Aus anonymer Quelle wurden uns Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein Datensatz umfasst mehr als eine Million Datensätze mit den Feldern Profil-ID, Name und dazugehörige Schule samt ID. Ein kleinerer Datensatz zeigt detailliertere Informationen mit den Feldern Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild (Plus dazu gehörigem Link auf Bild) an.
Wir haben einige Datensätze verifiziert und die Personen bei SchülerVZ gefunden.
Mit den Listen lassen sich einfache Datenabfragen erstellen wie “alle Schüler aus Berlin”, oder “alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule”. Man kann sich vorstellen, dass diese Daten nicht aus den Datenbanken von SchülerVZ in einer solchen Größe ausgelesen werden dürfen.
Das weist darauf hin, dass SchülerVZ ein großes Sicherheitsloch hat und man aus den Erfahrungen mit StudiVZ vor drei Jahren nichts gelernt hat. Damals wurde bekannt, dass man auf ähnliche Weise aus der StudiVZ-Datenbank viele Informationen aus den Profilen auslesen konnte. Bei SchülerVZ ist das Problem noch größer: Hier handelt es sich um Kinder und Jugendliche, die einen besonderes Schutzraum brauchen.
Bei SchülerVZ gibt es einen Extrapunkt “Sicherheit”. Unter der viel versprechenden Überschrift “Darauf kannst du dich verlassen:” gibt es den Punkt:
Deine persönlichen Daten sind auf unseren Servern (den Speicherorten für diese Daten) bestmöglich geschützt. Sie können z.B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb vom schülerVZ auf.
Wir haben beim Bundesverband Verbraucherzentralen angefragt, was sie davon halten. Falk Lüke, der Referent für digitale Medien, erklärte gegenüber netzpolitik.org:
Die Betreiber sozialer Netzwerke sind in der Pflicht, Daten ihrer Mitglieder gegen unbefugten Zugriff zu schützen. Das aktuelle Beispiel zeigt, dass Benutzer sich nicht in Sicherheit wiegen lassen sollten: Netzwerke sind ein Teil des Internets und nicht von ihm getrennt. Und genau wie im Rest des Netzes gilt, dass nur solche Daten veröffentlicht werden sollten, bei denen man selbst kein Problem damit hätte, wenn diese am nächsten Tag auf einer Zeitungstitelseite stehen würden. Kinder können sich die Folgen allerdings oft noch nicht ausmalen.
Eine Anfrage an SchülerVZ zur Stellungnahme haben wir soeben raus geschickt.
Update: SchülerVZ hat jetzt eine kurze Meldung rausgegeben:
Wir haben am heutigen Nachmittag Kenntnis über folgenden Vorgang erhalten: Ein schülerVZ-Nutzer hat eine Vielzahl von Profilen aufgerufen und Kopien einzelner der für alle schülerVZ-Nutzer sichtbaren Daten angelegt: Name, Schule, Geschlecht, Alter, Profilfoto. Es handelt sich hierbei explizit nicht um Daten wie Postadressen, Email Adressen, Zugangsdaten, Telefonnummern und Fotoalben, sondern um für alle Community-Nutzer einsehbare Daten. Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen. Die VZ-Netzwerke haben die Datenschutzbehörden umgehend informiert und werden rechtliche Schritte gegen Unbekannt einleiten.
Ich hab nicht alle mir vorliegenden Daten verifiziert, sondern nur Samples. Ich gehe nicht davon aus, dass die Quelle sich die Daten manuell gezogen hat, wie der Blogeintrag suggeriert. Hier wurden wohl Scripte verwendet. Wäre schön, wenn SchülerVZ das korrigieren könnte. Ich habe sie darauf hingewiesen.
Übrigens haben wir seit Veröffentlichung zwei weitere Hinweise auf Sicherheitslecks bekommen.
Die erste ist interessant: Nach Angaben der Quelle wurde eine kritische Cross-Site-Scripting Lücke entdeckt, mit welcher es möglich ist, ganze Accounts zu übernehmen. Der Quelle zufolge wurde SchülerVZ vor einer Woche von der Lücke informiert, aber sie kann heute immer noch genutzt werden. Uns wurde ein Video-Screencast mitgeschickt, die die Lücke ausführlich beschreibt. Ist aber etwas nerdig und soviel Ahnung hab ich nicht von Javascript.
Die zweite kommt noch. Da wart eich noch auf weitere Infos.
Update: Ich hab ein fertiges Interview mit der ersten Quelle. Da dort noch weitere Sicherheitslücken angedeutet und beschrieben werden, hab ich den Text erstmal an die Technikabteilung von SchülerVZ geschickt, damit die etwas Vorlauf haben.
