Geschützte Daten bei SchülerVZ geleecht.

Posted by | Posted in | Posted on 28.10.09

Bereits letzte Woche berichtete man, dass rund 1,6 Millionen öffentlich zugängliche Profile der VZ-Gruppe gecrawlt (gescant) und auszüge gespeichert wurden. Markus Beckedahl (Netzpolitik) der als Mittelsmann zwischen den Hackern und der VZ-Gruppe fungierte, beschreibt zunächt in vier Videoclips was bis gestern geschah.

Hier kannst du alle vier Clips schauen.



Jetzt stellt sich herraus, dass auch gesicherte Profildaten, also die nur von Freunden sichtbar sind, ebenfals kopiert wurden. In der Supersuche gibt es die Möglichkeit Die Suchkreterien zu spezifizieren. Und genau da war auch die Schwachstelle. Ein Beispiel: Man sucht nach einer Person mit einem bestimmten Alter. Das Suchergebnis listete alle User mit diesem Alter auf. Leider auch die, die ihr Profil nicht öffentlich einsehbar eingestellt hatten.

Markus Beckedahl schreibt:

Wir haben gestern Abend eine Datei mit 118.000 Datensätzen von Berliner Schülern an die Verbraucherzentrale Bundesverband geschickt, um die Sicherheitslücke zu beweisen und die Frage zu klären. Diese dürften mittlerweile auch beim Berliner Landesdatenschutzbeauftragten gelandet sein. Wir haben einige der Datensätze vorab verifizieren können, indem wir auf privat geschaltete Nutzer gefunden und kontaktiert haben, ob das Geburtsdatum stimmt. Diese Datensätze enthalten die individuelle SchülerVZ-ID-Nummer, das Geburtsdatum und das Geschlecht. Unsere nun mehr dritte Quelle hatte kein Interesse daran, die umstrittene Berliner Schüler-ID-Kartei mit noch mehr Datenfelder zu schaffen. Ihr ging es nur darum, die Sicherheitslücke zu dokumentieren. Daher die Konzentration auf Geburtsdatum und ID. Es war aber problemlos möglich, dazu noch von allen Schülern Schule, Wohnort, Beziehungsstatus, Foto und weitere Informationen zu ermitteln. Die ersten beiden Fälle zeigen das Potential.
Möglich war das Identifizieren des Geburtsdatums über die Suchfunktion. Man musste nur ein Programm schreiben, was massenhaft Suchanfragen erzeugt und dann die Ergebnisse einer Nutzer-ID zuordnet und zusammenrechnet.
Den ganzen Beitrag auf Netzpolitik lesen



Ein kleiner Tip an alle VZler.
Schreibt so wehnig private Daten in euren Profilen wie möglich oder nötig. Zum Beispiel könnt ihr eure Berufliche Karriere kommplett weg lassen. Ich kenn da welche die posten ihren halben Lebenslauf. Oder euern vollen Geburtstag samt Jahr ist auch net unbedingt so wichtig für eure Freunde. Bei Lieblingsfilme-Bücher usw. sollte man sich so kurz wie möglich halten. Ein bestens ausgefülltes Profil (Identität) mit vielen Informationen ist auf dem Schwarzmarkt sehr viel wert. Sicher ist, dass solche Daten bevorzugt gehandelt werden und man eher einer Fishingattacke oder ähnlichem zum Opfer fallen kann. Je detailierter die gefällschte ID, desto glaubwürdiger ist sie und wird bei riskannteren Betrügereien z.B. bei einer Onlineshop-Abzocke verwendet. Denk darüber nach was du alles veröffentlichst. Es könnte eines Tages ein böses erwachen geben und du wirst für Dinge beschuldigt die du nie begangen hast.


Update:

Der VZ-Blog hat so eben ein erstes Statement raus gegeben.: Link

Nicht gerade ein Bekenntniss, dass ihr Datenleck doch größer ist als zuvor angenommen. Aber scheint so als würden sie die Notbremse ziehen und einige änderungen vornehmen, die die Benutzbarkeit in den nächsten Stunden einschränken könnte.

Update

blog comments powered by Disqus