SchülerVZ-Datenlecks: auch geschützte Informationen ausgespäht

Wie das Blog netzpolitik.org berichtet, waren die Datenschutzprobleme bei SchülerVZ größer als bislang bekannt. So gab es neben den zwei Fällen von Datenspionage, die bisher bekannt wurden, noch einen dritten. Dessen Urheber, der nach eigenen Angaben mit seinem Vorgehen nur auf Sicherheitslücken aufmerksam machen wollte, beschreibt in einem Interview , wie er das alte Captcha-System von SchülerVZ aushebelte.

Ein weiteres Posting erläutert, wie der Programmierer die Super-Suchfunktion des Dienstes benutzt hat, um an Informationen geschützter Profile zu gelangen. So hat er massenhaft gezielte Suchen nach Mitgliedern mit bestimmten Geburtstagen, politischen Einstellungen, Beziehungsstatus et cetera abgesetzt und die Treffer in einer eigenen Datenbank abgeglichen. So konnte er Stück für Stück Datensätze mit Informationen zusammentragen, die Mitglieder des Netzwerkes eigentlich nur Freunden zugänglich gemacht haben, nicht aber der allgemeinen Öffentlichkeit.

netzpolitik.org hat 118.000 Datensätze von Berliner Schülern und deren Geburtsdaten zur Klärung an den Bundesverband Verbraucherzentrale (vzbv) und an den Berliner Landesdatenschutzbeauftragten übergeben. Der vzbv fordert in einer Presseerklärung die Anbieter sozialer Netzwerke auf, mehr für den Datenschutz zu unternehmen. "Statt zu versprechen, dass ihre Daten gut aufgehoben sind, müssen die Anbieter die technisch höchste Sicherheit bieten – wenn nötig auch zu Lasten des Nutzerkomforts", erklärte VZBV-Vorstand Gerd Billen.

Der Betreiber von SchülerVZ, VZnet, hat mittlerweile nach eigenen Angaben Schritte unternommen, die das massenhafte Auslesen von Teilnehmerdaten erschweren sollen. Laut einer allgemeinen Stellungnahme hat das Unternehmen zudem festgestellt, dass "die Einstellmöglichkeiten bezüglich der Suchbarkeit nach Geburtsdaten missverstanden werden können". Diese missverständlichen Einstellmöglichkeiten will das Unternehmen im Laufe des Tages beheben, zusätzlich die Suche nach Geburtsdatum und Alter deaktivieren. Im Zuge einer weiteren Verschärfung der Sicherheitsmaßnahmen will VZnet in den nächsten 24 Stunden auch die Nutzer-IDs neu setzen. Hierdurch soll es zu temporären Einschränkungen für die Nutzer kommen können.

Alles in allem erscheint die Nachrichtenpolitik von VZnet alles andere als vertrauenserweckend. Das interne Blog klartext und das externe VZ Blog berichten nur sehr knapp über den neuerlichen Datenmissbrauch. Der Redaktion sind zudem keine Plänen bekannt, die einzelnen Mitglieder direkt zu informieren, deren Daten gestohlen wurden. Anfragen an VZnet dazu und auch zu Details der anderen Datenpannen sind bislang nur mit allgemeinen Informationen abgespeist worden. (jo)