Neues Datenleck bei SchülerVZ

Es gibt wieder ein neues Datenleck beim Social-Network SchülerVZ. SchülerVZ ist mit rund fünf Millionen Mitgliedern Marktführer im deutschsprachigen Raum, ein hoher Prozentsatz unserer Schüler ist dort Mitglied und veröffentlicht dort seine/ihre Verlieben und sonstige Informationen. Uns wurden 1,6 Millionen aktuelle Datensätze von dort aktiven Schülern zugeschickt, das sind rund 30% aller Nutzerprofile aus dem Social-Network.

Der Fall reiht sich in die von uns im vergangenen Herbst aufgedeckten Datenlecks ein, die SchülerVZ betrafen und damals für großes Aufsehen sorgten. SchülerVZ hat sich in den vergangenen Monaten bemüht, das verlorene Vertrauen zurück zu gewinnen und mehr in den Datenschutz investiert. Dazu gab es ein TÜV-Prüfzeichen für Datensicherheit und Funktionalität. Damit gewinnt man zwar Vergleichstests in Verbraucherschutz-Magazinen und der Computer-Bild, die Sicherheit der Schüler-Daten steht aber immer noch in Frage, wie der neue Fall zeigt. Eine weitere Parallele zu den Datenlecks im Herbst ist die, dass unser Informant in zwei Mails in den vergangenen Wochen versucht hat, Kontakt mit der VZ-Gruppe aufzunehmen. Auf beide Kontaktversuche erhielt er keine Antwort und wendete sich dann an uns, um eine Beseitigung der Sicherheitslücken zu beschleunigen.

Wie war das massenhafte Auslesen von Schüler-Profilen möglich, wo doch SchülerVZ seit dem Herbst zahlreiche Maßnahmen getroffen hat, die das verhinden sollten?

Eine von SchülerVZ nach den Datenlecks getroffene Maßnahme war die Begrenzung der Profilabrufe. Dies sorgt aber nur gefühlt für mehr Sicherheit, da man gleichzeitig von zahlreichen Accounts parallel Profile abrufen kann, um die Inhalte in einer gemeinsamen Datenbank zu speichern. Im Herbst hat man auch reCaptchas eingeführt, um ein massenhaftes maschinelles Auslesen extrem zu erschweren. Diese reCaptchas hat man aber wieder rausgenommen, vermutlich weil sich viele Nutzer dadurch gestört fühlten. Eine weitere Maßnahme war ein besserer Schutz bei Suchabfragen.

Die uns zugeschickten Daten wurde aber über eine andere Methode gesammelt: Die meisten Nutzer sind in Gruppen angemeldet. Man kann Basisinformationen von Profilen über eine Gruppenmitgliedschaft abrufen, auch wenn die Profile auf privat gestellt sind. Die Basisinformationen enthalten Name, Schule, Schul-ID-Nummer und Link zum Bild. Nachdem diese Methode (nahezu) ausgereizt war, wurden dann weitere Profilen per „Freundesliste“ mit einem zweiten Crawler abgegrast.

Viele Schüler nutzen aber nicht die scharfen Datenschutzeinstellungen, die ihre Profile auf privat stellen und deren Daten sind dann alle abgreifbar und man kann sie speichern. Dazu gehören die zusätzlichen Informationen Alter, Geschlecht, Klasse, Hobbys, Beziehungsstatus, politische Einstellung, Lieblingsfach, -musik, -filme, -bücher, wie lange man im SchülerVZ aktiv ist und individuelle Selbstbeschreibungstexte.

Doppelungen bei Mitgliedschaften in mehreren Gruppen kann man aussortieren, wenn erstmal alle Daten heruntergeladen sind. In der Regel gibt es nur einen Schüler mit dem gleichen Namen an einer bestimmten Schule.

Wo ist jetzt das Problem – Facebook ist viel schlimmer beim Datenschutz?

Es handelt sich überwiegend um Daten von minderjährigen Schülern, die sich über ihr Handeln und die Konsequenzen oft nicht bewusst sind. Daten von minderjährigen Schülern sollten daher besonderen Schutz genießen und gegen massenhaftes maschinelles Auslesen gesichert sein.

Mit den gesammelten Daten sind Invers-Suchen möglich, die so im System zum Schutz der Privatsphäre von Nutzern nicht funktionieren.

