Datenleck beim StudiVZ? [Update]

Das soziale Netzwerk StudiVZ ist wegen angeblicher Sicherheitslücken in die Kritik geraten: Mit einfachen Tricks kann man Informationen der Mitglieder abrufen, auch wenn diese nur für die Freunde sichtbar sein sollen. Die Firma versucht zwischenzeitlich die Wogen zu glätten: Die abrufbaren Daten seien gar nicht geheim.

StudiVZ ist ein auf Studenten spezialisiertes soziales Netzwerk, das in den letzten Monaten zu großer Popularität gelangte, aber auch wegen ziemlich seltsamer Aktionen der Betreiber, die Blogbar dokumentierte, in die Kritik geriet. In der vergangenen Woche konnte das Unternehmen mit Sitz in Berlin den millionsten Account feiern. Hier können Studenten ihre Kontakte pflegen, Fotoalben anlegen und miteinander kommunizieren.

Die jetzt veröffentlichte Lücke wirft jedoch ein schlechtes Licht auf die Sicherheitsmaßnahmen bei Deutschlands größtem Studentennetzwerk. Wie der Paderborner Blogger Jörg-Olaf Schäfers berichtet, lassen sich auch die explizit als nicht öffentlich gekennzeichneten Profildaten der StudiVZ-Mitglieder abrufen. Es genügt eine leichte Änderung der URL des gesperrten Profils, um auf Freundeslisten, Gästebücher und andere Daten zugreifen. Bei eigenen Tests konnte heise online diese Sicherheitslücke bestätigen; es wird lediglich ein StudiVZ-Account benötigt, um auf die Daten zuzugreifen.

"Die Methode ist derart simpel, dass ich zunächst gar nicht wahrhaben wollte, wie fahrlässig StudiVZ mit den Daten seiner User umgeht", erklärt Schäfers auf Anfrage von heise online. Über einen Kommentar bei Blogbar war er auf die Lücke gestoßen und hat sie ohne genaue Details veröffentlicht. Die Anleitung zum Umgehen der Sperre wurde aber bereits in mehreren Kommentaren verschiedener Weblogs veröffentlicht. Auf Anfrage von heise online dementiert StudiVZ eine Sicherheitslücke: "Nur die eigenen Freunde können geschützte Profildaten zum Beispiel die Kontaktdaten (Adresse, Telefon, Handy) oder persönliches wie Beziehungsstatus, Musikgeschmack oder Lieblingsfilme einsehen. Allgemeine Daten wie beispielsweise Name, Foto, Uni, Pinnwand (Gästebuch) und die Freunde sind für alle Nutzer sichtbar", teilt das Unternehmen mit.

Ob diese Unterteilung in öffentliche und private Daten den Erwartungen der Nutzer entspricht, bleibt offen. Über die Privatsphären-Einstellung können die Nutzer lediglich die Option "Wer darf meine Seite sehen?" einstellen, Erläuterungen welche Zugriffe dadurch eingeschränkt sind, fehlen. Auf den eingeschränkt sichtbaren Profilseiten fehlen allerdings auch die Links zu den nach Aussage von StudiVZ öffentlichen Informationen. StudiVZ-Nutzer kommen so fast zwangsläufig zu der Auffassung, dass die Kontakte zu anderen StudiVZ-Mitgliedern ebenfalls nur für den eigenen Freundeskreis abrufbar sind. In den FAQ heißt es dazu: "Also wenn du schüchtern bist, oder keine Süßigkeiten von Fremden nimmst, kannst du deine Seite unter 'Privatsphäre' so einstellen, dass nur noch Freunde sie sehen können. Jeder fremde Besucher kann dann nur noch dein Foto und den Namen sehen, aber keine der genaueren Infos. Wenn man auf deine Seite klickt, sieht man noch immer deinen Namen und dein Foto. Alle anderen Infos bleiben aber versteckt, also keine Sorge!" Wie sich jetzt herausgestellt hat, sind jedoch bedeutend mehr Daten als nur das Foto und der Namen verfügbar.

Die Profil-Lücke ist nicht die einzige, für die das Unternehmen in die Kritik geraten ist. Am Wochenende hatte schon das Blog Get Privacy eine ähnliche Lücke dokumentiert: So seien sämtliche Bilder, die bei StudiVZ hochgeladen werden, für jedermann einsehbar. Mit einem Blogeintrag versuchte das Startup StudiVZ seine Kundschaft am heutigen Dienstagmorgen zu beruhigen: Unter der Überschrift "Sicherheitsbedenken sind unbegründet" schildert der Datenschutzbeauftragte Manfred Friedrich, einige Sicherheitsmaßnahmen seines Unternehmens und bezeichnet Vorwürfe von Kritikern als falsch. Die Nachrichten über die Lücke würden nur verbreitet, um StudiVZ zu schaden.

Friedrich schreibt im Blog, dass man wegen der Verschlüsselung von Bild- und Albumcode nicht zielgerichtet auf ein Bild zugreifen könne. "Da die Methode als sehr sicher gilt, wird sie auch von vielen noch größeren Webseiten wie Flickr oder eBay benützt. Wie gesagt, ist es nahezu unmöglich, die URL zu erraten. Anzeigen kann ich ein Bild also nur dann, wenn mir irgendjemand die URL mitteilt, der Zugriff auf das Album hat und die URL aus dem Quelltext der Seite kopiert."

Get-Privacy-Blogger Christian Sickendieck lässt diesen Einwand nicht gelten: "Ich kann in zwei Minuten einen Fake-Account anlegen und so Zugang zu allen Daten bekommen." Dem hält Studivz auf Anfrage von heise Online entgegen: "Es gibt die Möglichkeit, Fotoalben anzulegen, die nur von Freunden gesehen werden können. Das Album wird dann nur bestätigten Freunden innerhalb von studiVZ angezeigt. Nicht-Freunde sehen keine Hinweise auf die Existenz eines solchen Albums und der darin enthaltenen Bilder."

Mit der freien Verfügbarkeit der Bilder steht StudiVZ aber nicht alleine in der Kritik. Blogger berichten von einer ähnlichen Lücke bei der US-Studentenbörse Facebook, die als Vorbild für StudiVZ gilt.

[Update]:
Inzwischen hat StudiVZ offenbar nachgebessert. Bei geschlossenen Profilen wurde der Link zu den Freundeslisten hinzugefügt, die nun offiziell für jeden Teilnehmer zugänglich sind. Bei der Pinnwand entschied man sich für die gegenteilige Lösung: Obwohl StudiVZ die Gästebücher am Dienstag gegenüber heise online zum Allgemeingut erklärte, kann man am heutigen Mittwoch nicht mehr ohne weiteres auf die Gästebücher geschlossener Profile zugreifen. (Torsten Kleinz) / (jk)