Datenschutz bei SchülerVZ offenbar leicht zu umgehen
Datenleck bei SchülerVZ: 1,6 Millionen Schüler betroffen
Erneut ist ein Datenleck bei SchülerVZ entdeckt worden. Dem Blog netzpolitik.org wurden aktuelle Datensätze von 1,6 Millionen Nutzern zugespielt, die zeigen, wie leicht es ist, an die Daten der meist minderjährigen Nutzer zu gelangen. Mit rund 5,5 Millionen Mitgliedern betrifft das Datenleck rund 25 Prozent aller Nutzerprofile des sozialen Netzwerks.
Das aktuelle Datenleck entstand über die Gruppenfunktion. Dort können Mitglieder Basisinformationen anderer Profile abrufen, selbst wenn diese als "privat" eingestuft sind. Der Wissenschaftler Florian Strankowski von Leuphana-Universität Lüneburg loggte sich dort mittels mehrerer gefälschter Profile ein. Insgesamt 800 Profile erstellte Strankowski laut netzpolitik.org.
Name, Schule, Bild bis hin zu Hobbies und Selbstbeschreibung
Zu den einsehbaren Informationen gehören der Name, Schule, Schul-ID-Nummer und Link zum Bild. Anschließend suchte ein von ihm erstelltes Programm automatisch die Profile der Freundeslisten ab. Mit dieser Methode erlangte er die Daten von 1,6 Millionen Schülern. Allerdings wollte Strankowski diese Informationen nicht zur Selbstbereicherung nutzen, sondern um SchülerVZ auf das weiter bestehende Datenleck aufmerksam zu machen. Als das Unternehmen nicht auf seine Mails reagierte, wendete er sich an netzpolitik.org. Netzpolitik habe nach eigenen Angaben SchülerVZ über die Sicherheitslücken informiert und anschließend die zugespielten Daten gelöscht. Auch Strankowski habe zugesagt, dies zu tun.
Bei Schülern, die ihr Profil nicht auf "privat" gestellt haben, waren zusätzliche Daten abgreifbar, wie Alter, Geschlecht, Klasse, Hobbys, Beziehungsstatus und politische Einstellung. Darüber hinaus konnten Lieblingsfach und -musik sowie eine Selbstbeschreibung abgerufen werden. Das Datenleck bei SchülerVZ ist als besonders kritisch zu bewerten, weil minderjährige Schüler oft nicht über die Konsequenzen ihres Handelns im Netz Bescheid wissen und die Wichtigkeit von Datenschutz nicht einschätzen können.
Datenleck trotz verschärfter Maßnahmen und TÜV-Zertifikat
Das ist mittlerweile laut netzpolitik.org der vierte Fall von massenhaftem Auslesen von Daten bei SchülerVZ innerhalb weniger Monate. Bereits im Herbst 2009 waren innerhalb weniger Tage zwei Datensätze aufgetaucht, woraufhin SchülerVZ die Sicherheitsmaßnahmen verbessert hatte. Das Netzwerk bemühte sich unter anderem um einen TÜV-Siegel für Datensicherheit und Funktionalität. So schnitt das Schülernetzwerk bei von Ökotest und Computer-Bild besser ab, als das soziale Netzwerk Facebook.
"Ich frage mich, ob das ein PR-Gag war", sagte Strankowski gegenüber netzpolitik.org. Das Sicherheitsproblem betreffe zudem alle VZ-Netzwerke gleichmaßen, also auch StudieVZ und MeinVZ, weil diese über den gleichen Quelltext verfügen. Als Lösung befürwortet Strankowski die Wiedereinführung so genannter Captchas.
Update: Nach einem Bericht von Spiegel Online nahm mittlerweile auch Bundesjustizministerin Sabine Leutheusser-Schnarrenberger zu den Vorgängen Stellung. Sie forderte von den SchülerVZ-Betreibern...