Schüler-VZ: Diebstahl von 1 Mio. Datensätzen (3. Update)

Bild von Razyl
Razyl 9226 EXP - 18 Doppel-Voter,R10,S9,A8
Alter Haudegen: Ist seit mindestens 5 Jahren bei GG.de registriertAlter Haudegen: Ist seit mindestens 3 Jahren bei GG.de registriertIdol der Massen: Hat mindestens 10.000 Kudos bekommenSilber-Reporter: Hat Stufe 10 der Reporter-Klasse erreichtTop-Verlinker: Linkt mit Grafik auf GamersGlobal.deBronze-Archivar: Hat Stufe 5 der Archivar-Klasse erreichtLoyalist: Ist seit mindestens einem Jahr bei GG.de dabeiBronze-Schreiber: Hat Stufe5 der Schreiber-Klasse erreichtBronze-Reporter: Hat Stufe 6 der Reporter-Klasse erreichtDatenbank-Geselle: Hat 100 Steckbriefe angelegtStar: Hat 1000 Kudos für eigene News/Artikel erhaltenTop-News-Veteran: Hat mindestens 50 Top-News geschrieben

17. Oktober 2009 - 20:48 — vor 7 Jahren zuletzt aktualisiert

3.Update
Der mutmaßliche zweite "Crawler" der Schüler-VZ Daten ist mittlerweile in U-Haft. Er wollte das Team der VZ-Seiten erpressen, indem er zuerst 20.000 Euro forderte, ansonsten wollte er die Daten in Osteuropa verkaufen. Die Gesamtsumme, die er erpressen wollte, belief sich am Ende auf 80.000 Euro. Der junge Mann aus Erlangen soll die Tat im Wesentlichen gestanden haben. Allerdings ist noch unsicher, ob die Daten, die die Person veröffentlicht hat, noch jemand besitzt. Bei dem Täter handelt es sich nicht um einen Mitarbeiter der VZ-Netzwerke.
Der besagte junge Mann ist anscheinend auch schon vorbestraft, wegen eines Drogendeliktes. Bei dem Täter soll es sich auch um dieselbe Person handeln, die schon seit einigen Monaten Angriffe auf die Seiten wow-szene.de und bamstevinho.de durchführt, so der Betreiber der jeweiligen Seiten in seinem Blog.

2. Update:
Der bisherige Stand besagt, dass es zwei Personen gibt, die getrennt voneinander die Profile aufgesucht haben und dort die Daten geklaut haben. Die Quelle von Netzpolitik ist mit einem Bot vorgegangen, der die Profile aufgesucht hat. Auch die zweite Person ist mit einem Bot vorgegangen und hat nicht nur Schüler-VZ Daten, sondern auch einige Daten von studiVZ und meinVZ erworben. In einem Blogeintrag von Ende Mai beschreibt diese Person, dass sein Bot 48.000 Profile in vier Stunden angeschaut und die dortigen Daten abgespeichert hat. Anfang Juli schrieb die Person, dass sein Bot bzw. der Server auf dem der Bot lief einen IP-Bann bekommen hat. 
Gestern schrieb diese zweite Person, dass er seinen Datensatz in einer Community zum Download bereitgestellt hat. Wenig später bemerkte der Blogger nach einem Gespräch mit dem VZ, dass seine Datenbank eine andere ist, demnach existieren derzeit weiterhin zwei Datenbanken. Die Datenbank von dieser zweiten Person scheint jedoch umfangreicher zu sein, da dort sogar Hobbys, Lieblingsmusik etc. drin stehen. Da er die Schüler-VZ Datenbank öffentlich gemacht hat wurde diese Datenbank 17-mal vom Server geladen und derzeit scheinen auch noch externe Leute die Datenbank zu besitzen. Diese zweite Person hat mittlerweile seine Daten an das Team rund um das VZ weitergegeben.

Die Betreiber hinter dem VZ haben mittlerweile erste Schritte zu einem verbesserten Datenschutz eingeleitet. Der erste Schritt war, dass man das alte Captcha-System abgeschafft hat und ein neues eingesetzt hat.

