HOME

Sicherheitslücke: 1,6 Millionen SchülerVZ-Daten ausgelesen

Das beliebte soziale Netzwerk SchülerVZ hat offenbar ein neues Sicherheitsproblem: Ein Lüneburger Wissenschaftler sagt, er habe 1,6 Millionen Datensätze minderjähriger Nutzer auslesen können, darunter auch private Daten. Laut der VZ-Netzwerke gibt es aber kein Datenleck.

Das Online-Netzwerk SchülerVZ hat offenbar erneut mit einem Datenleck zu kämpfen: Ein Computerexperte griff einem Bericht der Blogs Netzpolitik.org zufolge 1,6 Millionen Datensätze von überwiegend minderjährigen Schülern ab. Dies entspreche rund 30 Prozent aller Nutzerprofile des Netzwerks. Ein Sprecher des Unternehmens wies die Angaben gegenüber "Spiegel Online" zurück und sagte, aus der vorliegenden Stichprobe der abgegriffenen Daten gehe "nicht hervor, dass es sich um private Nutzerdaten handelt".

Bei sozialen Netzwerken können Nutzer ein eigenes Profil anlegen und sich mit Freunden und Bekannten vernetzen. Auch können sie auf den Internetportalen etwa Fotos, Videos oder persönliche Informationen veröffentlichen. Laut Netzpolitik.org enthalten die nun aufgetauchten SchülerVZ-Datensätze Basisinformationen der Nutzer wie Name, Schule und einen Link zu dem Bild des Angemeldeten. Viele der Schüler hätten jedoch bei ihrem Profil nicht die Option "privat" eingestellt. In diesem Fall seien auch Angaben wie Alter, Geschlecht, Klasse, Hobbys, Beziehungsstatus, politische Einstellung sowie Angaben zu Lieblingsfächern, -büchern und -bands abgegriffen worden.

In der Vergangenheit war SchülerVZ wiederholt in die Kritik von Daten- und Verbraucherschützern geraten, weil Daten aus dem Netzwerk in Umlauf gekommen waren. Der Verbraucherzentrale-Bundesverband teilte etwa im vergangenen Oktober mit, ihm seien durch Netzpolitik.org 100.000 Datensätze von Mitgliedern des Netzwerks übergeben worden, darunter ebenfalls sensible personenbezogene Daten. Im März hatte SchülerVZ jedoch bei einer Bewertung der Stiftung Warentest eine gute Bewertung für den Datenschutz erhalten.

Mitarbeiter der Uni Lünburg

Urheber der Aktion ist Florian Strankowski von der Leuphana Universität in Lüneburg. Um an die die Daten zu gelangen, habe er einen so genannten Crawler namens "LenaML" programmiert, eine Software, die vollautomatisch große Datenmengen durchsucht und sammelt. Im Interview mit Netzpolitik.org erläutert er, wie er über fast 800 automatisch angelegte Zugangskonten die Obergrenze für erlaubte Datenabfragen pro Profil umgangen und dann automatisch rund neun Schüler-Profile pro Sekunde abgegrast hat. Dabei seien auch Informationen zum Vorschein gekommen, die von den Nutzern eigentlich auf "privat" gestellt worden waren und damit für Unbefugte nicht einsehbar sein sollten. Doch die meisten Mitglieder sind in Gruppen organisiert. "In Gruppen sind Profile sichtbar, obwohl sie privat sind, auf Bildverlinkungen stehen die Namen von Profilen, welche auch privat sind", so Strankowski gegenüber Netzpolitik.org. Die in diesen Fällen abrufbaren Basisinformationen enthalten Name des Schülers, Name der Schule und deren ID-Nummer sowie Links zu Bildern.

Strankowski sagte, er habe zeigen wollen, dass SchülerVZ weder seinen Datenschutz verbessert habe, noch positive Bewertungen des Netzwerks in dieser Hinsicht berechtigt seien. Zudem habe SchülerVZ nicht auf Hinweise bezüglich des Datenlecks regiert. "In zwei Mails habe ich in den vergangenen Wochen die VZ-Gruppe auf Sicherheitslücken hingewiesen und meine Hilfe angeboten", sagte der Urheber der Aktion Netzpolitik.org. "Auf beide Mails habe ich keine Reaktion erhalten."

Ein SchülerVZ-Sprecher wies gegenüber "Spiegel Online" den Vorwurf eines Datenlecks zurück: Ein angemeldeter Nutzer habe für alle SchülerVZ-Mitglieder einsehbare Informationen kopiert. Es handle sich "explizit nicht um ein Datenleck". Aus der SchülerVZ vorliegenden Datenstichprobe aus den 1,6 Millionen abgegriffen Sätzen gehe nicht hervor, dass es "sich um private Nutzerdaten handelt".

Der Chef der VZ-Netzwerke, Clemens Riedl, zeigte sich Strankowski gegenüber "dankbar, dass er uns auf das Defizit aufmerksam gemacht hat". "Entscheidend ist, dass es sich hierbei weder um ein Datenleck noch um einen Angriff auf unsere Server handelt, sondern vielmehr um einen Verstoß gegen unsere AGB." Der Kopierschutz von öffentlich zugänglichen Daten werde "immer ein Katz-und-Maus-Spiel bleiben, deshalb sind wir für jeden Hinweis unserer Nutzer dankbar". Weiter erklärte das Unternehmen: "Wir haben Maßnahmen ergriffen und den Sicherheitsstandard auf diesen Aspekt hin, das maschinelle Auslesen von Daten- über mehrere hunderte beziehungsweise tausende Accounts, optimiert." Kritik am Verhalten der VZ-Netzwerke übte allerdings der Bundesverband der Verbraucherzentralen (vzbv). "Da wird offenbar nach wie vor nicht genügend für die Datensicherheit getan", sagte der Referent des vzbv-Projekts "Verbraucherrecht in der digitalen Welt", Falk Lüke. "Wir gehen allerdings davon aus, dass SchülerVZ nicht die einzige Plattform ist, bei der eine solche Attacke möglich ist."

AFP/san / AFP
Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.