Hacker konnten beim Teenager-Netzwerk SchülerVZ anscheinend bis Juli auch an Daten gelangen, die eigentlich als privat markiert waren. Dies ist die Schlussfolgerung aus neuen Enthüllungen des Blogs netzpolitik.org.
SchülerVZ: Die Frage "Bist du schon drin?" hat unter Hackern inzwischen eine ganz andere Bedeutung
(Foto: Screenshot: schuelervz.de)Bereits in der vergangenen Woche hatte ein Hacker dem Netzpolitik-Blogger Markus Beckedahl geschildert, dass es möglich sei, auch an Daten aus Profilen zu kommen, deren Nutzer diese nur für Freunde sichtbar gemacht hatten.
Da die Betreiber des Netzwerks auf dem offiziellen StudiVZ-Blog erklärten, bislang seien keine privaten Daten ausgelesen worden, hat Beckedahl inzwischen der Verbraucherzentrale Bundesverband (VZBV) eine Datei mit 118.000 Datensätzen zukommen lassen. Auch der Berliner Datenschutzbeauftragte Alexander Dix wurde eingeschaltet. Dix erklärte, der Vorwurf habe nun "eine völlig neue Qualität".
Selbstgebasteltes Suchprogramm
Die Daten stammen von Berliner Schülern und enthalten die individuelle SchülerVZ-Identifikationsnummer, das Geburtsdatum und das Geschlecht. "Es war aber problemlos möglich, dazu noch von allen Schülern Schule, Wohnort, Beziehungsstatus, Foto und weitere Informationen zu ermitteln", schreibt Beckedahl. Man habe einige Nutzer kontaktiert und dadurch die Daten authentifiziert.
Die Verantwortlichen von SchülerVZ reagierten mit einer Pressemeldung auf die neuesten Veröffentlichungen. "Die Sicherheitslücke, die das Abrufen dieser Information möglich machte, wurde bereits Ende Juli 2009 behoben", heißt es darin. Man stehe in engem Kontakt mit dem VZBV und dem Berliner Datenschutzbeauftragten. Weiterhin werde die Suche nach Geburtsdatum und Alter komplett deaktiviert.
Das Auslesen der Informationen war nach Angaben des Blogs über ein selbstgebasteltes Suchprogramm möglich, welches regelmäßige Muster in der Zusammensetzung der URL der SchülerVZ-Suche ausnutzt, um über Daueranfragen an Nutzer mit bestimmten Geburtsdaten zu kommen.
Erst vergangene Woche hatte ein groß angelegter Datenmissbrauch beim Online-Forum SchülerVZ für Aufsehen gesorgt. Der mutmaßliche Datendieb, ein 20-Jähriger aus Erlangen, wollte laut Staatsanwaltschaft insgesamt 80.000 Euro vom Netzwerkbetreiber für die Informationen erpressen. Er hatte damit gedroht, die Daten anderenfalls ins Ausland zu verkaufen.
Dem Betreiber VZ zufolge wurden seinerzeit nur Daten kopiert, die für alle SchülerVZ-Nutzer sichtbar sind: Name, Schule, Geschlecht, Alter, Profilfoto. Es handelte sich demnach nicht um Daten wie Postadressen, E-Mail-Adressen, Zugangsdaten, Telefonnummern oder Fotoalben.