Erneut schülerVZ-Datensätze im Umlauf
Dem Blogger Markus Beckedahl sind ein weiteres Mal Datensätze aus dem schülerVZ zugespielt worden. Dieses Mal handelt es sich um insgesamt 1,6 Millionen Profile. Der Student Florian Strankowski hat sie mithilfe eines selbst entwickelten Tools und insgesamt rund 800 eigenen Benutzerkonten automatisch auslesen lassen.
Der von Strankowski verwendete Crawler ist mittlerweile ausführlich dokumentiert (PDF). In einem Interview mit Markus Beckedahl, Betreiber des Blogs Netzpolitik.org, schilderte und rechtfertigte der Studierende aus Lüneburg sein Vorgehen.
Er wolle zeigen, „dass im Endeffekt nichts unternommen worden ist, um die Daten der Nutzer effektiv zu schützen.“ Das vom TÜV an die VZ-Netzwerke ausgestellte Zertifikat sei zwar hübsch anzusehen, würde aber etwas bestätigen, „was so nicht der Fall ist“. Er startete das Projekt zudem im Rahmen seines Studiums – um es schließlich als Leistungsnachweis einzureichen. Florian Strankowski findet es „faszinierend, wie man Daten am effektivsten sammelt, verarbeitet und aufbereitet.“
Während die Kollegen von Spiegel Online über eine „mögliche Sicherheitslücke“ berichten und Vergleiche mit den Vorfällen im Herbst 2009 anstreben, als ein ähnliches Vorgehen einem 20-jährigen Mann aus Erlangen zum Verhängnis wurde, geht Strankowski die Sache völlig anders an. Er gab sich nicht zufrieden, als die Hinweise, die er den VZnet Netzwerken per Mail zukommen ließ, ohne Reaktion verpufften. Stattdessen wandte er sich an Markus Beckedahl, der in seiner „Funktion als Journalist die Möglichkeit hat, in diesem Fall zwischen den zwei Fronten zu vermitteln“, so der Lüneburger Student.
Nachdem die Details zu diesem Fall wesentlich offener kommuniziert worden sind, ist nun das Team des schülerVZ an der Reihe. Dieses hat sich in seinem Blog bereits in Form einer kurzen Stellungnahme dazu geäußert. Sie bedanken sich bei dem „jungen Wissenschaftler für den Hinweis“ und betonen, dass es sich „um ein sogenanntes »Crawling«“ handelt, das „in etwa vergleichbar ist mit dem Kopieren von Daten aus dem Telefonbuch“. Angeblich habe man den Sicherheitsstandard bereits kurzfristig optimiert. Die Details dieser „Optimierung“ sind jedoch unbekannt.
Tatsächlich kann man auch in diesem Fall kaum von einer Sicherheitslücke sprechen. Strankowski habe die Schutzmechanismen des Netzwerks umgangen, indem er eine große Anzahl von Benutzerkonten verwendet hat, um möglichst viele Daten gleichzeitig sammeln zu können. Dazu hat er schlicht einige grundlegende Funktionen des schülerVZ ausgenutzt, während der Student betont, dass all dies aufgrund gleicher Quelltexte auch in den anderen VZ-Netzwerken möglich ist.
Bei der Ansicht einer Gruppenseite, die von vielen Mitgliedern intensiv genutzt wird, um dem Profil mehr oder weniger originelle Sprüche hinzuzufügen, ist es laut Netzpolitik.org möglich, aus dem HTML- und JavaScript-Quelltext den Namen, die Schule, die ID der Schule und einen Link zum Profilbild der einzelnen Mitglieder auszulesen. Als diese Möglichkeit an ihre Grenzen gestoßen war, setzte Strankowski den Crawler auf die jeweiligen „Freunde“ der gesammelten Profilinhaber an.
Letztendlich sind diese Informationen für Jedermann einsehbar. E-Mail-Adressen, Passwörter oder ähnliche noch weitaus sensiblere Informationen sind auch in diesem Fall nicht an Dritte gelangt. Dennoch lässt sich eine Datenbank mit einem solchen Umfang leicht zweckentfremden. Da sie auch invers durchsuchbar sei, könne man etwa alle Schüler im Alter von 10-12 Jahren aus der näheren Umgebung eines bestimmten Orts ermitteln.
Der Vorwurf an die VZnet-Netzwerke lautet daher, dass man die Mitglieder stärker darauf aufmerksam machen muss, welche Daten sie von sich preisgeben und dass es Möglichkeiten gibt, die Sichtbarkeit dieser Informationen einzuschränken. Erst kürzlich haben wir solch eine Vorgehensweise für das Konkurrenz-Netzwerk Facebook beschrieben. Im schülerVZ, studiVZ und meinVZ ist es deutlich einfacher, seine Privatsphäre zu schützen, dennoch machen nur wenige Mitglieder davon Gebrauch. Gerade das schülerVZ, das überwiegend minderjährige Nutzer hat, sollte für die VZnet Netzwerke ein Ansporn für höhere Sicherheit personenbezogener Daten sein.
Weshalb sich die Betreiber des schülerVZ dafür entschieden haben, die nach den Vorfällen im letzten Herbst eingeführten „reCAPTCHA“-Sicherheitsabfragen wieder zu entfernen, ist rätselhaft. Vermutlich sollte die Sicherheit ein weiteres Mal dem Bedienkomfort weichen.