Und schon wieder gibt es negative News im Hause VZnet Netzwerke. Letzten Freitag wurde die Mitteilung öffentlich, dass viele schülerVZ-Datensätze im Internet ungesichert umherwandern. Ein Teil der Listen (welche jedes über eine Millionen Datensätze fassen kann) wurde dem Netzaktivisten und Blogbetreiber Markus Beckedahl von der Webseite netzpolitik.org zugesendet.

Der ganze Vorfall erinnert an der Datenpanne im Jahr 2006, wo ein Student im Partnernetzwerk studivz die gleiche Menge an Daten ausgelesen hatte. Jedoch kann ich euch sagen, dass eure Passwörter nicht gespeichert wurden, sondern nur Daten, welche öffentlich in den Profilen einsehbar sind – Zum Glück sage ich nur! 😉

Die Frage die sich jetzt bestimmt einige stellen werden: “Wo war die Sicherheitslücke?”. So Pauschal kann man die Frage jedoch nicht beantworten. Die Benutzerprofile wurden mit so genannten Crawlern und Harvestern durchsucht und ausgewertet. Diese erstellen nach den angegebenen Daten Listen und ganze Datenbanken. Hierzu haben sich die verschiedenen VZ’s etwas einfallen lassen: Captcha. Jeder der wie ich mit Webseitenprogrammierung zu tun hat kennt diese Sicherheitsfragen bestimmt. Diese sollen davor schützen, dass in kurzer Zeit viele verschiedene Profile aufgerufen werden.

Als Antwort auf die vielen Vorwürfe welche schülerVZ nun gemacht werden, den jungen Mitgliedern keinen Datenschutz zu bieten, hat dieser sich mit einer Stellungnahme auf dem eigenen Blog geäußert:

» Der Täter hat einen Crawler geschrieben, der sich mit normalen Nutzer Logindaten in die Community einloggt und die angezeigten Daten abgreift. Die bestehenden Sicherheitsmechanismen in Formularen und insbesondere in Form von Captchas wurden dabei geknackt.
» Der Täter behauptet weiterhin, auch meinVZ und studiVZ Daten gesammelt zu haben. Diese wurden nicht veröffentlicht. Wir versuchen mit allen Mitteln die Veröffentlichung dieser Daten zu verhindern.
» Der Täter hat die Daten weiter konkretisiert: es handelt sich wie bisher angegeben, um für alle Nutzer der Netzwerke einsehbare Daten. Jeder Nutzer in den VZs kann einstellen, welche Daten “von allen” einsehbar sein sollen und nur solche Daten konnte der Täter sehen und sammeln. Alle Schutzmaßnahmen zur Privatsphäre haben gegriffen und wurden explizit NICHT geknackt.

Angesichts der Kommentare und Meldungen an verschiedenen Stellen, wollen wir gerne auch noch einmal die rechtliche Relevanz über die Verletzung unserer AGBS hinaus beleuchten:
Das Crawlen eines Netzwerks unter Umgehung von Zugangssperren (Captchas) ist illegal. Zudem verletzt das Crawlen und das Veröffentlichen der gecrawlten Informationen Datenschutzrecht. Wir wollen genauso aber auch darauf hinweisen, dass der Täter die Rechte eines jeden einzelnen Nutzers verletzt hat.

Der Täter hat sich auch nun bei VZnet Netzwerke Ltd. gemeldet und angekündigt, weitere Daten von den anderen VZ’s zu veröffentlichen. “Wir versuchen mit allen Mitteln die Veröffentlichung dieser Daten zu verhindern” heißt es von Seitens VZnet.

Wie es nun bei diesem Datenklau weitergeht und ob sich VZnet etwas mehr für die Datensicherheit einsetzt (Wie die neue Kampagne “Deine Daten gehören Dir!” behauptet) bleibt bisher noch ein Rätsel. Ich halte euch jedoch auf dem laufenden. 😉

Tweet