Updates siehe unten! Glaubt man den Worten der VZ-Gruppe, so lässt sich ein ziemlich einfacher Schluss ziehen: SchülerVZ ist nicht sicher. Der jüngste Datenskandal ist noch nicht lange her: Vor rund einer Woche waren über 1,6 Millionen Datensätze von VZ-Mitgliedern aufgetaucht – irgendein Crawler-Depp hatte es geschafft, die Daten automatisiert auszulesen. Dann hatte er nichts Besseres zu tun, als ins Berliner VZ-Hauptquartier zu stiefeln und „Dies ist eine Erpressung!“ (oder Ähnliches) zu rufen. Doch anstatt der geforderten 80.000 Euro bekam er erst einmal einen Schnupperurlaub in der Untersuchungshaft.
VZ war bemüht gewesen, das Ganze herunterzuspielen und hier kommen wir auf die eigenen Worte zurück: „Ist das VZ überhaut noch sicher?“ fragt sich der Betreiber in den FAQs des Blogs, um dann selbst die Antwort zu geben: „Ja das VZ ist sicher. Der Täter konnte die Privatsphäre nicht überwinden, hatte nie Zugang zu unserer Datenbank. Er hat lediglich Daten gesehen, die jeder andere registrierte Nutzer auch sehen kann, das aber leider automatisiert.“ Das war sogar die Wahrheit, jedenfalls damals.
Denn nun ist abermals ein neues Datenleck aufgetaucht, insgesamt 180.000 Datensätze wurden Netzpolitik.org zugespielt. Darin enthalten: die ID-Nummern, Geburtsdaten und das Geschlecht von VZ-Mitgliedern. Das Heikle daran ist, dass diese Daten eindeutig nicht nur von öffentlichen Profilen stammen, sondern auch von solchen, die nur für Freunde freigegeben waren. Demnach wären die Tipps des VZ-Erklärbärs reiner Mumpitz und völlig sinnlos. Der Informant von Netzpolitik.org gab an, dass die Auswahl der geleechten Daten rein zufällig war:
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
Manager Digital Marketing / Social Media B2B (m/w/d) BRITA SE in Frankfurt (Main) |
||
Manager Digital Marketing / Social Media B2B (m/w/d) BRITA SE in Taunusstein |
Ihm ging es nur darum, die Sicherheitslücke zu dokumentieren. Daher die Konzentration auf Geburtsdatum und ID. Es war aber problemlos möglich, dazu noch von allen Schülern Schule, Wohnort, Beziehungsstatus, Foto und weitere Informationen zu ermitteln.
Netzpolitik.org konnte zudem an den Quellcode des Programms gelangen, das für das Sammeln der Daten eingesetzt wurde.
Mittlerweile wurden die Daten durch Stichproben verifiziert und danach dem Bundesverband Verbraucherzentrale übergeben. Dieser hat bereits mit einer Pressemitteilung reagiert und umgehend den Berliner Datenschutzbeauftragten informiert.
Es wird nicht ausgeschlossen, dass nicht nur SchülerVZ, sondern sämtliche VZ-Portale von der Sicherheitslücke betroffen sind. Mit dementsprechend harschen Töne wenden sich nun die Verbraucherschützer an die VZler: „Statt zu versprechen, dass ihre Daten gut aufgehoben sind, müssen die Anbieter die technisch höchste Sicherheit bieten – wenn nötig auch zu Lasten des Nutzerkomforts.“ Wenn Sicherheitsrisiken verschwiegen werden, hätten Schüler (oder ihre Eltern) keine Möglichkeit, eine gescheite Entscheidung zu treffen, inwieweit sie sich mit ihren persönlichen Daten im Portal aus dem Fenster lehnen können.
Die VZ-Netzwerke haben auf die Vorwürfe noch nicht reagiert. Ich rechne damit, dass in den kommenden Stunden jedoch einiges im offiziellen Blog zu lesen sein wird.
1. Update, 10.14 Uhr
Netzpolitik.org hat gerade ein Update veröffentlicht. Demnach hat sich mittlerweile die VZ-Gruppe zu Wort gemeldet: Nach eigenen Angaben sei die angesprochene Lücke Ende Juli geschlossen worden. Die Liste mit den 180.000 Datensätzen wurde einen Monat vorher erstellt: „Das ändert aber nichts an der Geschichte, dass bis dahin auch privat gestellte Daten massenhaft aus der Plattform gesaugt werden konnten“, so das Blog. Ich habe gerade eine schriftliche Anfrage bei den VZ-Netzwerken gestellt, damit wir ein wenig Licht in die Sache bekommen. Ich rechne auch damit, dass sich die Verbraucherzentrale in Kürze melden wird. Mittlerweile ist auch die dpa auf das Thema angesprungen.
2. Update, 13.00 Uhr
Die VZ-Stellungnahme ist da. Im gleichen Wortlaut ist sie nun auch im Blog zu finden. Der Betreiber wird künftig die Suche nach Alter und Geschlecht deaktivieren, zudem werden in den kommenden Stunden sämtliche Mitglieder-IDs ausgetauscht:
Der Verbraucherzentrale Bundesverband (vzbv) hat heute in einer Pressemitteilung bekannt gegeben, dass ihm Datensätze aus schülerVZ zugespielt worden sind. Wie der Verband mitteilte, seien personenbezogene Daten auch solcher Nutzer enthalten, die ihre Daten nur für Freunde sichtbar eingestellt haben.
Dieser Datensatz liegt uns inzwischen vor und wurde bereits überprüft. Es handelt sich hierbei um einen älteren Datensatz mit Informationen zu Geburtsdaten und Geschlecht. Die Sicherheitslücke, die das Abrufen dieser Information möglich machte, wurde bereits Ende Juli 2009 behoben. Zudem stehen wir in einem engen Kontakt und Austausch mit dem vzbv und dem Berliner Datenschutzbeauftragten.
