SchülerVZ-Datenleck war größer als bekannt

Jirko Alex
27 Kommentare

Das Blog netzpolitik.org berichtet über einen weiteren Datensatz, der etwa 118.000 Profile des sozialen Netzwerks SchülerVZ beinhalten soll. Dieser umfasse auch private Informationen wie etwa das Geburtsdatum, selbst, wenn diese eigentlich nur für Freunde sichtbar sein sollten. Die Sicherheitslücke bestand für über drei Jahre.

Anders als bei den bereits bekannt gewordenen Datendiebstählen vor einigen Tagen genügte das einfache Aufrufen von Profilen und das Speichern von Informationen und Fotos nicht, um auch an die eigentlich gesperrten Daten heranzukommen. Dies sei jedoch über die SuperSuche-Funktion des Portals möglich gewesen. Da jede Suchanfrage in eine recht leicht zu entschlüsselnde URL übersetzt werde, konnte man so mittels Zählschleifen beliebige Anfragen stellen, auswerten und die entsprechenden Daten in eine Datenbank eintragen. Wie zuvor wurde die Datenbank von SchülerVZ selbst nicht ausgelesen. Auch soll die Sicherheitslücke seit Juli nicht mehr bestehen. Seit der Einführung der SuperSuche konnten auf diese Art allerdings selbst private und nur für Freunde freigegebene Daten wie das Geburtsdatum oder persönliche Interessen ausgelesen werden. Zudem glaubt netzpolitik.org nicht an die Schließung aller Lecks. Zumindest das Auslesen des Geburtsdatums sei weiterhin möglich, so das Blog.

Fraglich ist auch, wie viele Personen sich bereits an ähnlichen Anfragen versuchten. Netzpolitik.org seien bisher bereits drei Quellen für verschiedene Datensätze bekannt. Stets war nur das Portal SchülerVZ betroffen, wenngleich sowohl StudiVZ als auch meinVZ auf dieselbe Technik setzen. Es ist nicht auszuschließen, dass die Dunkelziffer der unerlaubten Zugriffe weit größere Dimensionen umfasst als bisher bekannt. In jedem Fall sollte man nicht von einer hundertprozentigen Sicherheit selbst privat eingestellter Daten ausgehen und die Preisgabe persönlicher Informationen in sozialen Netzwerken überprüfen.