Die VZ-Gruppe bemüht sich zwar, gegenüber der US-Konkurrenz wie Facebook durch mehr Engagement in Datenschutzfragen zu punkten, was im Vergleich zu einem besseren Verbraucherschutz führt. Und dieses Bemühen muss man auch mal loben. Aber offensichtlich wurde noch nicht genug in die Sicherheit der Daten von Schülern investiert. Das ist mittlerweile der vierte uns bekannter Fall von massenhaften Auslesen von Schüler-Daten bei SchülerVZ innerhalb der vergangenen Monate. Man kann davon ausgehen, dass diese vier Fälle nur die Spitze des Eisberges sind und zahlreiche Datenbanken mit diesen sensiblen Daten existieren könnten.

Wir haben SchülerVZ gestern über den Datensatz und die Sicherheitslücken informiert. Und anschließend unsere Daten gelöscht. Unser Informant hat uns dies auch zugesagt.

Update:

Als Hintergrund zum aktuellen Datenleck bei SchülerVZ haben wir ein Interview mit Florian Strankowski von der Leuphana-Universität Lüneburg gemacht, der die Sicherheitslücken entdeckt hat.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

121 Ergänzungen

  1. Soetwas gehört Sanktioniert. Wer nicht gut genug mit den Daten seiner Benutzer umgeht, soll zahlen. Empfindlich zahlen. Immerhin handelt es sich hier, ich zitiere Markus einmal, „überwiegend um Daten von minderjährigen Schülern, die sich über ihr Handeln und die Konsequenzen oft nicht bewusst sind. Daten von minderjährigen Schülern sollten daher besonderen Schutz genießen.“

    Und wieso scheint SchuelerVZ noch anfälliger zu sein dafür, als das größere StudiVZ bzw. meinVZ? Oder ist es einfach nur Pech, dass „nur“ die Lücken dieses einen Netzwerkes bekannt werden.

    Und auch die Tatsachen der Invers-Suchmöglichkeit ist schon ein Hammer für sich.

    1. @Benedikt: SchülerVZ ist nicht anfälliger als die anderen beiden Netzwerke. Vielleicht interessieren sich nur mehr Menschen für die Sicherheitslücken bei SchülerVZ, weil es sich bei den Nutzern um Schüler und in der Regel nicht um Erwachsene handelt.

      1. Hallo,

        Total disqualifiziert hat sich netzpolitik.org / Markus mit diesem Statement auf http://www.spiegel.de/netzwelt/web/0,1518,692822,00.html

        „Die Frage, wozu man diese Daten missbrauchen könnte, beantwortet Beckedahl mit einem Beispiel: „Ein Pädophiler könnte sich die elfjährigen Mädchen aus der Schule nebenan heraussuchen, mitsamt ihren Fotos, ihren Musikvorlieben und Hobbys, um sie dann auf der Straße anzusprechen.“ Der Datensatz sei komplett und invers nach jedem beliebigen Kriterium durchsuchbar – also etwa nach Wohnort oder der angegebenen Lieblingsband. Natürlich ließen sich solche Daten auch für gezieltes Marketing verwenden. “

        Als ob dafür nicht ein normaler Schülervz Zugang ausreicht. Oder wollen sich Pädophile erstmal alle 300.000 elfjährigen Mädchen Deutschlands durchgucken um dann die am weitesten entfernt liegende aufzusuchen?

        Auch wie diese Daten für ‚Marketing‘ genutzt werden könnten ohne Kontaktadresse der Schülerin zu haben, kann Netzpolitik nicht schlüssig erzählen, oder?

        Bisher habe ich durchaus große Stücke auf Netzpolitik.org gehalten, aber man konnte vielleicht noch sagen, dass es „eben nur ein Blog“ ist. Das so ein Schwachsinn jetzt einfach ohne zu hinterfragen von SPON wiedergegeben wird, finde ich noch übler. Drei intelligente Redakteure schaffen es nicht einmal simpelste Sachverhalte zu hinterfragen, hauptsache man kann wieder mal die Pädophilie-Keule rausholen.

        enttäuschter Gruß,
        Randolf

  2. Ich gebe dir recht, das schuelervz vermutlich nicht mehr Sicherheitslücken hat, als andere große Seiten.
    Dennoch könnte man diese „Skanale“ eventuell mit einer anderen Firmenpolitik lösen, so dass Finder von Sicherheitslücken sich erst an das Unternehmen wenden, bevor die „Presse“ informiert wird.

