Netzpolitik.org berichtet von einem neuen Datenleck bei SchülerVZ. Dem Blog wurden nach eigenen Angaben rund 1,6 Millionen aktuelle Datensätze der dort aktiven, meist minderjährigen Mitglieder zugespielt, die den Namen, die Schul-ID und das Profilbild enthalten. Nicht als „privat“ markierte Profile enthalten sogar alle Angaben, die Nutzer auf ihrer SchülerVZ-Seite gemacht haben.

Gesammelt hat die Daten der Student Florian Strankowski von der Leuphana-Universität Lüneburg mithilfe eines von ihm geschriebenen Crawlers. Wie er im Interview mit Netzpolitik.org sagt, wollte er damit zeigen, dass die VZ-Gruppe nach den Datenskandalen im Herbst letzten Jahres entgegen ihren Beteuerungen nichts unternommen habe, um die Daten ihrer Nutzer effektiv zu schützen.

Zudem habe er darauf hinweisen wollen, dass das im Januar 2010 vom TÜV Süd ausgestellte Zertifikat „zwar schön aussehe“, aber im Endeffekt keine Garantie für ausreichende Sicherheit sei.

Nachdem Hacker im Oktober 2009 Millionen von SchülerVZ-Profilen kopiert und ins Netz gestellt hatten, versprachen die Betreiber neue Sicherheitsfunktionen wie eine Begrenzung der Profilabrufe, ein Suchanfragenschutz und reCaptchas. Letztere wurden jedoch wieder entfernt, vermutlich weil sich viele Nutzer dadurch gestört fühlten. Wie der aktuelle Fall zeigt, funktionieren die damals angewandten Kopiermethoden auch heute noch.

Das von der Holtzbrinck-Gruppe betriebene Schüler-Netzwerk will von einem Datenleck jedoch nichts wissen. „Ein Nutzer hat für alle SchülerVZ-Mitglieder einsehbare Profilinformationen im eingeloggten Zustand kopiert. Es handelt sich explizit nicht um ein Datenleck“, sagte SchülerVZ-Sprecher Dirk Hensen Spiegel Online. Der junge Wissenschaftler habe hunderte künstliche E-Mail-Accounts verwendet, um den Kopierschutz von öffentlichen Daten zu umgehen. Dieses Crawling sei „in etwa vergleichbar mit dem Kopieren von Daten aus dem Telefonbuch“. Bisher liege SchülerVZ nur ein sehr kleiner Auszug der gesammelten Daten vor, aus dem nicht hervorgehe, „dass es sich um private Nutzerdaten handelt“.

Bevor er sich an Netzpolitik.org wendete, um „ein Sprachrohr zu finden“, hatte Strankowski nach eigener Aussage zweimal versucht, Kontakt mit SchülerVZ aufzunehmen. In zwei E-Mails habe er die VZ-Gruppe auf Sicherheitslücken hingewiesen und seine Hilfe angeboten. Eine Reaktion sei jedoch ausgeblieben.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago