Datenskandal bei SchülerVZ: Was die Netze tun könnten

Ende letzer Woche sorgte ein Datenskandal bei SchülerVZ für Aufregung. Millionen von Profilen wurden von mindestens zwei Hackern kopiert und in ein passwortgeschütztes Internet-Forum gestellt. Allein netzpolitik.org bot jemand über eine Million Datensätze an. Die Polizei hat inzwischen einen 20-jähriger Erlanger in Berlin festgenommen.

Dabei knackten die Hacker weder Passwörter von SchülerVZ noch nutzten sie eine Sicherheitslücke aus, die einen privilegierten Zugriff gestattet. Sie griffen lediglich auf die Daten zu, die für jeden SchülerVZ-Nutzer unmittelbar nach der Anmeldung verfügbar sind.

Diese Daten haben sie allerdings nicht manuell per Mausklicks in ihrem Browser eingesehen, sondern mit einem Webspiderprogramm automatisiert ausgelesen. Technisch ist das kein Problem. Über seine Freundesliste kommt man an die Profile weiterer Nutzer, siehe Bild 1. Meist lässt sich darüber weitere Kontaktlisten einsehen, siehe Bild 2. So kommt man sehr schnell an die Profile vieler weiterer Nutzer.

Auf Xing erkennt man sehr eindrucksvoll, wie viele Nutzer sich auf diese Weise ausspionieren lassen. Bild 3 zeigt, dass man mit nur 138 Kontakten leicht über eine Million Nutzer erreicht, wenn man Kontakte dritten Grades auswertet. Ein Webspider kann innerhalb kürzester Zeit sehr viele Profile abgreifen.

Was an Informationen preisgegeben wird, bestimmt man in den Netzwerken der VZ-Gruppe SchülerVZ, StudiVZ und MeinVZ weitgehend selbst. Ein Webspider fängt, sofern er nicht von einem eigenen Kontakt betrieben wird, nur öffentliche Daten ein, die jedes Netzwerkmitglied sehen kann. Bild 4 zeigt ein StudiVZ-Profil, das sehr viele Informationen für jedermann anbietet. Es finden sich dort zwar keine vollständige Adresse oder Telefonnummern, dennoch lassen sich Hochschule und Heimatort ablesen. Ebenso stehen dort Details über einen Nebenjob.

Bild 5 zeigt ein MeinVZ-Profil, das nur wenige Informationen preisgibt. Generell ist bei StudiVZ mindestens der Hochschulort und bei MeinVZ die Region einsehbar. In diesem Profil sind auch die Gruppenmitgliedschaften sichtbar.