  3. @Simon : Ich zitiere mal: „Eine weitere Parallele zu den Datenlecks im Herbst ist die, dass unser Informant in zwei Mails in den vergangenen Wochen versucht hat, Kontakt mit der VZ-Gruppe aufzunehmen. Auf beide Kontaktversuche erhielt er keine Antwort und wendete sich dann an uns, um eine Beseitigung der Sicherheitslücken zu beschleunigen.“

    Dies wurde hier gemacht, jedoch ohne Reaktion von Seiten VZ.

  4. @Florian
    Ich bezog mich jetzt mehr auf die Seite der VZ Netzwerke, nicht auf die Seite der „Entdecker“. Genau die von dir beschriebenen Fälle führen m.M. nach dazu, dass die Sicherheitslücken veröffentlicht werden.

    Hier sollte die VZ Gruppe ihr „Krisenmanagement“ deutlich verbessern.

  5. „In der Regel gibt es nur einen Schüler mit dem gleichen Namen an einer bestimmten Schule.“

    Bei größeren Schulen funktioniert dieser Ansatz sicherlich nicht.

    1. @streetcleaner: Das ligt dann aber weit im Promillebereich, weil „Christian Müller“ als Name z.B. beliebt ist und „In der Regel“ passt da schon gut.

  6. Jetzt schon wieder dieser Schwachsinn, bei der abschreiben aus einem Telefonbuch als Sicherheitslücke dargestellt wird. Lasst es doch einfach, das ist einfach nur blödsinn.

    1. @Chris: Wenn es so einfach wäre. Ich würde gerne mal Dein Telefonbuch sehen in welchem die Nutzer/Mitmenschen mit Bild, Schule, Geburtsdatum, Vorlieben, Interessen und Freunden stehen.

  7. @Florian

    Und dann? Die Daten sind wertlos. Sie haben naemlich keinen Bezug zu einer Person. Wie man leicht sieht, ist die Profil-ID im schuelerVZ Viewer-abhängig.

    Und selbst wenn man sie zuordnen kann. Ja und? Ich kann mich auch genauso ins schuelerVZ einloggen und nachschauen.

    Es gibt übrigens eine externe Datenbank von ca. 40 Millionen Facebook-Profilen, mehrere Millionen Xing-Profile und dort sind die Daten auch fast vollständig.

    Machen wir bitte nicht aus eine Mücke einen Elefanten. Danke.

  8. @Chris: Die Profil-ID hat reichlig wenig mit dem Bezug auf eine Person zutun. Man muss die Daten nicht anhand der Profil-ID verknüpfen, hierfür kann man eine eigene, neue ID verwenden. Einloggen ja, aber Du kannst keine Inverssuche starten.

  9. @Florian, Viel zu kompliziert. Wenn ich Leute an einer bestimmten Schule suchen will, dann nutze ich ganz normal die Suche und suche nach Schülern an genau dieser Schule.

    Das Ding ist keine wirkliche Sicherheitslücke. Informationen die öffentlich sind (im schuelerVZ sind Daten faktisch öffentlich), kann man nicht schützen. Das haben Bits und Bytes nunmal so ansich.

  10. Kann mir mal einer erklären, wo hier das „Leck“ ist? Ich sehe erlich gesagt nicht, dass die Möglichkeit, innerhalb des SchülerVZs frei zugängliche Daten miteinander zu verknüpfen, eine Sicherheitslücke ist. Klar, es ist mehr oder weniger kriminell, aber wie Chris schon sagte: Öffentliche Daten kann man nicht schützen! Was soll immer diese Hetze gegen SchülerVZ?

    1. @Moritz: Ich rede hier von einem Datenleck, weil SchülerVZ explizit eine Begrenzung der Nutzer hat. Da kommt nicht jeder so einfach rein (Auch wenn es nicht so schwer ist). Insofern kann man die Daten auch nicht als „frei verfügbar“ bezeichnen, denn das sind sie nur im System.

  11. Suchst Du einen der keine Ahnung von Autos hat, gehst Du zum TÜV. Bei Datenbanken ist das nicht anders, offenbar.

  12. Ein Problem ist, dass sich die Mehrheit der Bevölkerung noch nicht des Risikos bewusst ist, überhaupt irgendeine Information ins Netz zu stellen. Was einmal aus dem eigenen Bereich heraus ins Internet ist, wird „ewig“ dort bleiben, ohne dass man wirklich eine Kontrolle darüber hat.

    Als Dienstanbieter kann man mit der Problematik auf zwei Arten auf seine Kunden zugehen. Entweder wie Facebook und den Zynismus zum Prinzip erklären oder versuchen so gut es geht einen Weiterfluss der Daten zu unterbinden/kontrollieren…
    …und dann muss man seinen Kunden erklären, dass so eine ‚Kontrolle‘ keine endgültige Lösung haben sondern nur ein fortlaufender Prozess sein kann.

    Oder man muss seinem Kunden sagen, dass er nur das veröffentlichen sollte, was er auch auf einem Flyer sehen will, den er an jedem Laternenpfahl in der Stadt kleistert.

  13. @Moritz und @Chris: Mit diesem „Daten-Leck“ kann man Daten nach eigenen Kriterien abgreifen, filtern und sortiert ausgeben. Das kann man mit einem normalen Login nicht. Ein Beispiel: Die Daten könnten nach politischer Einstellung (rechts-konserativ bzw. links oder so ähnlich) durchsucht und dann in einem Forum der Rechten, sortiert nach Plz, unter der Überschrift „Anwerben: Potentiell Interessierte“ beziehungsweise „Pranger: Die linke Socke in Deiner Nachbarschaft“ veröffentlicht werden. Nur zur Erinnerung, es handelt sich hier um Schüler.

  14. […]Viele Schüler nutzen aber nicht die scharfen Datenschutzeinstellungen, die ihre Profile auf privat stellen und deren Daten sind dann alle abgreifbar und man kann sie speichern. […]

    Das ist doch die Kernaussage bei diesem Artikel. Die Menschen sind leider Gottes in sozialen Netzwerken darauf angewiesen sich selbst um die Datensicherheit zu kümmern. Im realen Leben ist das doch auch so. Man gibt nicht überall seine Personummer und Kreditkartennummer hin. Auch bei Adressangaben sind Menschen sehr vorsichtig. Genauso müssen Sie sich im Internet verhalten.

    Gut bei Kindern/Schülern ist das jetzt schwierig, das seh ich ein. Aber abermals müssen dort die Eltern aufpassen. Ich vermute mal, da in dem Artikel darauf nicht eingegangen wird. Das überwiegend Daten von solchen Usern ausgelesen wurden. Somit könnte man ein Auslesen mit den richtigen Schutzvorkehrung im eigenen Account entgegenwirken. Zumal ich bei den gesammelten Daten nicht mal für deren Echtheit garantieren würde. Wieviele User wohl falsche Daten angeben???

    Also ich vermute mal das ca. 2% der gesammelten Daten nur wirklich sinnvoll verwendbar sind.

    Der Artikel bauscht das alles ganz schön auf. Obwohl es auch gut ist, da somit ein Voranschreiten der Technologie gefördert wird.

  15. Das Problem ist nicht das die Daten crawlbar sind. Alle Daten die öffentlich sind, können – mehr oder weniger schnell – automatisiert eingelesen werden. Damit muss man sich abfinden, das ist bei jedem Netzwerk so.

    Das eigentliche Problem ist die Firmenpolitik der VZ-Betreiber. Immer wieder gaukelt man eine Sicherheit vor die es nicht gibt – und auch nicht geben kann! Warum gibt man nicht seine arrogante „Wir sind 1000000%-Sicher-Sogar-mit-TÜV-Siegel“-Haltung auf und ist ehrlich zu den Usern?

  16. Der Punkt ist doch der: so sehr VZ sich auch bemüht, die Daten seiner Mitglieder gegen Crawlen zu schützen, ist es doch völlig unmöglich.

    Ja, man kann die Barrieren so hoch wie möglich legen, dann wird aber a) das Nutzen von SchülerVZ für die Nutzer auch immer komplizierter und nerviger (Captchas, etc.) und b) auch immer nur der unbedarftere Teil der Angreifer ausgesperrt.