Darüber hinaus haben wir bei einer internen Prüfung festgestellt, dass die Einstellmöglichkeiten bzgl. der Suchbarkeit nach Geburtsdaten missverstanden werden können. Diese missverständlichen Einstellmöglichkeiten werden wir im Laufe des Tages beheben. Zusätzlich werden wir auch die Suche nach Geburtsdatum und Alter komplett deaktivieren.
Im Zuge einer weiteren Verschärfung unserer Sicherheitsmaßnahmen werden wir auch in den nächsten 24 Stunden die Nutzer IDs neu setzen. Hierdurch kann es zu temporären Einschränkungen für unsere Nutzer kommen.
(André Vatter)
[…] Dieser Eintrag wurde auf Twitter von Basic Thinking, TransAlchemy erwähnt. TransAlchemy sagte: Auch private Daten sind bei SchülerVZ nicht sicher (Update): Update siehe unten! Glaubt man den Worten der VZ-G.. http://bit.ly/o2Tqo […]
Es ist das gleiche Spiel wie damals mit Ehssan Dariani, es ist eigentlich gar nichts passiert und der Rede nicht Wert aber man denkt das man darüber berichten muss. Und genau das ist die Strategie der VZler, kostenlose PR. Und alle fallen drauf rein!
[…] Auch private Daten sind bei SchülerVZ nicht sicher (Update … […]
@schnucki:
kostenlose PR?! Dann ist das aber keine positive PR! Ich überlege wirklich mich im VZ zu löschen. Bei der großen Auswahl an weiteren Social Networks, fällt es einem nicht umbedingt schwer sich von einem „kränkelnden“ mit Datenmissbrauchen versehenem System zu verabschieden.
Es gibt keine schlechte PR 😉
schlechte PR ist trotzdem PR 😉
Lese Basicthinking wirklich gern, aber bitte auf die Sprache aufpassen „VZ war bemüht gewesen“ ist leider die falsche Zeit (auch wenn der Berliner das so sagt).
Ich weiß nicht, ob der Satz „Bad news are good news“ auch hier gilt, wenn ich permanent aus meinem Freundeskreis höre: „ab morgen nur noch im Facebook!“ Auch ich selbst hab meine Aktivität bei studi deutlich zurückgefahren, das Profil minimiert und vielen Infos rausgenommen…Auch die Lösch-Überlegungen sind da.
Aber mal eine andere Frage: was ist eigentlich das konkret Schlimme an Datenklau? Früher wars klar, warum Daten vor unbefugtem Zugriff geschützt werden müßen: Kinderschänder könnten sich sonst die Daten auslesen und so weiter. Halt so die Kindheitsgeschichten, die wohl jeder kennt.
Aber der massenhafte Datenklau, sagen wir mal ohne Anschrift und Telefonnummer, weil das eh kaum jemand nennt, schadet dem Nutzer ja an sich nicht…Er ist dann nicht erreichbar für werbende Unternehmen. Wenn die Crawler die e-Mail-Addy auslesen könnten – ok. Aber so? Was meint ihr?
na ja, ich weiß ja nicht, ob viele deswegen jetzt bei SchülerVZ unbedingt einen Account erstellen möchten 😛
Na man muss ja nicht alle Daten ins internet (VZ oder facebook) stellen… einfach mal seinen Darstellungsdrang etwas zurück fahren und die Plattformen nur noch als Kommunikationsmittel nutzen.
Und facebook is vielleicht schicker und vielfältiger… aber deren Datenschutzbetimmungen sind nicht mit denen hier in Deutschland zu vergleichen.
Die bei VZ machen sich schon nen Kopp um Datensicherheit, alleine aus eigenem Interesse! Und es muss auch ne echte Herausforderung sein eine populäre Seite wie Schüler/Studi VZ vor den ganzen abertausend Skript-Kiddies zu schützen 😉
also, einfach nur die Daten und Infos preisgeben die man auch sonst publik machen würde. dann gibts auch kein geheule
Das 2. Update ist da… s.o.
@Fabian : Ein Skriptkiddie soll die Captchas überwunden haben? Stelle ich aber ganz groß in Frage.
@weau
keine Ahnung wie das geht. Ist aber nicht unwahrscheinlich, dass diejenigen die die Captchas überwunden haben selber noch (reguläre) Nutzer von SchülerVZ sind, meinst Du nicht?
Ich glaube VZ-Netzwerke sind einfach ein grosses fettes und sehr beliebtes Ziel für solche „Angriffe“.
[…] scheint kein Tag zu vergehen, an dem nicht über irgendwelche Datenlecks im Netz berichtet wird. Oder eben, wie man locker an vermeintlich sicher geschützte Daten […]
Irre die VZ Leute lernen es auch nicht. Ich erinnere nur an die gute alte Geschichte mit dem angeblichen Hack des CCC…
[…] wieder Skandale, immer wieder Datenlecks, immer wieder irgendwelche persönlichen Informationen von Mitarbeitern, Kunden und Nutzern, […]
[…] Stagnation zu erklären. Seien wir ehrlich, auch die VZ-Netzwerke haben es in der Vergangenheit nicht immer so mit der Privatsphäre der Nutzer gehalten, wie es vielleicht nötig gewesen wäre. Die Forderungen der Verbraucherzentrale hat man […]
Ich glaube das S-VZ nocht das sicherste Netzwerk ist. Um genau zu sein glaube ich das es allgemein keine Sicheren Neztwerke gibt, da jedes Netzwerk irgendwie geknackt werden kann. Daran werden auch die zukünftigen updates nichts ändern.