Datenpanne bei SchülerVZ

So wurden dem Weblog netzpolitik.org Listen mit Datensätzen zugeschickt, die teils mehr als eine Million Einträge umfassten. Darunter befanden sich Angaben wie Profil-ID, Name und Schule. Andere, kleinere Listen enthielten auch Schule, Geschlecht, Alter und Profilbild.

Es handele sich explizit nicht um Daten wie Post- oder Mail-Adresse, Zugangsdaten oder Telefonnummer, betont man zwar bei StudiVZ, sondern um Daten, die alle Community-Mitglieder einsehen können. Dennoch zeigt allein die Datenmenge, dass hier automatisch Daten ausgelesen wurden.

Man habe Maßnahmen eingeleitet, damit so etwas nicht wieder passiere, erklärt SchülerVZ. Unter anderem wurde der Zugriff auf eine große Anzahl Profile in kurzer Zeit gesperrt. Zudem habe man den Täter ermittelt, der eigenen Angaben zufolge auch Daten bei meinVZ und StudiVZ abgegriffen hat – diese wurden allerdings anders als die SchülerVZ-Daten noch nicht im Internet gesichtet.

»Da keinerlei persönliche Kontaktdaten betroffen sind, sondern nur Daten, die im SchülerVZ öffentlich … einsehbar sind, wird es keinerlei negative Folgen für unsere Nutzer geben«, heißt es bei StudiVZ. Und dass, obwohl sich laut netzpolitik.org mit den Daten einfach Abfragen wie »alle Schüler aus Berlin« oder »alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule« bauen lassen und die Daten mittlerweile im Netz verstreut sind.

Dazu kommt: andere Quellen berichten netzpolitik.org zufolge von handfesten Sicherheitslücken beim Social Network, die zwar mit dem aktuellen Datenklau nichts zu tun haben, aber dennoch ernsthafter Natur sind. So verbleiben offenbar von den Nutzern gelöschte Bilder weiterhin auf den Servern, was laut Datenschutzerklärung nicht der Fall sein dürfte. Und über ein XSS-Leck konnten sogar komplette Accounts übernommen werden. (Daniel Dubsky)