    VZ wird nie verhindern, dass jemand, der sich wirklich auskennt, in diesem Fall offensichtlich ein Informatikdoktorand, Daten ausliest.

    Die einzige (!) Möglichkeit das zu verhindern, ist, die Daten erst gar nicht in SchülerVZ reinzuschreiben. Denn diese Daten sind dafür gedacht (!), von anderen gefunden zu werden – und in dem Moment wo ich sie einer größeren Gruppe (hier: allen SchülerVZ-Mitgliedern) zur Verfügung stelle, kann ich nicht verhindern, dass jemand sie missbraucht.

    Also: entweder lebe ich damit, dass Daten in sozialen Netzwerken missbraucht werden können – oder ich schreibe sie nicht da rein.

    Vielleicht wäre es im ersten Schritt hilfreich, wenn Eltern ihren 12-jährigen Töchtern beibringen, dass sie nicht ihren Klarnamen oder ihr Foto ins Netz stellen. Dann kann man sich auch über SchülerVZ mit seinen Freunden vernetzen, ohne dass Außenstehende einen identifizieren können.

    Vielleicht sollte SchülerVZ auch ehrlich dazu stehen und bekennen: Eure Daten sind bei uns nicht 100-prozentig sicher. Seid auf der Hut! Dann könnten sie sich die Investition in wirkungslose Sicherungsmaßnahmen sparen.

  17. Ich glaube die Meisten hier vergessen die Aufsichtspflicht der Eltern, den eigenen Verstand und ein Maß an Aufklärung und Lernbereitschaft.

    Überspitzt: Selbst schuld, wer seine Daten verschenkt.

  18. HAMMER!!!
    ich bin einfach nur geschockt. Es kann doch nicht sein, dass sich Facebook zu einer Datenkralle aller Google entwickelt und VZ sich wie ein voll-gesogener Schwamm verhält, bei dem die Daten heraustropfen wenn man ihn nur schief anguckt.

    Ps. danke an Florian Strankowski und netzpolitik.org, auf dass sich etwas ändern möge.

    Gruß Lennart

  19. @Simon: Wir reden hier von Schülern, die wollen nicht, dass
    a) die Eltern mitlesen und
    b) kennen noch nicht komplett die möglichen Konsequenzen ihres Handelns, können also nicht „selbst Schuld“ sein.

    Außerdem ist diese ständige „selbst Schuld“-Mentalität einfach nur asozial. Sonst könnte man zum Beispiel den Straftatbestand Betrug auch komplett streichen.

  20. Wo wir grade bei „einfach Fake Name angeben“ sind – ja, die meisten von uns werden nicht Ihren richtigen Namen bzw. nur Abkürzungen verwenden.

    ABER! *VZ besteht in den AGB darauf das man seinen richtigen Vor und Nachnamen benutzt! Aber hey, das ist ja kein Problem weil ja alles tiptop sicher ist.. mit TÜV und so.. :)

  21. @Mithos Es geht nicht um die Kinder, sondern um die Eltern. Die müssten ihren Kindern vielleicht erklären, dass a) im SchülerVZ erstmal jeder der das will und nicht nur Schüler mitlesen können und b) dass sie im Internet nicht unbedingt ihren Klarnamen angeben sollten.

    @Michael Worauf VZ in seinen AGB besteht, sollte ein Kind erstmal überhaupt nicht interessieren. Wir reden hier ja nicht vom Grundgesetz, sondern von Wünschen eines Social-Network-Betreibers, der für die Sicherheit der Daten ohnehin nicht garantieren kann. Daran sollte sich nun wirklich niemand gebunden fühlen. Solange ich ein Pseudonym verwende, das nicht als Fakename erkennbar ist, wird auch bei VZ niemand etwas dagegen unternehmen (können).

  22. @Mithos Vielleicht sollten das nicht nur die Eltern, sondern auch SchülerVZ tun. Wäre jedenfalls sinnvoller als in wirkungslose Sicherungsmaßnahmen zu investieren.

  23. Ich wurde mir aber diesmal full disclosure wünschen, denn nur so baut man den Druck auf den es braucht, um die Probleme wirklich anzugehen!

  24. @tomasini: Full Disclosure wird es nicht geben. Ich werde den Quelltext des Crawlers nicht veröffentlichen um Scriptkiddies nicht zu unterstützen.

