Sprung zum Inhalt / Skip to main content

datenleck.net
die chronik der datenpannen

Suchfunktion

Datenarten

Monate

Länder

Verursacher

Weitere Inhalte

Alle Datenpannen, die von VZnet Netzwerke (mit)verusacht worden sind

SchülerVZ - mal wieder

04.05.2010

Es ist ja auch schon eine gefühlte Ewigkeit her, dass sich das Schülerverzeichnis mit Datenpannen schmückte.

Netzpolitik veröffentlichte jetzt eine wissenschaftliche Untersuchung (Paper), die belegt, dass noch immer problemlos Millionen von Schülerdaten gecrawlt und in eine externe Datenbank überführt werden können.

Im konkreten Fall wurde in wenigen Tagen eine Datenbank mit 1,6 Millionen Datensätzen angelegt (rund 30% aller Nutzerprofile). Alle Datensätze enthalten mindestens Name, Schule und Link zum Bild. Je nach Privatsphäreneinstellungen der Schüler sind aber in der Regel weitere Daten verfügbar.

Interessant ist bei diesem Fall auch, dass VZNet nicht auf die Hinweise des Studenten reagiert hat, welcher den Crawler programmierte. Da alle drei VZNet-Netzwerke auf der gleichen Technologie basieren ist der Angriff auch auf MeinVZ und StudiVZ übertragbar.

Die Frage, ob es sich dabei allerdings um eine Datenpanne im eigentlichen Sinne handelt bleibt noch zu klären. Der Nutzer kann eigentlich nicht erwarten, dass personenbezogene Daten, welche er online stellt, nicht kopiert werden. Hier besteht eher ein Aufklärungsproblem – Stichwort: Medienkompetenz. Kann der Nutzer aber erwarten, dass diese Daten nur bestimmten Personen zugänglich sind?

SchülerVZ leckt weiter

28.10.2009

Langsam wird es schwierig die Datenpannen der VZnet-Gruppe aus den vergangenen Wochen noch auseinanderzuhalten.

Offensichtlich gab (und gibt?) es einige Sicherheitsprobleme, die mehrfach zum Abgreifen größerer Datenmengen geführt haben. Markus Beckedahl von Netzpolitik.org wurde nun erneut eine Datenbank zugespielt. Sie enthält Namen und Geburtsdaten von 118.000 Berliner Schülern. Die Datenfelder Name und Geburtsdatum wurden nur exemplarisch gewählt, um zu zeigen, dass der Angriff auch als “privat” eingestellte Daten enthüllt. Theoretisch hätten auch Datenfelder wie Schule, Wohnort, Beziehungsstatus oder das Foto ausgelesen werden können.

Die Daten wurden zur Beweissicherung dem Berliner Datenschutzbeauftragten übergeben. Da alle drei Plattformen der VZnet-Gruppe auf dem selben System basieren ist zu befürchten, dass “private” Daten auch schon bei MeinVZ und StudiVZ ausgelesen wurden.

Bereits vor zwei Wochen waren drei Datenbanken mit persönlichen Daten aus den drei VZs bekannt geworden.

Automatisiertes Auslesen von SchülerVZ

16.10.2009

Wie das Blog Netzpolitik.org berichtet wurden in den letzten Tagen beim sozialen Netzwerk SchülerVZ mehrere Sicherheitslecks entdeckt.

So soll es möglich sein automatisiert Profile abzurufen und die dort öffentlich gelisteten Daten zu kopieren. Eine ungenannte Quelle soll so eine Datenbank mit Namen und Schule sowie bei einem Teil der Datensätze auch mit Geschlecht, Alter und Profilbild erstellt haben. Eine solche Datenbank bietet den Vorteil, dass man leicht bestimmte interessante Personengruppen herausfiltern kann. Der Betreiber VZnet Netzwerke behauptet in seinen Nutzungsbedingungen allerdings, dass ein Auslesen der Daten und damit eine Nutzung außerhalb des Dienstes nicht möglich wäre.

Weiterhin ist das Portal für sogenannte Cross-Site-Scripting-Angriffe anfällig. Damit ist es möglich Accounts angegriffener Nutzer zu übernehmen. Dies könnte zum Identitätsmisbrauch oder wahrscheinlich ebenfalls zum Auslesen von Daten genutzt werden.

Eine dritte Sicherheitslücke soll Bilder betreffen, die einmal veröffentlicht nicht wieder gelöscht werden können. Links zu “gelöschten” Bildern bleiben gültig. Die Daten verschwinden also nicht vom Server.

Nachtrag (18.10.2009): Es ist eine weitere Datenbank aufgetaucht, welche auch Profile von StudiVZ und MeinVZ enthält. Wieviele Datensätze insgesamt enthalten sind und welche Informationen diese abdecken ist bisher nicht sicher bekannt.

Nachtrag (19.10.2009): Laut Spreeblick gibt es eine weitere Sicherheitslücke. So soll es möglich sein über die StudiVZ-Version für Mobiltelefone auch Fotos anzusehen, für die man keine Berechtigung hat.

Öffentliche private Profile bei StudiVZ?

21.11.2006

Über leicht manipulierte URLs war es möglich mehr Daten privater Profile der Studentenplattform einzusehen, als von StudiVZ zunächst angegeben. Laut FAQ sollten Profile mit denen man nicht befreundet ist nur Foto und Namen sehen, sofern das eigene Profil auf “privat” – bzw. auf “schüchtern” um im StudiVZ-Jargon zu sprechen – eingestellt ist. Die Sicherheitslücke wurde mittlerweile behoben.