Karsten Ludwig

Das SchülerVZ hat es mal wieder geschafft. Durch einige Sicherheitslücken konnte ein User mit einem eigens gebauten Bot über eine Millionen Datensätze aus dem SchülerVZ System kopieren. Auf den kopierten Listen stehen zwar keine Geheimnisse, aber sie könnten für einige Datensammler dennoch sehr interesant sein. Laut dem Entwickler des Bots, der dies auf seinem Blog offen zugibt, wurde durch den Bot Informationen wie das Profilbild, der Vor- und Nachname, das Geschlecht, der Beziehungstatus, die SchülerVZProfilID, das Gebeburtsdatum Datum, der Wohnort bzw. die Uni und mit welchen Freunden der Benutzer verknüpft ist, gespeichert. Geheime Informationen wie Mailadresse oder Passwort wurden, seinen Angaben nach, nicht gespeichert.
Doch viel peinlicher als die Lücke ansich, ist die Tatsache, wie SchülerVZ mit dem Problem umgeht.

Erst sehr spät nach dem Bekanntwerden der Lücken durch den Blog “Netzpolitik”, stellten die Betreiber von SchülerVZ eine kurze Erklärung auf ihren Blog, in dem versichert wurde, dass es zu Konsequenzen gegen den Cracker kommen wird und das alle, die Fragen habe, diese in die Gruppe “Datenschutz im SchülerVZ” posten sollten. Erst um 21.35 Uhr (Zur Erinnerung: Die Existenz der Liste wurde um 16.38 Uhr bei Netzpolitik bekannt) wurde in dieser Gruppe ein Thema eröffnet, in dem Frage zu den Vorfällen an das Team gestellt werden können. Nach einigen Fragen wurde dann um 21.53 Uhr verkündet, dass mit Hochdruck an der Sache gearbeitet werde. Nachdem dann zwischendurch einzelne Frage beantwortet wurden, gab es um 0.13 Uhr endlich mehr Informationen: SchülerVZ verkündete stolz: “Die Daten sind wieder in Sicherheit und wurden gelöscht.” Natürlich, die Daten wurden gelöscht. Wers glaubt. Ich fänd es sehr nett, wenn SchülerVZ mir erklären könnte, wie sie die Liste von sämtlichen Servern und Rechnern weltweit gelöscht hat. Sowas möchte ich nämlich auch können. Im Ernst: Es ist richtig peinlich, wie SchülerVZ in einer solchen Situation mit seinen Usern umgeht. Heute morgen kam dann die Meldung, dass Dank der guten Kooperation von einer Strafanzeige abgesehen werden wird.
Ich habe eben über ICQ mit dem Datensammler gechattet. Er selbst habe die Liste nicht an Netzpolitik.org weitergeleitet, jedoch stand die Liste frei zum Download. Von der Seite wurde die Liste insgesammt 17 mal gedownloaded, wobei einige Mal wahrscheinlich von Seiten des SchülerVZ Büros waren. Auf die Frage, ob er die Daten weitergeben würde, oder ob er sie gelöscht hat, antwortete er, dass die Daten erstmal auf Eis liegen, da er sich am Montag ersteinmal mit seinem Anwalt beraten muss. Wenn dieser grünes Licht gibt, wird er die Liste auch weiter verbreiten. Dies möchte SchülerVZ natürlich verhindern. Einer Straftat bewusst sei er sich nicht. Er habe nur das getan, was jeder Nutzer per Copy and Paste auch hätte tuen können, nur, dass er es professioneller mit einem Bot gemacht hat. Er wird nun abwarten, was sein Anwalt zu der ganzen Sache sagt.
Ich hoffe nun erstmal, dass dieses Problem von SchülerVZ restlos aufgeklärt wird und die Konsequenzen gezogen werde. Ich denke es ist ein Warnschuss, dass man sehen kann, dass die Daten auch in falsche Hände geraten können und das man darauf achten sollte, wo man welche Daten eingibt.

Update: Inzwischen hat SchülerVZ zugegeben, dass es ein User geschafft hat, einen Bot zu schreiben, der die Daten von öffentlichen SchülerVZ Seiten ausliest und diese dann in eine Datei kopiert. Desweiteren gibt es wohl zwei SchülerVZ Datensätz im Umlauf, da die Liste des bekannten und kooperierenden Datensammlers nicht mit der Liste, die bei Netzpolitik.org eingegangen ist, übereinstimmt. Der Täter fordet nun alle, die die Liste haben auf, sich mit SchülerVZ in Verbindung zu setzen.

Update 2: Laut SchülerVZ wurde in enger Kooperation mit dem LKA Berlin am Abend des 18.10.2009 ein dringend Tätverdächtiger festgenommen. Gegen diesen Tatverdächtigen wurde Anzeige erstattet.