  25. Ob hier wirklich „Lob“ angebracht ist für die Datenschutzbemühungen der VZNetzwerke möchte ich in Zweifel stellen.
    Im Vergleich mit Facebook fällt das Urteil zwar besser aus, aber wer will sich noch mit Facebook vergleichen? ;)

  26. @Florian:

    Welchen potentiellen Schaden könnten SKiddies denn anrichten? Welche Vorteile würde full disclosure dagegen bieten?

    Ich habe die Befürchtung, dass es somit auch wieder nur ein Sturm im Wasserglas bleiben wird.

  27. OH MEIN GOTT… Das gedruckte Telefonbuch hat auch ein Datenleck!!!

    Man kann das Telefonbuch mittels „Automatischer Buch-Digitalisierung“ auch crawlen. Die Bösen sind da jetzt wohl Google und das Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme!?

    Hat demzufolge jetzt jede Verleger und jeder Webseitenbesitzer ein Datenleck?

    Fakt ist, dass jeder Datensatz in HTML mittels automatisierter Programme abgerufen und gespeichert werden kann. Klar kann man dem vorbeugen und Captchas & Co. einbauen, aber als Hersteller einen Mittelweg zu finden, was man dem Benutzer an Extra-Eingaben zumutet und was der angeblichen Sicherheit dient… Meiner Meinung nach: Ewige und endlose Diskussion.

    Wer im erwähnten Telefonbuch (oder VZ) nicht drin stehen und somit nicht kontaktiert (oder gecrawlt) werden will, der muss seine Daten halt komplett löschen lassen.

    Grüße

  28. Najaaa..
    Kann mich 53. nur anschließen – zudem ja immer nur durch die Vordertüre „reingegangen wird“.. kommt mir vor wie der Tag-der-offenen-Türe-Besuch in einem Kunstmuseum bei dem heimlich fotografiert wird..

  29. Also einige Unternehmen haben als Geschäftsmodell für sich entdeckt, mit jeder Menge sozialem Druck unerfahrene Kinder und Jugendliche zur Veröffentlichung von Daten zu bringen, die nicht ins Netz gehören. Worüber sich nun alle Welt aufregt ist jedoch, dass diese veröffentlichten Daten trotz eines TÜV-Siegel öffentlich sind. LOL.

  30. @Micha: Wäre mir jetzt aber neu, dass im Telefonbuch solche Sachen wie Hobbys, politische Einstellung oder auch nur das Geburtsdatum eines Schülers steht. Mal davon abgesehen, dass ein Telefonanschluss bei den Telkos meist nicht für Minderjährige zu bekommen ist, das läuft immer über die Eltern.

    Leider gibt der Betreiber aber vor, dass die Daten im VZ sicher seien und versucht diesen Eindruck auch mittels einem TÜV-Bapperl zu erwecken.
    Micha, du hast das Problem nicht erkannt. Lies weiter oben noch mal nach, was man tatsächlich alles mit den Daten anstellen könnte.

  31. full disclosure? Ne, also was zum crawlen nötig ist, kann sich wohl jeder selbst ausdenken. Schließlich ist das kein Hack, der eine perfide Lücke aufdeckt. Die Sicherheitslücke besteht eigentlich darin, daß überhaupt evtl. Daten im Netz (also öffentlich) sind, die es nicht sein sollten.
    Das Problem sind nicht die Netzwerke sondern die Nutzer, insofern diese eine Privatheit annehmen, wo keine besteht – ohne die Netzwerke jetzt in Schutz nehmen zu wollen.

  32. Ach was:
    Es handelt sich überwiegend um Daten von minderjährigen Schülern, die sich über ihr Handeln und die Konsequenzen oft nicht bewusst sind.

    Ich meine in dieser Seite nicht zu selten mal gelesen zu haben, dass der Schutz solcher armen Kreaturen VOR dem Bildschirm stattfindet.

