Update: Da scheint nichts dran zu sein. SchülerVZ hat bei der mobilen Version andere Sicherheitsmaßnahmen verwendet als in der „normalen“ Version. Bei der mobilen Version gibt es tägliche Zugriffslimits pro Nutzer-Account, die irgendwann keinen Zugriff mehr zulassen. Wir sind nach Hinweisen manuell vorgegangen, um das zu überprüfen und haben dabei die mobile Version mit der normalen Version verglichen. Sicherheitsmaßnahmen, die bei der normalen Version sichtbar wurden, sahen wir bei der mobilen Version nicht. Aber wir haben auch nicht so oft Profile angeklickt, so dass wir die Zugriffs-Limit erreichten.
Unsere Berichterstattung über Datenlecks bei SchülerVZ ist nun auch wieder drei Monate her. SchülerVZ hat Besserung gelobt, die technischen Hürden für ein massenhaftes Auslesen hoch gesetzt und hat nun auch ein TÜV Süd-Zertifikat für besonders viel Datensicherheit Grundsicherheit erhalten. Allerdings scheint man bei den ganzen Maßnahmen die mobile Version vergessen zu haben. Die kann man nicht nur vom Handy aus aufrufen, sondern ganz bequem über den Browser über die URL m.schuelervz.net. Dort surft man dann genauso wie bei der „offiziellen“ Version über die Profile. Die Profilseiten enthalten die üblichen Angaben wie Foto, Name, Schule, Alter, Wohnort und darüber hinaus auch Hobbys, Vorlieben, etc.
Das kann man wohl auch Scripte sammeln lassen und die Daten aus dem Netzwerk rausziehen. Technische Schutz-Maßnahmen wie Captchas sind uns nicht aufgefallen. Wir haben darauf verzichtet, Scripte zu schreiben, um zu schauen, wie wir über bewährte Angriffsmethoden wie „von Profil zu Profil springen und alles abspeichern“ wieviele Daten massenhaft auslesen können. Uns wurde aber berichtet, dass es diese Scripte gibt und dass sie funktionieren. Wir haben die Hinweise nur manuell verifiziert, indem wir schnell hintereinander zahlreich von Profil zu Profil gesprungen sind. Dabei sind uns keinerlei Sicherheitsabfragen aufgefallen, die nach den Datenlecks bei der „richtigen“ Version unter schuelervz.net eingeführt worden sind, um dort massenhaftes Auslesen durch Scripte etwas zu unterbinden.
Wir haben heute diese drei Fragen an SchülerVZ geschickt und warten mal auf eine Antwort:
1. Nach den öffentlichen Datenlecks im Herbst 2009, wo Sicherheitslücken bekannt wurden, die das massenhafte Auslesen von Daten ermöglichten, wurden Sicherheitsmaßnahmen gegen das massenhafte Auslesen getroffen. Warum wurde die mobile Version vergessen, bzw. was wurde dort gemacht?
2. Der TÜV-Süd hat aktuell die VZ-Gruppe zertifiziert. Wurde dabei auch die mobile Version überprüft?
3. Wann wird die mobile Version besser gegen massenhaftes Auslesen gesichert?
Auch hier stellt sich natürlich wieder die Frage, wie oft durch fehlende technische Hürden die Daten von wie vielen Kindern und Jugendlichen ausgelesen worden sind?
Update: SchülerVZ kümmert sich darum und checkt das nochmal. Mir wurde erklärt, dass bei der mobilen Version auf Captchas verzichtet wurde, weil nur eine begrenzte Anzahl an Abrufen pro User und Tag möglich sein soll und das die technische Schutzmaßnahme sei.
Ergänzungen
Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.
11 Kommentare zu „Mobile Sicherheitslücke bei SchülerVZ?“
,
Dieses TÜV-Siegel is ja einmal mehr der letzte Blödsinn. Auch bald nicht mehr wert als diese Homepage-Awards von früher.
