zurück zum Artikel

Erneute Datenschutzpanne bei SchülerVZ [Update]

Erneut gibt es ein Datenschutzproblem bei SchülerVZ – trotz Datenschutzversprechen, TÜV-Siegel und Note "Sehr gut" der Zeitschrift Öko-Test [1]. Die Bürgerrechtsplattform netzpolitik.org berichtet [2], dass ihr ein aktueller Datensatz von rund 1,6 Millionen aktiven Schülern (30 % aller Profile) von einem Informanten zugespielt wurde.

SchülerVZ hatte zwar diverse Maßnahmen durchgeführt, um nach dem Datenschutzdebakel im vergangenen Herbst das massenweise Abgreifen von Nutzerprofilen mit speziellen Crawler-Tools zu erschweren, das hat aber offenbar nicht gefruchtet. StudiVZ hatte unter anderem Captchas eingeführt und die Profilabrufe limitiert. Die Captchas sind aber mittlerweile wieder verschwunden; vermutlich, weil sie die legitimen Nutzer eher behinderten und für die Profil-Crawler nicht wirklich eine Hürde darstellten.

Laut netzpolitik.org wurden die Daten des neuen Satzes über Gruppenmitgliedschaften gesammelt. Damit sollen sich Basisinformationen von Profilen wie Name, Schule, Schul-ID-Nummer und Link zum Bild abfragen lassen, auch wenn ein Profil auf "privat" gestellt ist. Weitere Profile seien dann über Freundeslisten ausgelesen worden. Da viele Schüler aber offensichtlich mit den Datenschutzeinstellungen ihres Profils überfordert sind, lassen sich über Name und Schule hinaus auch Daten wie Alter, Geschlecht, Klasse, Beziehungsstatus, politische Einstellung, Hobbys und Beschreibungen zur Person einsehen.

Die Datensätze enthielten jedoch keine direkten Kontaktdaten wie E-Mail-Adresse oder Postanschrift. Mit derartigen Listen ließen sich aber immerhin Listen erstellen, beispielsweise alle Schüler eines bestimmten Alters an einer bestimmten Schule. Besonders brisant daran findet netzpolitik.org, dass es sich überwiegend um Daten von minderjährigen Schülern handelt, die sich der Tragweite von Datenschutzproblemen nicht bewußt sind. Die Daten von minderjährigen Schülern sollten daher einen besonderen Schutz genießen und besser gegen massenhaftes maschinelles Auslesen gesichert sein.

Wie bereits bei den vergangenen Fällen sollen die Betreiber von SchülerVZ erste Hinweise des Informanten auf das Problem ignoriert und auf Mails nicht geantwortet haben. Auf die Hinweise von netzpolitik.org hat man dann reagiert.

[Update:] Der Entwickler Florian Strankowski hat in dem Dokument "LENAML - A VZnet Netzwerke Crawler" Details zu dem benutzten Webcrawler veröffentlicht [3]. Unter anderem trickst der Crawler das "Anti-crawler-system" von StudiVZ aus, in dem er 1000 Konten nutzt. Der Schutz beruht nämlich nur auf der Zählung der Klicks eines Anwenders auf der SchülerVZ-Plattform. Bei mehr als 1980 Klicks blockt das System weitere Aktionen. Mit parallelen Konten lässt sich der Schutz umgehen. Nettes Detail am Rande: Das Tool LenaML ist dem Gewinner der Show Unser Star Für Oslo, Lena Meyer-Landrut gewidmet.

Siehe dazu auch:


(dab [8])


URL dieses Artikels:
http://www.heise.de/-992435

Links in diesem Artikel:
[1] http://blog.studivz.net/2010/04/30/oko-test-magazin-bewertet-datenschutzerklarung-sozialer-netzwerke-schulervz-und-studivz-mit-bestnote/
[2] http://www.netzpolitik.org/2010/neues-datenleck-bei-schuelervz/
[3] http://www.coresec.de/index.php/2010/05/04/schuelervz-crawler-lenaml/
[4] https://www.heise.de/meldung/StudiVZ-geht-jaehrlich-zum-TUeV-908218.html
[5] https://www.heise.de/meldung/StudiVZ-gibt-Datenschutzversprechen-748385.html
[6] https://www.heise.de/meldung/SchuelerVZ-Daten-Der-florierende-Markt-fuer-Datensammelprogramme-833215.html
[7] https://www.heise.de/meldung/Ueber-1-Million-Datensaetze-bei-SchuelerVZ-abgesaugt-832232.html
[8] mailto:dab@ct.de