SchülerVZ Offenbar auch private Daten ausgelesen

SchülerVZ in Erklärungsnot: Einem Blogger wurden weitere 100.000 Datensätze zugespielt. Diesmal sind auch Nutzer betroffen, die ihr Profil als privat markiert hatten.

Hacker konnten beim Teenager-Netzwerk SchülerVZ anscheinend bis Juli auch an Daten gelangen, die eigentlich als privat markiert waren. Dies ist die Schlussfolgerung aus neuen Enthüllungen des Blogs netzpolitik.org.

Bereits in der vergangenen Woche hatte ein Hacker dem Netzpolitik-Blogger Markus Beckedahl geschildert, dass es möglich sei, auch an Daten aus Profilen zu kommen, deren Nutzer diese nur für Freunde sichtbar gemacht hatten.

Da die Betreiber des Netzwerks auf dem offiziellen StudiVZ-Blog erklärten, bislang seien keine privaten Daten ausgelesen worden, hat Beckedahl inzwischen der Verbraucherzentrale Bundesverband (VZBV) eine Datei mit 118.000 Datensätzen zukommen lassen. Auch der Berliner Datenschutzbeauftragte Alexander Dix wurde eingeschaltet. Dix erklärte, der Vorwurf habe nun "eine völlig neue Qualität".

Selbstgebasteltes Suchprogramm

Die Daten stammen von Berliner Schülern und enthalten die individuelle SchülerVZ-Identifikationsnummer, das Geburtsdatum und das Geschlecht. "Es war aber problemlos möglich, dazu noch von allen Schülern Schule, Wohnort, Beziehungsstatus, Foto und weitere Informationen zu ermitteln", schreibt Beckedahl. Man habe einige Nutzer kontaktiert und dadurch die Daten authentifiziert.

Die Verantwortlichen von SchülerVZ reagierten mit einer Pressemeldung auf die neuesten Veröffentlichungen. "Die Sicherheitslücke, die das Abrufen dieser Information möglich machte, wurde bereits Ende Juli 2009 behoben", heißt es darin. Man stehe in engem Kontakt mit dem VZBV und dem Berliner Datenschutzbeauftragten. Weiterhin werde die Suche nach Geburtsdatum und Alter komplett deaktiviert.

Das Auslesen der Informationen war nach Angaben des Blogs über ein selbstgebasteltes Suchprogramm möglich, welches regelmäßige Muster in der Zusammensetzung der URL der SchülerVZ-Suche ausnutzt, um über Daueranfragen an Nutzer mit bestimmten Geburtsdaten zu kommen.

Erst vergangene Woche hatte ein groß angelegter Datenmissbrauch beim Online-Forum SchülerVZ für Aufsehen gesorgt. Der mutmaßliche Datendieb, ein 20-Jähriger aus Erlangen, wollte laut Staatsanwaltschaft insgesamt 80.000 Euro vom Netzwerkbetreiber für die Informationen erpressen. Er hatte damit gedroht, die Daten anderenfalls ins Ausland zu verkaufen.

Dem Betreiber VZ zufolge wurden seinerzeit nur Daten kopiert, die für alle SchülerVZ-Nutzer sichtbar sind: Name, Schule, Geschlecht, Alter, Profilfoto. Es handelte sich demnach nicht um Daten wie Postadressen, E-Mail-Adressen, Zugangsdaten, Telefonnummern oder Fotoalben.