,
@Malte Du willst etwa sagen, dass der Ultimate Trash Site Award (www.muellseite.de) wertlos war? :)
,
argh StudiVZ lernt es wohl auch nicht mehr!
Und das man auf die TÜV zertifikate nicht viel setzen kann weis man ja seit dem Libri Fall eh schon.
Betrifft das jetzt nur Schuelervz oder auch die anderen beiden Portale? Die haben ja auch entsprechende Portale: http://mobil.studivz.net
Würde mich sehr wundern, wenn da verschiedene Schutzstandard eingesetzt werden. Aber naja Überraschungen werden bei StudiVZ wohl noch einige kommen.
Matthias
,
@matthias: Probier es doch aus und vergleich die technischen Sicherheitsmaßnahmen, indem Du in beiden Versionen schnell von Profil zu Profil klickst.
,
@markus: Ich habe weder einen StudiVZ noch einen MeinVZ Account zur Zeit auch aus gutem Grund ;)
Daher kann ich das nicht testen und extra dafür einen anlegen will ich auch nicht.
,
Da zeigt sich wieder, dass ein noch so seriöses Prüfsigel keine Bedeutung hat, wenn nicht gewissenhaft geprüft wird. Bedauerlich finde ich besonders, dass immer öfter schon Kinder von solchen Datenschutzpannen betroffen sind.
,
[…] seht mal: Scheinbar gibt es in der mobilen Version von SchülerVZ keinen Captcha-Schutz und somit können Scripte darüber weiterhin Daten sammeln. Geile […]
,
Lieber Blog-Author, schön das du wieder irgendwelchen Hinweisen nachgehst…Ich hoffe du prüfst auch mal die deutschen Social Networks „Wer kennt wen“ und „Lokalisten“ auf deren Datensicherheit. Ansonsten langweilt es, dass du immer wieder nur auf die VZ-Netzwerke eingehst…:-(
,
schade, dass du nicht mal einen PoC einforderst, wenn dir zwei schüler eine mail schreiben. und du uns vor veröffentlichung nicht die gelegenheit gibst, zu prüfen und stellung zu nehmen. nein eine e‑mail eine halbe stunde vorher reicht nicht.
bei aller professionalität und journalistischen ethik, die ich bei netzpolitik sonst sehe – dieser artikel ist …
,
[…] Mobile Sicherheitslücke bei SchülerVZ? : netzpolitik.org SchülerVZ hat zwar zuletzt Besserung gelobt, aber nur teilweise durchgeführt. Die mobile-Version ist auch mit ganz normalem Browserzugriff möglich und eben nicht geschützt. So lassen sich die Daten wie gehabt von der Seite abgreifen. Update: Die Lücke ist doch keine. Es gibt eine maximale Anzahl zu durchsuchender Profile pro Nutzer, so dass esirgendwann nicht mehr weitergeht. Ich glaube aber, dass das nur mehr Aufwand bedeutet, entweder längere Zeit zu sammeln oder mehr Nutzeraccounts zu verwenden. Wie dem auch sei, ich werde diesen Eintrag wahrscheinlich wieder löschen, bevor der Wochenrückblick rausgeht… (tags: wrb Datenschutz) […]
,
Und nun geht Dir wieder einer ab, Beckedahl? Habe selten einen „Journalisten“ gesehen, auf den das Wort so dermaßen NICHT zugetroffen ist, wie auf Dich. Plakativ und kritisch sein, ist das Eine. Das beherrscht Du auch ganz gut. Nur scheinbar lässt die schwarz-weiss-Brille, die Du aufhast, keine Recherchen zu, die das Gegenteil deiner vorgefertigten Meinung zutage fördern könnte… Echt schade. Gab mal ne Zeit da zählte Dein Blog zu den meinungsbildenden. Aktuell ist es einfach nur noch peinlioch.
Dieser Artikel ist älter als 16 Jahre, daher sind die Ergänzungen geschlossen.