1. Update:
Ein weiteres Statement wurde vom Schüler-VZ Team abgegeben:

Unsere weiteren Ermittlungen haben ergeben, dass es sich bei der Quelle von netzpolitik.org nicht um den tatsächlichen Verursacher sondern um einen „Trittbrettfahrer“ handelt, der Zugang zu den Daten des eigentlichen Täters hatte.

Den eigentlichen Täter konnten wir inzwischen identifizieren und haben bereits mit ihm Kontakt aufgenommen. Er stellt uns aktuell eine Kopie der Daten zur Verfügung.

Wie bisher kommuniziert handelt es sich dabei um Daten, die für jeden anderen SchülerVZ Nutzer öffentlich einsehbar sind und nicht um Daten wie Passwörter, Adressen, Telefonnummern oder private Kommunikation. 

Zu keinem Zeitpunkt hatte der Täter einen Datenbankzugang und keine Einstellungen der Nutzer zur Privatsphäre konnten überwunden werden. 

Zudem hat der Täter uns gegenüber erklärt, dass er die Daten weiteren Personen zur Verfügung gestellt hat, die er uns gegenüber zum jetzigen Zeitpunkt nicht nennen will.

Der Täter fordert aktuell diese Personen auf die Daten zu löschen und mit uns in Kontakt zu treten. 

Wir sind aktiv dabei diese Personen ausfindig zu machen, um sie über die juristischen Konsequenzen Ihres Handelns aufzuklären und dafür zu sorgen, dass die illegal kopierten Nutzerdaten gelöscht werden.

Im Blog von Schüler-VZ tauchte auch ein folgender Kommentar auf, der folgendes behauptet:

Die Daten sind mittlerweile getrieben eben durch die Öffentlichkeit so gut wie in jedem halbwegs “brauchbar” sortierten Board mit weltweiten Mirrors verlinkt [Raid-Rush, gulli, gsmfreeboard usw.], wer behauptet das diese Daten jemals zufriedenstellend gelöscht werden können begibt sich auf sehr sehr dünnes Eis. Aber es wird wenigstens versucht, das ist toll, meine ich ganz ernst.

Laut Netzpolitik besitzen noch andere Personen verschiedene Datensätze. Die zweite Person, die Schüler-VZ meint, scheint Datensätze zu besitzen, wo auch das Geburtsdatum mit dabei steht. Laut den Betreiber von Netzpolitik gab es in der Datenbank der anonymen Quelle keine Daten, die auch das Geburtsdatum der Personen beinhalteten. Demnach zu urteilen sind mehrere, verschiedene Datensätze geklaut worden, die nun unbekannte Personen besitzen. Unklar bleibt noch, wie viele Datensätze wirklich im Umlauf sind.

Ursprüngliche News
Den Betreibern der Seite Netzpolitik.org wurden anonym gestohlene Listen von Schüler-VZ-Usern zugesendet. Die rund eine Million Datensätze enthalten Profilinformationen wie Name, Schule, Alter und sogar Fotos.

Netzpolitik vermutet, dass die Datensätze aus der Datenbank von Schüler-VZ ausgelesen wurde. Ähnliches passierte schon vor drei Jahren bei Studi-VZ. Anscheinend haben die Betreiber nichts dazu gelernt. Eine der Datensätze enthält über eine Million Daten, wie Profil-ID (Name und dazugehörige Schule), ein anderer Datensatz enthält die Profil-ID, Geschlecht, Alter und sogar Profilbild.

Die Betreiber von Schüler-VZ haben ein Statement dazu abgegeben, das sagt, dass die Daten nicht aus der Datenbank gestohlen wurden:

Wir haben am heutigen Nachmittag Kenntnis über folgenden Vorgang erhalten: Ein schülerVZ-Nutzer hat eine Vielzahl von Profilen aufgerufen und Kopien einzelner der für alle schülerVZ-Nutzer sichtbaren Daten angelegt: Name, Schule, Geschlecht, Alter, Profilfoto. Es handelt sich hierbei explizit nicht um Daten wie Postadressen, Email Adressen, Zugangsdaten, Telefonnummern und Fotoalben, sondern um für alle Community-Nutzer einsehbare Daten. Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen. Die VZ-Netzwerke haben die Datenschutzbehörden umgehend informiert und werden rechtliche Schritte gegen Unbekannt einleiten.

