immer öfter schon Kinder von solchen Datenschutzpannen betroffen sind.

  3. Lieber Blog-Author, schön das du wieder irgendwelchen Hinweisen nachgehst…Ich hoffe du prüfst auch mal die deutschen Social Networks „Wer kennt wen“ und „Lokalisten“ auf deren Datensicherheit. Ansonsten langweilt es, dass du immer wieder nur auf die VZ-Netzwerke eingehst…:-(

  4. schade, dass du nicht mal einen PoC einforderst, wenn dir zwei schüler eine mail schreiben. und du uns vor veröffentlichung nicht die gelegenheit gibst, zu prüfen und stellung zu nehmen. nein eine e-mail eine halbe stunde vorher reicht nicht.
    bei aller professionalität und journalistischen ethik, die ich bei netzpolitik sonst sehe – dieser artikel ist …

  5. Und nun geht Dir wieder einer ab, Beckedahl? Habe selten einen „Journalisten“ gesehen, auf den das Wort so dermaßen NICHT zugetroffen ist, wie auf Dich. Plakativ und kritisch sein, ist das Eine. Das beherrscht Du auch ganz gut. Nur scheinbar lässt die schwarz-weiss-Brille, die Du aufhast, keine Recherchen zu, die das Gegenteil deiner vorgefertigten Meinung zutage fördern könnte… Echt schade. Gab mal ne Zeit da zählte Dein Blog zu den meinungsbildenden. Aktuell ist es einfach nur noch peinlioch.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.