Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
SchülerVZ stand schon mehrfach wegen mangelnden Datenschutzes in der Kritik. Offenbar haben die Betreiber daraus trotz gegenteiliger PR-Kampagnen nichts - oder nicht genug - gelernt. Nicht nur konnten erneut massenhaft Datensätze automatisiert ausgelesen werden - auch das Krisenmanagement der zuständigen Admins läßt offenbar zu wünschen übrig. Im Laufe der letzten Wochen verschickte Florian Strankowski, der Hacker, der die Sicherheitslücke aufdeckte, zwei E-Mails an die SchülerVZ-Administration. Er erhielt darauf allerdings keine Antwort, und es gibt auch keine Hinweise darauf, dass versucht wurde, die Lücke zu beheben.
Die von SchülerVZ nach den letzten Vorfällen implementierten Sicherheitsmaßnahmen erwiesen sich teilweise als ineffektiv. So sorgte die Begrenzung der Profilaufrufe von einem Account aus nicht dafür, dass das Crawling verhindert wird - es lassen sich einfach von mehreren Accounts gleichzeitig Profile aufrufen. Eine andere Maßnahme scheiterte an angeblich mangelnder Usability: "Im Herbst hat man auch reCaptchas eingeführt, um ein massenhaftes maschinelles Auslesen extrem zu erschweren. Diese reCaptchas hat man aber wieder rausgenommen, vermutlich weil sich viele Nutzer dadurch gestört fühlten. Eine weitere Maßnahme war ein besserer Schutz bei Suchabfragen," berichtet Netzpolitik.
Im konkreten Fall wurden die Daten aber über die Gruppenmitgliedschaften der Schüler gesammelt. "Man kann Basisinformationen von Profilen über eine Gruppenmitgliedschaft abrufen, auch wenn die Profile auf privat gestellt sind. Die Basisinformationen enthalten Name, Schule, Schul-ID-Nummer und Link zum Bild. Nachdem diese Methode (nahezu) ausgereizt war, wurden dann weitere Profilen per 'Freundesliste' mit einem zweiten Crawler abgegrast," schildert Netzpolitik die angewandte Methodik.
Bei Schülern, die keine strengen Datenschutz-Einstellungen verwenden, was angeblich die Mehrheit darstellt, lassen sich noch zahlreiche weitere Informationen auslesen. So konnten "Alter, Geschlecht, Klasse, Hobbys, Beziehungsstatus, politische Einstellung, Lieblingsfach, -musik, -filme, -bücher, wie lange man im SchülerVZ aktiv ist und individuelle Selbstbeschreibungstexte" gecrawlt werden.
Als besonderes Problem sehen Beobachter diesen Vorfall deswegen, weil die Mehrheit der bei SchülerVZ angemeldeten Personen minderjährig ist. Entsprechend sind sie teilweise besonders angreifbar und sich der Konsequenzen ihres Handelns noch nicht im selben Ausmaß bewusst, wie man das bei Erwachsenen annehmen kann. "Daten von minderjährigen Schülern sollten daher besonderen Schutz genießen und gegen massenhaftes maschinelles Auslesen gesichert sein," urteilt Netzpolitik-Autor Markus Beckedahl.
Mit Florian Strankowski wurde zudem ein Interview veröffentlicht, in dem er über seine Motivation und die Hintergründe seines Hacks Auskunft gibt.
Update:
Nach einem Bericht von Spiegel Online nahm mittlerweile auch Bundesjustizministerin Sabine Leutheusser-Schnarrenberger zu den Vorgängen Stellung. Sie forderte von den SchülerVZ-Betreibern Nachbesserungen und erklärte: "Die VZ-Gruppe hat selbst das größte Interesse, auch wesentlich in die Sicherheit ihrer Netzwerke zu investieren. Die Verweise auf vermeintliche Einzelpannen müssen nun endlich der Vergangenheit angehören".
Daneben wird auch eine Stellungnahme von Clemens Riedl, Geschäftsführer der VZ-Netzwerke, zitiert. Dieser bedankte sich bei Strankowski, erklärte aber, "dass es sich hierbei weder um ein Datenleck noch einen Angriff auf unsere Server handelt, sondern vielmehr um einen Verstoß gegen unsere AGB." Der Kopierschutz von öffentlich zugänglichen Daten werde immer ein Katz-und-Maus-Spiel bleiben. Man habe aber Maßnahmen ergriffen und den Sicherheitsstandard auf diesen Aspekt hin optimiert.
Annika Kremer am Dienstag, 04.05.2010 16:39 Uhr
Tags:
schülervz
Der Käse nervt so langsam. 99% der Leute die sich bei diesen "sozialen" Netzwerken anmelden wollen doch sowiso "gesehen" werden, der ganzen Welt schrieben was sie gerade machen, wie sie aussehen und zeigen wieviele "Freunde" sie haben. Alle anderen benutzen E-Mail, nen Messenger oder ...
Wiederhole den Satz sobald die neuen Persos massenhaft ausgelesen werden :T ??? Wenn sie jemand öffentlich zur schau stellt und du sie dann nur speicherst war das kein Datenleck. ...
Frei zugängliche Daten die gesammelt wurden sind KEIN Datenleck. Wiederhole den Satz sobald die neuen Persos massenhaft ausgelesen werden :T ...
Wie immer kann man von böswilliger Absicht sprechen oder von dilettantischer Profitgier ... Ich weis garnet warum weder der Politik noch vielen anderen nicht klar ist welche Tragweite solche Leaks haben. Die Datenbank dieser Schüler ist doch nur der Anfang eines lebenslang wachsenden Datenbestan ...
"Man kann Basisinformationen von Profilen über eine Gruppenmitgliedschaft abrufen, auch wenn die Profile auf privat gestellt sind. Die Basisinformationen enthalten Name, Schule, Schul-ID-Nummer und Link zum Bild. Nachdem diese Methode (nahezu) ausgereizt war, wurden dann weitere Profilen per ...
Lars Sobiraj am 20.05.2012, 16:54 Uhr
Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.
Kämpfe als Held in diesem einzigartigen Fantasy Game. Viele Gefahren und Abenteuer erwarten dich! 
spielen
Erschaffe deine eigene Insel und erobere die Welt. Krieg oder Wachstum - deine Strategie entscheidet! spielen
Werde Gladiator und kämpfe im antiken Zeitalter um Ruhm und Ehre. Gehe Bündnisse mit anderen Spielern ein und kämpft gemeinsam gegen die schrecklichen Barbaren. spielen
Ziehe als einsamer Waldläufer oder an der Seite von Kampfgefährten in einem Fantasy-Spiel von Abenteuer zu Abenteuer. spielen
Tritt gegen legendären Samurai aus Japan des 19. Jahrhundert an und werde der gefürchtetste aller Samurai. spielen
Tritt in eine epische Schlacht zwischen Werwölfen und Vampiren, in der nur die Stärksten überleben werden, ein. spielen