Quelle: Datenleck bei SchülerVZ : netzpolitik.org
Was haltet ihr davon? :S
Wir haben einige Datensätze verifiziert und die Personen bei SchülerVZ gefunden.
Mit den Listen lassen sich einfache Datenabfragen erstellen wie “alle Schüler aus Berlin”, oder “alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule”. Man kann sich vorstellen, dass diese Daten nicht aus den Datenbanken von SchülerVZ in einer solchen Größe ausgelesen werden dürfen.
Das weist darauf hin, dass SchülerVZ ein großes Sicherheitsloch hat und man aus den Erfahrungen mit StudiVZ vor drei Jahren nichts gelernt hat. Damals wurde bekannt, dass man auf ähnliche Weise aus der StudiVZ-Datenbank viele Informationen aus den Profilen auslesen konnte. Bei SchülerVZ ist das Problem noch größer: Hier handelt es sich um Kinder und Jugendliche, die einen besonderes Schutzraum brauchen.
Bei SchülerVZ gibt es einen Extrapunkt “Sicherheit”. Unter der viel versprechenden Überschrift “Darauf kannst du dich verlassen:” gibt es den Punkt:
Deine persönlichen Daten sind auf unseren Servern (den Speicherorten für diese Daten) bestmöglich geschützt. Sie können z.B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb vom schülerVZ auf.
Wir haben beim Bundesverband Verbraucherzentralen angefragt, was sie davon halten. Falk Lüke, der Referent für digitale Medien, erklärte gegenüber netzpolitik.org:
Die Betreiber sozialer Netzwerke sind in der Pflicht, Daten ihrer Mitglieder gegen unbefugten Zugriff zu schützen. Das aktuelle Beispiel zeigt, dass Benutzer sich nicht in Sicherheit wiegen lassen sollten: Netzwerke sind ein Teil des Internets und nicht von ihm getrennt. Und genau wie im Rest des Netzes gilt, dass nur solche Daten veröffentlicht werden sollten, bei denen man selbst kein Problem damit hätte, wenn diese am nächsten Tag auf einer Zeitungstitelseite stehen würden. Kinder können sich die Folgen allerdings oft noch nicht ausmalen.
Eine Anfrage an SchülerVZ zur Stellungnahme haben wir soeben raus geschickt.
Update: SchülerVZ hat jetzt eine kurze Meldung rausgegeben:
Wir haben am heutigen Nachmittag Kenntnis über folgenden Vorgang erhalten: Ein schülerVZ-Nutzer hat eine Vielzahl von Profilen aufgerufen und Kopien einzelner der für alle schülerVZ-Nutzer sichtbaren Daten angelegt: Name, Schule, Geschlecht, Alter, Profilfoto. Es handelt sich hierbei explizit nicht um Daten wie Postadressen, Email Adressen, Zugangsdaten, Telefonnummern und Fotoalben, sondern um für alle Community-Nutzer einsehbare Daten. Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen. Die VZ-Netzwerke haben die Datenschutzbehörden umgehend informiert und werden rechtliche Schritte gegen Unbekannt einleiten.
Ich hab nicht alle mir vorliegenden Daten verifiziert, sondern nur Samples. Ich gehe nicht davon aus, dass die Quelle sich die Daten manuell gezogen hat, wie der Blogeintrag suggeriert. Hier wurden wohl Scripte verwendet. Wäre schön, wenn SchülerVZ das korrigieren könnte. Ich habe sie darauf hingewiesen.
Übrigens haben wir seit Veröffentlichung zwei weitere Hinweise auf Sicherheitslecks bekommen.
Die erste ist interessant: Nach Angaben der Quelle wurde eine kritische Cross-Site-Scripting Lücke entdeckt, mit welcher es möglich ist, ganze Accounts zu übernehmen. Der Quelle zufolge wurde SchülerVZ vor einer Woche von der Lücke informiert, aber sie kann heute immer noch genutzt werden. Uns wurde ein Video-Screencast mitgeschickt, die die Lücke ausführlich beschreibt. Ist aber etwas nerdig und soviel Ahnung hab ich nicht von Javascript.
Die zweite kommt noch. Da wart eich noch auf weitere Infos.
Update: Ich hab ein fertiges Interview mit der ersten Quelle. Da dort noch weitere Sicherheitslücken angedeutet und beschrieben werden, hab ich den Text erstmal an die Technikabteilung von SchülerVZ geschickt, damit die etwas Vorlauf haben.
Quelle: Datenleck bei SchülerVZ : netzpolitik.org
Was haltet ihr davon? :S