  33. sowas als ‚datenleck‘ zu bezeichnen ist ziemlich unseriös. so einen crawler kann man innerhalb von wenigen stunden für alle möglichen webseiten/communities schreiben.

    recaptcha bedienen dürfte mit etwas zeit oder der richtigen software auch nicht das ding sein, begrenzte seitenaufrufe bei dynamischen IPs ohnehin nicht.

    ohne dass es für gewöhnliche benutzer ziemlich ungemütlich wird gibt es dagegen keinen (längerfristig) wirksamen schutz.

    hier sind die kids selbst gefragt, gegebenenfalls aufzupassen.

    und das ist wirklich kein ‚datenleck‘ – genauso könnte man auch mit einem crawler die kommentare auf netzpolitik.org durchgehen und namen und URLs abgreifen, mit denen man dann ggf. weiter arbeiten könnte. (was auch immer man dann damit anfangen will.)

    das ist als ob ich mich beschweren würde, dass mein xing-profil durch den google crawler gefunden wird. ist das hier dann auch ein datenleck?

    http://www.google.de/search?q=m%C3%BCller+site:xing.com

    netzpolitik.org ist ne gute seite ansonsten, aber das hier ist wirklich nur panikmache und geht jetzt schon wieder ohne fachliche bewertung durch alle nachrichten.

    1. @aleks: Ich habe bewusst nicht von einem Daten-Gau gesprochen, sondern von einem Datenleck. SchülerVZ hat im letzten Herbst Verbesserung gelobt und Maßnahmen angekündigt, um ein solches Crawlen zu verhindern. Das hat offensichtlich nicht geklappt. Damals groß angekündigte neue Sicherheitsmaßnahmen sind später wieder zurückgenommen worden.

      Und stell Dir mal vor, jemand hätte die ganzen Daten rausgecrawlt und ins Netz gestellt. Wäre das ein Datenleck oder selbst Schuld? Ich finde, das ist ein Problem, der Betreiber ist in der Verantwortung, für eine größtmögliche Sicherheit der Daten von Minderjährigen zu sorgen, ebenso wie die Nutzer in der Verantwortung sind. Das muss den Minderjährigen aber jemand erklären. Und man sollte nicht vergessen: Immerhin hat der Betreiber sich das Geschäftsmodell mit Minderjährigen selbst ausgesucht.

      Im übrigen kannst Du Xing nicht mit SchülerVZ vergleichen. Bei ersterem sind Erwachsene Menschen aktiv, die für ihr Handeln selbst verantwortlich sind. Bei Minderjährigen, teilweise noch 12-jährigen kannst Du nicht davon ausgehen, dass diese sich immer ihres Handelns bewusst sind. Ausserdm hat Xing explizit die Funktion, öffentlich sichtbar zu sein, die Daten auf SchülerVZ nicht. Zitat aus der Datenschutz-Promo-Seite:

      Deine persönlichen Daten sind auf unseren Servern (den Speicherorten für diese Daten) bestmöglich geschützt. Sie können z.B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb vom schülerVZ auf.

      Bei mir ist eine 900MB große Datei mit vielen detaillierten teilweise persönlichen Daten aufgetaucht. Du kannst mir also Unseriösität vorwerfen, aber den Schuh zieh ich mir nicht an.

  34. Leider muss ich Aleks vollkommen zustimmen. Dieser „Skandal“ ist weder ein „Datenleck“, noch sonst etwas Außergewöhnliches.

    Sorry Markus, aber dieses Mal ist viel heiße Luft dabei!

  35. markus: der vergleich mit xing mag von der zielgruppe her unpassend sein, am zugang zu persönlichen daten ändert das allerdings wenig. da stehen die vz-netzwerke noch besser da, da hier aufgrund des erzwungenen logins nichts von google indiziert wird.

    dass gruppenzugehörigkeiten im SchülerVZ trotz auf ‚privat‘ gesetzter profile angezeigt werden ist meinetwegen ein fehler. aber auch dann wäre der crawler früher oder später auf eine beträchtliche anzahl datensätze gekommen – das medienwirksamen ‚mehr als eine million datensätze ausgelesen‘ bliebe also.

    ich sehe ein, dass bei schülern besondere vorsicht geboten ist, aber das würde auf massnahmen wie ‚validierung per post‘, noch mehr nervige captchas und noch restriktivere beschränkungen hinauslaufen – am ende wird das allen zu nervig.

    ich verstehe das problem, aber wirklich effektiv wird man diese mehr oder weniger ‚persönlichen‘ daten nicht vor sammlern schützen können. letzten endes bleibt immer die möglichkeit, das manuell zu machen.

