Netzpolitik.org berichtet von einem neuen Datenleck bei SchülerVZ. Dem Blog wurden nach eigenen Angaben rund 1,6 Millionen aktuelle Datensätze der dort aktiven, meist minderjährigen Mitglieder zugespielt, die den Namen, die Schul-ID und das Profilbild enthalten. Nicht als „privat“ markierte Profile enthalten sogar alle Angaben, die Nutzer auf ihrer SchülerVZ-Seite gemacht haben.
Gesammelt hat die Daten der Student Florian Strankowski von der Leuphana-Universität Lüneburg mithilfe eines von ihm geschriebenen Crawlers. Wie er im Interview mit Netzpolitik.org sagt, wollte er damit zeigen, dass die VZ-Gruppe nach den Datenskandalen im Herbst letzten Jahres entgegen ihren Beteuerungen nichts unternommen habe, um die Daten ihrer Nutzer effektiv zu schützen.
Zudem habe er darauf hinweisen wollen, dass das im Januar 2010 vom TÜV Süd ausgestellte Zertifikat „zwar schön aussehe“, aber im Endeffekt keine Garantie für ausreichende Sicherheit sei.
Nachdem Hacker im Oktober 2009 Millionen von SchülerVZ-Profilen kopiert und ins Netz gestellt hatten, versprachen die Betreiber neue Sicherheitsfunktionen wie eine Begrenzung der Profilabrufe, ein Suchanfragenschutz und reCaptchas. Letztere wurden jedoch wieder entfernt, vermutlich weil sich viele Nutzer dadurch gestört fühlten. Wie der aktuelle Fall zeigt, funktionieren die damals angewandten Kopiermethoden auch heute noch.
Das von der Holtzbrinck-Gruppe betriebene Schüler-Netzwerk will von einem Datenleck jedoch nichts wissen. „Ein Nutzer hat für alle SchülerVZ-Mitglieder einsehbare Profilinformationen im eingeloggten Zustand kopiert. Es handelt sich explizit nicht um ein Datenleck“, sagte SchülerVZ-Sprecher Dirk Hensen Spiegel Online. Der junge Wissenschaftler habe hunderte künstliche E-Mail-Accounts verwendet, um den Kopierschutz von öffentlichen Daten zu umgehen. Dieses Crawling sei „in etwa vergleichbar mit dem Kopieren von Daten aus dem Telefonbuch“. Bisher liege SchülerVZ nur ein sehr kleiner Auszug der gesammelten Daten vor, aus dem nicht hervorgehe, „dass es sich um private Nutzerdaten handelt“.
Bevor er sich an Netzpolitik.org wendete, um „ein Sprachrohr zu finden“, hatte Strankowski nach eigener Aussage zweimal versucht, Kontakt mit SchülerVZ aufzunehmen. In zwei E-Mails habe er die VZ-Gruppe auf Sicherheitslücken hingewiesen und seine Hilfe angeboten. Eine Reaktion sei jedoch ausgeblieben.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…