Alle Datenpannen aus Deutschland, die von Holtzbrinck (mit)verusacht worden sind
11.10.2010
Kriminelle sind in zwei unzureichend gesicherte Kundendatenbanken der Hamburger Wochenzeitung Die Zeit eingedrungen. In der einen Datenbank sind die Abonnenten der Papierausgabe verzeichnet, sofern sie die Zeitung über die Internetseite bestellt haben. Von diesen wurden Namen, Adressen und E-Mail-Adressen abgegriffen. Die Daten werden inzwischen über Bittorrent im Internet verbreitet.
In der anderen Datenbank sind die Online-Kunden verzeichnet, welche die elektronische Ausgabe abonniert haben. Bei ihnen war außerdem die Kontonummer im Kundenprofil hinterlegt. Es soll sich um mehr als tausend Datensätze handeln. Genaue Zahlen wurden bisher nicht bekannt. Laut Die Zeit sind diese Daten bisher nicht auf Filesharing-Seiten aufgetaucht. Der Täter sei festgenommen und die Sicherheitslücken seien geschlossen worden.
Kommentar hinzufügen
04.05.2010
Es ist ja auch schon eine gefühlte Ewigkeit her, dass sich das Schülerverzeichnis mit Datenpannen schmückte.
Netzpolitik veröffentlichte jetzt eine wissenschaftliche Untersuchung (Paper), die belegt, dass noch immer problemlos Millionen von Schülerdaten gecrawlt und in eine externe Datenbank überführt werden können.
Im konkreten Fall wurde in wenigen Tagen eine Datenbank mit 1,6 Millionen Datensätzen angelegt (rund 30% aller Nutzerprofile). Alle Datensätze enthalten mindestens Name, Schule und Link zum Bild. Je nach Privatsphäreneinstellungen der Schüler sind aber in der Regel weitere Daten verfügbar.
Interessant ist bei diesem Fall auch, dass VZNet nicht auf die Hinweise des Studenten reagiert hat, welcher den Crawler programmierte. Da alle drei VZNet-Netzwerke auf der gleichen Technologie basieren ist der Angriff auch auf MeinVZ und StudiVZ übertragbar.
Die Frage, ob es sich dabei allerdings um eine Datenpanne im eigentlichen Sinne handelt bleibt noch zu klären. Der Nutzer kann eigentlich nicht erwarten, dass personenbezogene Daten, welche er online stellt, nicht kopiert werden. Hier besteht eher ein Aufklärungsproblem – Stichwort: Medienkompetenz. Kann der Nutzer aber erwarten, dass diese Daten nur bestimmten Personen zugänglich sind?
Kommentar hinzufügen
28.10.2009
Offensichtlich gab es im SchülerVZ einige Sicherheitsprobleme, die mehrfach zum Abgreifen größerer Datenmengen geführt haben. Markus Beckedahl von netzpolitik.org wurde nun erneut eine Datenbank zugespielt. Sie enthält Namen und Geburtsdaten von 118.000 Berliner Schülern. Die Datenfelder Name und Geburtsdatum wurden nur exemplarisch gewählt, um zu zeigen, dass der Angriff auch als „privat“ eingestellte Daten enthüllt. Theoretisch hätten auch Datenfelder wie Schule, Wohnort, Beziehungsstatus, politische Einstellung, Geschlecht oder das Foto ausgelesen werden können, obwohl VZnet weiter behauptet, es wäre nicht möglich private (nur für Freunde sichtbare) Daten auszulesen.
Das Crawling erfolgte über die Suche des Netzwerks. Hier können verschiedene Profildaten eingegeben werden. Als Suchergebnis werden auch Profile von Nutzern angezeigt, welche die jeweiligen Daten auf „privat“ eingestellt haben. Die Datensätze wurden zur Beweissicherung dem Bundesverband der Verbraucherzentralen (vzbv) und dem Berliner Datenschutzbeauftragten, Alexander Dix, übergeben. Dix sprach im Zusammenhang mit dieser Datenpanne von einer „völlig neuen Qualität“. Da alle drei Plattformen der VZnet-Gruppe auf dem selben System basieren ist zu befürchten, dass „private” Daten auch schon bei MeinVZ und StudiVZ ausgelesen wurden.
Der Cracker, der die Daten ausgelesen hatte, betonte indes, dass er diese nicht für kriminelle Zwecke nutzen oder veröffentlichen möchte, es gehe ihm lediglich darum auf die bestehenden Sicherheitslücken aufmerksam zu machen. Bereits vor zwei Wochen waren mehrere Datenbanken mit persönlichen Daten aus den drei VZs aufgetaucht.