Der Betreiber von Netzpolitik geht aber davon aus, dass dies nicht manuell geschehen konnte. Er ist sich sicher, dass eine sogenannte CSRF-Lücke genutzt wurde um an die Daten heran zu kommen. Ebenfalls hat der Betreiber auch neue Hinweise auf Sicherheitslücken bekommen, wovon eine sogar ermöglicht ganze Accounts zu übernehmen. Laut der anonymen Quelle wurde die Lücke schon vor einer Woche Schüler-VZ gemeldet, aber sie sei heute immer noch nutzbar.

Auch soll es eine Lücke geben, die eigentlich gelöschten Bilder betrifft. Kennt man den Link des ehemaligen Bildes kann man weiterhin darauf zugreifen. Dies würde gegen die Nutzungsbedingungen von Schüler-VZ sprechen, da dort folgendes steht: "Wenn du etwas löschst, ist es auch weg. Und das komplett!". Schüler-VZ bestreitet bisher diese Lücke.

Laut Netztpolitik.org, die sich auf Aussagen von Schüler-VZ beziehen, hat das Technik-Team von Schüler-VZ die Lücken geschlossen. Schüler-VZ bedankte sich für das zusammenarbeiten mit Netzpolitik.org und nahm die Strafanzeige gegen Unbekannt zurück.

Netzpolitik besagt auch, dass weder die anonyme Quelle noch die Betreiber von Netzpolitik Interesse daran haben, die Daten zu veröffentlichen und sie somit jeden zugänglich zu machen. Die Daten sollen heute noch, von beiden Seiten (Quelle und Netzpolitik) gelöscht werden.

monokit 14 Komm-Experte - 2098 - 17. Oktober 2009 - 21:10 #

Die Gründer von Studi-VZ und Schülzer-VZ... sind das nicht die Vollspacken, die ihr eigenes Portal dazu benutzt haben um hübsche Studentinnen zu stalken und sexuell zu belästigen? Die sind dann doch von Holtzmann aufgekauft worden...

Bei dem Mist würde ich mich nie anmelden...die hatten schon damals immer wieder massive technische Datenschutz Probleme.

Gerjet Betker 19 Megatalent - 13638 - 17. Oktober 2009 - 21:15 #

Ich selber stehe skeptisch gegenüber whateverVZ - einmal ist es ein zusammengeklaue von APIs erfolgreicher Sozialen Netzwerken und zweitens:

Animexx und Facebook (Hurra für DS-Unterstützung) sind für meine Bedürfnisse besser geeignet (vor allem Mexx)

bersi (unregistriert) 18. Oktober 2009 - 10:50 #

ein hoch auf Animexx ^^

Sephix 13 Koop-Gamer - 1452 - 17. Oktober 2009 - 22:08 #

Social Networks... Zum Glück nutze ich solche Seiten wie Schüler-VZ und Co. nicht.

Screeny (unregistriert) 17. Oktober 2009 - 22:30 #

Offizielles Statement von SVZ:
Entegen unserer Annahme bzw. bisherigen Ermittlung gibt es noch weitere Kopien dieser Liste. Den eigentlichen Täter konnten wir aber inzwischen identifizieren und haben bereits mit ihm Kontakt aufgenommen.

Wichtig: Der Täter hatte keinen Zugang zu unserer Datenbank. Auch die Angaben, die ihr durch eure Privatsphäreeinstellungen geschützt habt, konnte er nicht sehen. Außerdem hat uns der Täter gesagt, dass er die Daten weiteren Personen zur Verfügung gestellt hat.

Er will uns derzeit jedoch nicht sagen, um wen es sich handelt. Der Täter fordert aktuell diese Personen dazu auf, die Daten zu löschen und mit uns in Kontakt zu treten. Wir sind aktiv dabei diese Personen ausfindig zu machen, um sie über die juristischen Konsequenzen Ihres Handelns aufzuklären und dafür zu sorgen, dass alle Listen mit illegal kopierten Nutzerdaten gelöscht werden.

