Datenpanne bei SchülerVZ
Ich muss gerade unglaubliches lesen, als ich in meinem Reader auf Netzpolitik klickte. “Datenleck bei SchülerVZ”. Man kann sich schon vorstellen, dass es nicht der erste Fall solcher Art ist und vieles unter den Tisch gekehrt wird.
Konkret geht es darum, dass mehr als eine Millionen Datensätze (Name, Alter, Wohnort, Interessen, Geschlecht, Profilbild usw.) gephist wurden. Durch Löcher im SchülerVZ-CMS. Dass SchülerVZ nicht aus vergangenen Pannen, wie bei StudiVZ oder MeinVZ, gelernt hat, ist wirklich bedauerlich.
Zurück zum Artikel von netzpolitik.org. Markus hat in der Verbraucherzentrale um Rat gefragt und ein Interview erhalten:
Die Betreiber sozialer Netzwerke sind in der Pflicht, Daten ihrer Mitglieder gegen unbefugten Zugriff zu schützen. Das aktuelle Beispiel zeigt, dass Benutzer sich nicht in Sicherheit wiegen lassen sollten: Netzwerke sind ein Teil des Internets und nicht von ihm getrennt. [...]
Kurz nach der Veröffentlichung auf netzpolitik.org hatte sich SchülerVZ selbst zu Wort gemeldet und lässt verlauten, dass man “die Datenschutzbehörden umgehend informiert und [...] rechtliche Schritte gegen Unbekannt einleiten” wird.
Übrigens stammen die Löcher von so genannten “Cross Site Request Forgery”, kurz XSRF, eine Unterart der XSS, der Cross Site Scripting-Attacken, wie sie auch mal bei Redio vorkamen. Mit diesen Lücken, so Insiderinformationen, ließen sich auch Accounts übernehmen und andere tolle Dinge tun, wie Accounts löschen oder Inhalte hochladen. Desweiteren soll eine kleine Lücke darin bestehen, dass Bilder nicht vom Server gelöscht werden, sondern nur der Link zum Bild. SchülerVZ streitet dies aber ab.
Mittlerweile soll sich die unbekannten Eindringlinge schon bei SchülerVZ gemeldet haben, um die Lücke zu beheben. Von eine Anzeige möchte SchülerVZ bei voller Kooperation absehen.
