Sicherheitslücke 1,6 Millionen SchülerVZ-Daten ausgelesen


Das beliebte soziale Netzwerk SchülerVZ hat offenbar ein neues Sicherheitsproblem: Ein Lüneburger Wissenschaftler sagt, er habe 1,6 Millionen Datensätze minderjähriger Nutzer auslesen können, darunter auch private Daten. Laut der VZ-Netzwerke gibt es aber kein Datenleck.

Das Online-Netzwerk SchülerVZ hat offenbar erneut mit einem Datenleck zu kämpfen: Ein Computerexperte griff einem Bericht der Blogs Netzpolitik.org zufolge 1,6 Millionen Datensätze von überwiegend minderjährigen Schülern ab. Dies entspreche rund 30 Prozent aller Nutzerprofile des Netzwerks. Ein Sprecher des Unternehmens wies die Angaben gegenüber "Spiegel Online" zurück und sagte, aus der vorliegenden Stichprobe der abgegriffenen Daten gehe "nicht hervor, dass es sich um private Nutzerdaten handelt".

Bei sozialen Netzwerken können Nutzer ein eigenes Profil anlegen und sich mit Freunden und Bekannten vernetzen. Auch können sie auf den Internetportalen etwa Fotos, Videos oder persönliche Informationen veröffentlichen. Laut Netzpolitik.org enthalten die nun aufgetauchten SchülerVZ-Datensätze Basisinformationen der Nutzer wie Name, Schule und einen Link zu dem Bild des Angemeldeten. Viele der Schüler hätten jedoch bei ihrem Profil nicht die Option "privat" eingestellt. In diesem Fall seien auch Angaben wie Alter, Geschlecht, Klasse, Hobbys, Beziehungsstatus, politische Einstellung sowie Angaben zu Lieblingsfächern, -büchern und -bands abgegriffen worden.

In der Vergangenheit war SchülerVZ wiederholt in die Kritik von Daten- und Verbraucherschützern geraten, weil Daten aus dem Netzwerk in Umlauf gekommen waren. Der Verbraucherzentrale-Bundesverband teilte etwa im vergangenen Oktober mit, ihm seien durch Netzpolitik.org 100.000 Datensätze von Mitgliedern des Netzwerks übergeben worden, darunter ebenfalls sensible personenbezogene Daten. Im März hatte SchülerVZ jedoch bei einer Bewertung der Stiftung Warentest eine gute Bewertung für den Datenschutz erhalten.

Mitarbeiter der Uni Lünburg

Urheber der Aktion ist Florian Strankowski von der Leuphana Universität in Lüneburg. Um an die die Daten zu gelangen, habe er einen so genannten Crawler namens "LenaML" programmiert, eine Software, die vollautomatisch große Datenmengen durchsucht und sammelt. Im Interview mit Netzpolitik.org erläutert er, wie er über fast 800 automatisch angelegte Zugangskonten die Obergrenze für erlaubte Datenabfragen pro Profil umgangen und dann automatisch rund neun Schüler-Profile pro Sekunde abgegrast hat. Dabei seien auch Informationen zum Vorschein gekommen, die von den Nutzern eigentlich auf "privat" gestellt worden waren und damit für Unbefugte nicht einsehbar sein sollten. Doch die meisten Mitglieder sind in Gruppen organisiert. "In Gruppen sind Profile sichtbar, obwohl sie privat sind, auf Bildverlinkungen stehen die Namen von Profilen, welche auch privat sind", so Strankowski gegenüber Netzpolitik.org. Die in diesen Fällen abrufbaren Basisinformationen enthalten Name des Schülers, Name der Schule und deren ID-Nummer sowie Links zu Bildern.

Strankowski sagte, er habe zeigen wollen, dass SchülerVZ weder seinen Datenschutz verbessert habe, noch positive Bewertungen des Netzwerks in dieser Hinsicht berechtigt seien. Zudem habe SchülerVZ nicht auf Hinweise bezüglich des Datenlecks regiert. "In zwei Mails habe ich in den vergangenen Wochen die VZ-Gruppe auf Sicherheitslücken hingewiesen und meine Hilfe angeboten", sagte der Urheber der Aktion Netzpolitik.org. "Auf beide Mails habe ich keine Reaktion erhalten."

Ein SchülerVZ-Sprecher wies gegenüber "Spiegel Online" den Vorwurf eines Datenlecks zurück: Ein angemeldeter Nutzer habe für alle SchülerVZ-Mitglieder einsehbare Informationen kopiert. Es handle sich "explizit nicht um ein Datenleck". Aus der SchülerVZ vorliegenden Datenstichprobe aus den 1,6 Millionen abgegriffen Sätzen gehe nicht hervor, dass es "sich um private Nutzerdaten handelt".

Der Chef der VZ-Netzwerke, Clemens Riedl, zeigte sich Strankowski gegenüber "dankbar, dass er uns auf das Defizit aufmerksam gemacht hat". "Entscheidend ist, dass es sich hierbei weder um ein Datenleck noch um einen Angriff auf unsere Server handelt, sondern vielmehr um einen Verstoß gegen unsere AGB." Der Kopierschutz von öffentlich zugänglichen Daten werde "immer ein Katz-und-Maus-Spiel bleiben, deshalb sind wir für jeden Hinweis unserer Nutzer dankbar". Weiter erklärte das Unternehmen: "Wir haben Maßnahmen ergriffen und den Sicherheitsstandard auf diesen Aspekt hin, das maschinelle Auslesen von Daten- über mehrere hunderte beziehungsweise tausende Accounts, optimiert." Kritik am Verhalten der VZ-Netzwerke übte allerdings der Bundesverband der Verbraucherzentralen (vzbv). "Da wird offenbar nach wie vor nicht genügend für die Datensicherheit getan", sagte der Referent des vzbv-Projekts "Verbraucherrecht in der digitalen Welt", Falk Lüke. "Wir gehen allerdings davon aus, dass SchülerVZ nicht die einzige Plattform ist, bei der eine solche Attacke möglich ist."

AFP/san AFP

Mehr zum Thema


Wissenscommunity


Newsticker