Razyl 18 Doppel-Voter - 9226 - 17. Oktober 2009 - 23:13 #

Danke für den Hinweis.

keimschleim 15 Kenner - 2934 - 17. Oktober 2009 - 23:44 #

Tja, Pech gehabt. An sich habe ich nichts gegen Social Networks wie BlablablaVZ es sind. Allerdings sind sooo viele Menschen so unglaublich dumm, was ihre persönliche Daten im Internet angeht, dass ich da nicht traurig drüber sein kann.

Blair 10 Kommunikator - 356 - 17. Oktober 2009 - 22:48 #

Er wird angezeigt, weil er, sei es auch nur maschinell, eine Liste mit den Daten gemacht hat, die eh einsehbar sind, sobald man einfach nur angemeldet ist?
Ist DAS das Problem, oder die Tatsache, dass er dieses Datenpaket anderen gegeben hat? Denn die hätten sich ja theoretisch auch "nur" anmelden müssen, und hätten dann die Daten ebenfalls einsehen können.
Oder überseh ich da gerade was?

deLuxe 04 Talent - 22 - 18. Oktober 2009 - 9:25 #

Was will man nur mit lauter Fotos von pickeligen Jungs....

Dennis Ziesecke Freier Redakteur - P - 29501 - 18. Oktober 2009 - 14:47 #

Es gibt auch Fotos von pickeligen Mädels - und Sachen wie "Stelle eine Liste mit allen 14jähigen Mädchen von der blah-Schule in Berlin zusammen" sind in falschen Händen durchaus gefährlich.

Azzi (unregistriert) 18. Oktober 2009 - 9:44 #

Die komischen Portale sind eh nur ein Mittel der Selbstdarstellung. Als ich damals noch angemeldet war gab es echt Frauen die da halbstündig aktualisiert haben was sie gerade machen, das is irgendwie krank, dafür intressiert sich doch kein Mensch.
Als Soziologe würde ich sagen, die Portale sind die Konsequenz aus unserer Gesellschaft,dort kann man sich darstellen als wäre man etwas besonderes, sone art Star im kleineren Kreis...wisst ihr was ich meine?

Naja zum Topic: Ist ja nicht das erste mal das VZ durch unsauberen Umgang mit Kundendaten auffällt...naja ich bin mittlerweile weder in VZ noch Facebook und mir fehlt nix...die echten Freunde sieht man eh im RL und die StudiVZ Freund/Bekannte kennt man doch meistens eh nur flüchtig...

Gadeiros 15 Kenner - 3062 - 18. Oktober 2009 - 12:04 #

"Die komischen Portale sind eh nur ein Mittel der Selbstdarstellung. Als ich damals noch angemeldet war gab es echt Frauen die da halbstündig aktualisiert haben was sie gerade machen, das is irgendwie krank, dafür intressiert sich doch kein Mensch."

ist das nicht die idee und der erfolg von twitter? ;)

vorallem ist das wohl für viele eine möglichkeit aus der schnellen und anonymen gesellschaft auszubrechen.
ich kanns auch nicht verstehen... ich genieße es zB, daß mein name nicht googlebar ist.

monokit 14 Komm-Experte - 2098 - 18. Oktober 2009 - 10:52 #

"gab es echt Frauen die da halbstündig aktualisiert haben was sie gerade machen,"

Dafür gibt es doch jetzt Twitter...

Momsenek 13 Koop-Gamer - P - 1558 - 19. Oktober 2009 - 8:24 #

Ich bin eigentlich auch nicht Freund von dieser VZ-Geschichte aber dennoch auf StudiVZ ,aufgrund meines Studienganges, angemeldet.

Der Austausch und schnelle Kontakt über die VZ-Gruppe ist mir lieber als mich durch unsere eingesammelten E-Mails in Form einer "Mailing-Liste" zu schlagen. Hobbys,Interessen - sonstige private Informationen habe ich einfach weggelassen .

Geht mir lediglich um den Studien-Austausch ,als um Selbstdarstellung.

PS : Ich fand schön, das in den Radio-Nachrichten von einer " Panne " bezüglich dem Datenklau geredet wurde :D , nett ausgedrückt .

Kommentar hinzufügen

Neuen Kommentar abgeben
(Antworten auf andere Comments bitte per "Antwort"-Knopf.)