Über 1 Million Datensätze bei SchülerVZ abgesaugt

Aus anonymer Quelle wurden der Website Netzpolitik.org Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein Satz umfasst mehr als eine Million Datensätze mit den Feldern Profil-ID, Name und dazugehörige Schule samt ID. Ein kleinerer Datensatz zeigt detailliertere Informationen mit den Feldern Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild (einschließlich Link zum Bild) an.

Zwar enthalten die Datensätze keine direkten Kontaktdaten wie E-Mail-Adresse oder Postanschrift. Dies betonte auch SchülerVZ, das den Vorfall mittlerweile bestätigt hat. Markus Beckedahl von Netzpolitik.org betont, dass der Vorfall dennoch keine Bagatelle darstellt:

"Mit den Listen lassen sich einfache Datenabfragen erstellen wie 'alle Schüler aus Berlin', oder 'alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule'. Man kann sich vorstellen, dass diese Daten nicht aus den Datenbanken von SchülerVZ in einer solchen Größe ausgelesen werden dürfen."

SchülerVZ verlautbarte auch prompt: "Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen. Die VZ-Netzwerke haben die Datenschutzbehörden umgehend informiert und werden rechtliche Schritte gegen Unbekannt einleiten."

Die gesammelten Daten sind zwar grundsätzlich allen Mitglieder der Community zugänglich und somit öffentlich. In dieser Größenordnung lassen sie sich in endlicher Zeit aber nur automatisch mit einem Crawler zusammentragen. SchülerVZ erklärt allerdings unter "Sicherheit " auf seiner Website: "Deine persönlichen Daten sind auf unseren Servern bestmöglich geschützt. Sie können z.B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb vom SchülerVZ auf."

Folglich seien die Daten offenbar mittels einer automatisierten Abfrage über eine ungesicherte Schnittstelle bei SchülerVZ ausgelesen worden, argumentiert Beckedahl. Das weise auf ein großes Sicherheitsloch bei SchülerVZ hin – und dass man aus den Erfahrungen mit StudiVZ vor drei Jahren nichts gelernt habe. Damals wurde bekannt, dass man auf ähnliche Weise aus der StudiVZ-Datenbank viele Informationen aus den Profilen auslesen konnte. Bei SchülerVZ sieht Beckedahl das Problem aber bedrohlicher: "Hier handelt es sich um Kinder und Jugendliche, die einen besonderen Schutzraum brauchen." (gr/c't)