Kommentar hinzufügen
19.10.2009
Die Pannenserie bei den VZnet-Netzwerken setzt sich fort. Spreeblick schreibt, dass es über die mobile Version von StudiVZ möglich ist auch Fotos einzusehen, für die man keine Berechtigung hat. Das heißt jeder Nutzer kann über sein Smartphone Fotos einsehen, die ein anderer Benutzer in seinem „privaten“ Bereich hat.
Kommentar hinzufügen
17.10.2009
Ein Cracker hat aus den sozialen Netzwerken der VZnet-Gruppe StudiVZ, MeinVZ und SchülerVZ automatisiert Profildaten ausgelesen. Es hatte in den vergangenen Tagen bereits einen ähnlichen Fall gegeben. Ein Bot ist innerhalb der drei Communities von Freund zu Freund gesprungen und hat auf diese Weise die Profile abgegrast. In der so erzeugten Datenbank wurden unter anderem Wohnort, Geburtsdatum, Beziehungsstatus, Hobbys, Lieblingsmusik und Lieblingsfilm gespeichert.
Es kann als sicher angenommen werden, dass 48.000 Profile kopiert wurden. Vermutlich waren es aber deutlich mehr.
Kommentar hinzufügen
16.10.2009
Das soziale Netzwerk SchülerVZ ist für sogenannte Cross-Site-Scripting-Angriffe (XSS) anfällig. Damit ist es möglich Accounts angegriffener Nutzer zu übernehmen. Dies könnte zum Identitätsmissbrauch oder wahrscheinlich ebenfalls zum Auslesen von privaten Daten genutzt werden.
Anfang 2008 hatte SchülerVZ 2,7 Millionen Nutzer, im Juli 2010 dann schon 5,8 Millionen.
Kommentar hinzufügen
16.10.2009
Wie das Blog netzpolitik.org berichtet, löscht SchülerVZ Fotos nicht vom Server, wenn der Nutzer die Option „Löschen“ wählt. Links zu den Bildern behalten weiterhin ihre Gültigkeit. Das allein wäre nicht unbedingt ein Problem. Allerdings richtet sich das Netzwerk an junge Nutzer, welche erwarten können sollten, dass „löschen“ auch tatsächlich löscht, oder wie es SchülerVZ in seiner FAQ behauptet: „Wenn du etwas löschst, ist es auch weg. Und das komplett!“
Kommentar hinzufügen
16.10.2009
Wie das Blog Netzpolitik.org berichtet wurden in den letzten Tagen beim sozialen Netzwerk SchülerVZ mehrere Sicherheitslücken entdeckt, die zum Auslesen von Profilen genutzt werden konnten.
So soll es möglich sein automatisiert Profile abzurufen und die dort öffentlich gelisteten Daten zu kopieren („Crawling“). Eine ungenannte Quelle soll so eine Datenbank mit Profil-IDs, Namen und Schulen sowie bei einem Teil der Datensätze auch mit Geschlecht, Alter und Profilbild erstellt haben. Eine solche Datenbank bietet den Vorteil (oder in diesem Fall Nachteil), dass man leicht bestimmte interessante Personengruppen herausfiltern kann, zum Beispiel alle 17-jährigen Schülerinnen einer Berliner Schule. Der Betreiber VZnet Netzwerke behauptet in seinen Nutzungsbedingungen allerdings, dass ein Auslesen der Daten und damit eine Nutzung außerhalb des Dienstes nicht möglich wäre.
In einer Mitteilung ruderte VZnet zurück, jedoch handle es sich nur um öffentlich sichtbare Informationen. Weitere illegale Zugriffe seien nun ausgeschlossen. VZnet schaltete nach eigenen Angaben die Datenschutzbehörden ein und erwägt rechtliche Schritte.
Bedenklich ist die Lücke vorallem, da es sich bei SchülerVZ um ein Netzwerk handelt, welches sich speziell an Jugendliche richtet und mit einem besonderen Schutz der persönlichen Daten wirbt.
Kommentar hinzufügen
21.11.2006
Über leicht manipulierte URLs war es möglich mehr Daten privater Profile der Studentenplattform einzusehen, als von StudiVZ zunächst angegeben. Laut FAQ sollten Profile mit denen man nicht befreundet ist nur Foto und Namen sehen, sofern das eigene Profil auf „privat” – bzw. auf „schüchtern” um im StudiVZ-Jargon zu sprechen – eingestellt ist. Die Sicherheitslücke wurde mittlerweile behoben.
Kommentar hinzufügen