Reaktion auf DatenleckSchülerVZ bessert nach
Beim Online-Netzwerk SchülerVZ müssen User künftig häufiger sogenannte Captchas eingeben, um bestimmte Anfragen zu stellen. Diese Maßnahme ist nach Angaben der Betreiberfirma nötig, weil kürzlich eine Liste mit etwa einer Million kopierten User-Daten aufgetaucht war.
Mit einer Verschärfung seiner Sicherheitsmechanismen hat das Online-Netzwerk SchülerVZ auf das massenhafte Kopieren von öffentlichen Nutzerdaten aus dem Schülernetzwerk reagiert. So müssten künftig die Anwender viel häufiger als sonst Buchstaben- und Zahlenkombinationen ("Captchas") eintippen, um bestimmte Anfragen an das Netzwerk zu stellen, sagte Markus Berger-de León, Geschäftsführer der Berliner VZnet Netzwerke Ltd.. "Damit wird die Bedienbarkeit von SchülerVZ zwar derzeit weniger schön. Aber die Anwender haben angesichts des aktuellen Vorfalls Verständnis dafür."
Er gehe davon aus, dass die Liste mit den ausgespähten Nutzerdaten rund eine Million Einträge habe, sagte Berger-de León. "Diese beinhalten aber nur die Informationen, die von den SchülerVZ-Anwendern als "für alle Nutzer sichtbar" eingestuft wurden." Im VZ-Blog hieß es, dass in der Liste Daten wie Name, Schule, Geschlecht, Alter und ein Foto zu finden gewesen seien. Privatere Informationen wie Adressen, Telefonnummern und Zugangsdaten seien nicht kopiert worden. Der Datenkopierer sei ein registrierter SchülerVZ-Nutzer. Nach Angaben der VZnet Netzwerke sei das Kopieren der Daten "quasi das Gleiche, als wenn jemand das Telefonbuch Seite für Seite durchblättert und digital erfasst". Laut dem Weblog "Netzpolitik" lassen sich mit den Daten Abfragen erstellen wie "alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule".
Anzeige gegen Unbekannt gestellt
Das Kopieren der Daten sei illegal und ein schwerer Verstoß gegen die Allgemeinen Geschäftsbedingungen, sagte Berger-de León. Daher habe man die Datenschutzbehörden informiert und Strafanzeige gegen Unbekannt gestellt. Mit rund 15 Millionen Nutzern gelten SchülerVZ und die Schwesterportale StudiVZ und MeinVZ als Marktführer bei Online-Netzwerken in Deutschland.
Am vergangenen Freitag hatte sich ein Anwender über das Weblog "Netzpolitik" bei seinem Unternehmen gemeldet, der mit Hilfe von kleinen Programmen ("Skripten") automatisiert und im großen Umfang Nutzerdaten aus dem Schülernetzwerk kopiert habe. Der Chef der VZnet Netzwerke Ltd. betonte, bei dem Vorfall sei weder die Datenbank von SchülerVZ "gehackt" noch Zugangsdaten der Anwender ausgespäht worden. "Hier haben unsere Sicherheitsschranken funktioniert." Der Täter habe allerdings die Beschränkung umgangen, wonach in kurzer Zeit nicht viele Profile hintereinander aufgerufen werden dürfen.
Berger-de León: Liste wurde 17 Mal heruntergeladen
Die VZnet-Netzwerke werden zudem die Zuordnung der VZ-internen ID-Nummer zu den Benutzerkonten ändern. "Dieser Teil der Information aus der Liste wird in kurzer Zeit komplett wertlos sein." Laut Berger-de León wurde die Liste in einen beschränkt zugänglichen Forum veröffentlicht und dort insgesamt 17 Mal heruntergeladen. "Sie schwirrt aber nicht durch das öffentliche Internet", sagte er.
Sein Unternehmen habe mit den Mitgliedern des Forums Kontakt aufgenommen, um eine Weiterverbreitung der Liste zu unterbinden. "Dem Angreifer ging es wohl um den Spaß, uns zu beweisen, dass eine Begrenzung der Profilabfragen technisch umgangenen werden kann, auch wenn das nicht spaßig ist", sagte Berger-de León. Die Plattformen SchülerVZ, StudiVZ und MeinVZ werden von der Berliner VZnet Netzwerke Ltd. betrieben, die zur Verlagsgruppe Georg von Holtzbrinck gehört.