    ausserdem möchte man ja in communities auch neue leute kennenlernen – was recht schwierig wird wenn sich alle nur verstecken. ich weiss nicht, inwiefern die kids wirklich ‚aufgeklärt‘ werden was ihre online-aktivitäten für folgen haben können, aber ich denke eher, dass man da ansetzen sollte.

    darüberhinaus wird wohl kaum jemand ernsthaft irgendwem ‚einen strick draus drehen wollen‘ wenn er sich als jugendlicher gelegentlich mal online unpassend oder übermütig verhalten hat.

    aber das ist für mich ein anderes thema. für mich klingt ‚datenleck‘ einfach zu sehr danach als ob hier irgendjemand mit tatsächlichem ‚hacken‘ zugange war, als ob ein sehr fahrlässiger ‚programmierfehler‘ vorlag oder als ob die datensätze mit einem klick und passwort ‚test‘ abholbereit irgendwo rumlagen und dem ist nicht so.

    hier hat jemand mit einem speziell auf eine website zugeschnittenen programm informationen gesammelt, die öffentlich zugänglich sind – das geht nahezu überall ‚im internet‘ und ist *eigentlich* auch ganz gut so. (darüber wann das in ordnung ist und wann nicht, könnten wir wohl wochenlang diskutieren. war aber wie gesagt nicht unbedingt ‚mein punkt‘.)

  36. Hallo,

    für mich ein Paradebeispiel, wie man Bürgerjournalismus auch übertreiben kann. In Anbetracht der Reaktionen, hätte man das Ganze weiterhin versuchen müssen, mit schuelerVZ intern zu klären.

    Ein Aplpha-Blogger und Crawler-Liebhaber im gemeinsamen Kampf gegen den Datenmissbrauch. Das Geschichte riecht mehr nach Egotrip als nach Grimmepreis…

    Grüße

    Gretus

    1. @Gretus: SchülerVZ war offensichtlich nicht in der Lage, auf die Hinweise von Florian zu reagieren. Erst nachdem wir Druck gemacht haben, war man dort bereit, aufgrund der öffentlichen Empörung zu reagieren. Traurig, aber wahr. Es wäre natürlich schöner gewesen, man wäre den Hinweisen nachgekommen und würde die Datensicherheit der eigenen Nutzer auch so Ernst nehmen, wie man es verspricht.

  37. Von der Taktik in einer Diskussionsführung ist es wirklich beinah fahrlässig, wenn jemand, der in Bezug auf Zensur gern auch auf die Pädophiliekeule schimpft, diese hier auspackt. Das macht in meinen Augen unglaubwürdig und die Argumentation wirkt beliebig, je nach dem, wie es „mir“ grad passt.
    Ich muss zugeben, dass ich netzpolitik.org a) gern interessiert lese, b) auch kein Rezept zwischen dem Schutz solcher User und Zensur hab und c) netzpolitik nicht vollständig(!) bezüglich solcher Aussagen analysiert habe, aber momentan scheinen mir Standpunkte nicht konsistent, eher beliebig (s.o.) und sind in der Masse und Form der Äußerung damit für mich fahrlässig.

  38. Ist schon krass, das schuelervz alle halbe jahre negativ in den schlagzeilen ist (wobei mich wundert wieso dann nur schuelervz und nicht auch studi und meinvz).

  39. ich wil auch eine schülervz haben ich weiß nicht wie man das mácht könt ihr mir vieleicht helfen wie man das macht ich werde mich sehr freuen wen ihr mir helft danke eure özge

  40. Der Datenschutz wird bei großen Unternehmen immer noch viel zu lasch behandelt, wie SchülerVZ, Facebook, Apple und co immer wieder beweisen.
    Nach jedem Skandal wird Besserung gelobt und doch geht es immer so weiter. Strafen sind, wenn sie denn verhängt werden, wesentlich zu gering um die entsprechenden Unternehmen von solch fahrlässigem Verhalten abzuhalten. Es sollte Sanktionen geben die bei wiederholten Vergehen immer drastischer ausfallen…

    1. Largos, das kann man so unterschreiben, leider.
      Oftmals bekommt die Öffentlichkeit von den „kleineren“ Problemen gar nichts mit oder wenn, dann erst viel zu spät.
      @Geschenk-Ideen: Wenn das so einfach wäre…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.