ZDNet / Security / Analysen

Datenskandal bei SchülerVZ: Was die Netze tun könnten

von Christoph H. Hochstätter, 20. Oktober 2009, 17:04 Uhr

Umfrage

Wer trägt die Hauptverantwortung für den Datendiebstahl bei SchülerVZ?

Themenseiten

Datendiebstahl, Datenschutz, Privacy, Soziale Netze, Security

Mehr zum Thema

Kommentare

Die Betreiber von sozialen Netzwerken sehen bei Datenpannen die Schuld häufig bei den Nutzern: Die gäben zu viele Daten preis. ZDNet zeigt, dass die Netze gegen den Massendiebstahl von Profilen mehr tun können, als es derzeit der Fall ist.

Ende letzer Woche sorgte ein Datenskandal bei SchülerVZ für Aufregung. Millionen von Profilen wurden von mindestens zwei Hackern kopiert und in ein passwortgeschütztes Internet-Forum gestellt. Allein netzpolitik.org bot jemand über eine Million Datensätze an. Die Polizei hat inzwischen einen 20-jähriger Erlanger in Berlin festgenommen.

Dabei knackten die Hacker weder Passwörter von SchülerVZ noch nutzten sie eine Sicherheitslücke aus, die einen privilegierten Zugriff gestattet. Sie griffen lediglich auf die Daten zu, die für jeden SchülerVZ-Nutzer unmittelbar nach der Anmeldung verfügbar sind.

Diese Daten haben sie allerdings nicht manuell per Mausklicks in ihrem Browser eingesehen, sondern mit einem Webspiderprogramm automatisiert ausgelesen. Technisch ist das kein Problem. Über seine Freundesliste kommt man an die Profile weiterer Nutzer, siehe Bild 1. Meist lässt sich darüber weitere Kontaktlisten einsehen, siehe Bild 2. So kommt man sehr schnell an die Profile vieler weiterer Nutzer.

Auf Xing erkennt man sehr eindrucksvoll, wie viele Nutzer sich auf diese Weise ausspionieren lassen. Bild 3 zeigt, dass man mit nur 138 Kontakten leicht über eine Million Nutzer erreicht, wenn man Kontakte dritten Grades auswertet. Ein Webspider kann innerhalb kürzester Zeit sehr viele Profile abgreifen.

Was an Informationen preisgegeben wird, bestimmt man in den Netzwerken der VZ-Gruppe SchülerVZ, StudiVZ und MeinVZ weitgehend selbst. Ein Webspider fängt, sofern er nicht von einem eigenen Kontakt betrieben wird, nur öffentliche Daten ein, die jedes Netzwerkmitglied sehen kann. Bild 4 zeigt ein StudiVZ-Profil, das sehr viele Informationen für jedermann anbietet. Es finden sich dort zwar keine vollständige Adresse oder Telefonnummern, dennoch lassen sich Hochschule und Heimatort ablesen. Ebenso stehen dort Details über einen Nebenjob.

Bild 5 zeigt ein MeinVZ-Profil, das nur wenige Informationen preisgibt. Generell ist bei StudiVZ mindestens der Hochschulort und bei MeinVZ die Region einsehbar. In diesem Profil sind auch die Gruppenmitgliedschaften sichtbar.

Bildergalerie

Über die "Freundeslisten" der eigenen Kontakte können sich Webspider leicht Zugang zu sehr vielen Profilen verschaffen. Auch im Profilbild finden sich Informationen - hier die Parteimitgliedschaft.
Nur wenige Benutzer verbieten die Einsichtnahme in ihre Kontakt- und Freundeslisten.
Auf Xing lässt sich erkennen, dass ein Webspider sehr viele Profile abgreifen kann. Über die Kontakte dritten Grades sind oft mehr als eine Millionen weitere Nutzer zu erreichen.
Ein Beispiel für ein Profil, das sehr viele Informationen für jedes Mitglied des sozialen Netzwerks preisgibt. Adresse und Telefonnummer sind zwar nicht abrufbar, jedoch können diese Informationen mit anderen gestohlenen Daten kombiniert werden.

Die Datenschutzgefahren in sozialen Netzwerken

» zur Bildergalerie ...

Inhalt

Fanden Sie diesen Artikel nützlich?
4 von 5 Lesern fanden diesen Artikel nützlich.

Aktuelle Job-Angebote

» weitere Stellenangebote ...

Bleiben Sie in Kontakt mit ZDNet.de

Nachrichten des Tages

» alle News ...

ZDNet.de Live

Green ...

Greenpeace: Google Top - Facebook Flop t.co/...

9.02.12, 10:20 von silicon_de
Chrom ...

Chrome 17 verkürzt Ladezeiten und verbessert Sicherheit t.co/...

9.02.12, 09:50 von zdnet_de
Green ...

Greenpeace lobt Google für Einsatz erneuerbarer Energien t.co/...

9.02.12, 09:20 von zdnet_de
Apple ...

Apple fordert Leitlinien für Mobilfunkpatente t.co/...

9.02.12, 09:10 von zdnet_de
Judge ...

Judge: Chinese engineer didn't spy on US. t.co/...

9.02.12, 08:55 von zdnetasia
Consu ...

Consumerization a double-edged sword for SMBs. t.co/...

9.02.12, 08:54 von zdnetasia
Aliba ...

Alibaba raising $3B to buy back Yahoo stake. t.co/...

9.02.12, 08:53 von zdnetasia
Analy ...

Analyst: Low-cost markets to springboard Cisco's growth. t.co/...

9.02.12, 08:53 von zdnetasia
Caffe ...

Caffeine fix? Now you can literally inhale it. t.co/...

9.02.12, 08:40 von ZDNet
Wolfr ...

WolframAlpha Pro angekündigt (5 Dollar/Monat): t.co/...

9.02.12, 08:29 von coke4all
Faceb ...

Facebook highest valuation yet: $102.3 billion t.co/...

9.02.12, 08:10 von ZDNet
Defen ...

Defence IT blamed in vetting fiasco: t.co/...

9.02.12, 07:59 von zdnetaustralia
Hack ...

Hack exposes Google Wallet PIN: t.co/...

9.02.12, 07:54 von zdnetaustralia
Art ...

Art installation blurs boundary between physical and digital (video) t.co/...

9.02.12, 07:25 von ZDNet
First ...

First 'biological computer' created, can read DNA. t.co/...

9.02.12, 07:14 von zdnetasia
Conro ...

Conroy caps 'waterfront' spectrum buys: t.co/...

9.02.12, 07:06 von zdnetaustralia
APAC ...

APAC IT services growth hits 'speed bump'. t.co/...

9.02.12, 07:03 von zdnetasia
Coupl ...

Couple unfriends woman on Facebook, father murders them t.co/...

9.02.12, 06:20 von ZDNet
Qld ...

Qld hacklab seeks Linux Australia funding t.co/...

9.02.12, 06:15 von zdnetaustralia
Techn ...

Technolatte podcast now recording. Got any questions?

9.02.12, 05:21 von zdnetaustralia

Multimedia

Microsofts neue Kleider: Das steckt hinter Metro
Bildergalerie
Microsofts neue Kleider: Das steckt hinter Metro
Übersicht: Das sind die neuen Handys im Februar
Bildergalerie
Übersicht: Das sind die neuen Handys im Februar