Netzpolitik.org berichtet von einem neuen Datenleck bei SchülerVZ. Dem Blog wurden nach eigenen Angaben rund 1,6 Millionen aktuelle Datensätze der dort aktiven, meist minderjährigen Mitglieder zugespielt, die den Namen, die Schul-ID und das Profilbild enthalten. Nicht als „privat“ markierte Profile enthalten sogar alle Angaben, die Nutzer auf ihrer SchülerVZ-Seite gemacht haben.
Gesammelt hat die Daten der Student Florian Strankowski von der Leuphana-Universität Lüneburg mithilfe eines von ihm geschriebenen Crawlers. Wie er im Interview mit Netzpolitik.org sagt, wollte er damit zeigen, dass die VZ-Gruppe nach den Datenskandalen im Herbst letzten Jahres entgegen ihren Beteuerungen nichts unternommen habe, um die Daten ihrer Nutzer effektiv zu schützen.
Zudem habe er darauf hinweisen wollen, dass das im Januar 2010 vom TÜV Süd ausgestellte Zertifikat „zwar schön aussehe“, aber im Endeffekt keine Garantie für ausreichende Sicherheit sei.
Nachdem Hacker im Oktober 2009 Millionen von SchülerVZ-Profilen kopiert und ins Netz gestellt hatten, versprachen die Betreiber neue Sicherheitsfunktionen wie eine Begrenzung der Profilabrufe, ein Suchanfragenschutz und reCaptchas. Letztere wurden jedoch wieder entfernt, vermutlich weil sich viele Nutzer dadurch gestört fühlten. Wie der aktuelle Fall zeigt, funktionieren die damals angewandten Kopiermethoden auch heute noch.
Das von der Holtzbrinck-Gruppe betriebene Schüler-Netzwerk will von einem Datenleck jedoch nichts wissen. „Ein Nutzer hat für alle SchülerVZ-Mitglieder einsehbare Profilinformationen im eingeloggten Zustand kopiert. Es handelt sich explizit nicht um ein Datenleck“, sagte SchülerVZ-Sprecher Dirk Hensen Spiegel Online. Der junge Wissenschaftler habe hunderte künstliche E-Mail-Accounts verwendet, um den Kopierschutz von öffentlichen Daten zu umgehen. Dieses Crawling sei „in etwa vergleichbar mit dem Kopieren von Daten aus dem Telefonbuch“. Bisher liege SchülerVZ nur ein sehr kleiner Auszug der gesammelten Daten vor, aus dem nicht hervorgehe, „dass es sich um private Nutzerdaten handelt“.
Bevor er sich an Netzpolitik.org wendete, um „ein Sprachrohr zu finden“, hatte Strankowski nach eigener Aussage zweimal versucht, Kontakt mit SchülerVZ aufzunehmen. In zwei E-Mails habe er die VZ-Gruppe auf Sicherheitslücken hingewiesen und seine Hilfe angeboten. Eine Reaktion sei jedoch ausgeblieben.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…