Home > Computer, Internet, Recht > Nutzerdaten von SchülerVZ kopiert: Über eine Million Datensätze gesammelt [Update]

Nutzerdaten von SchülerVZ kopiert: Über eine Million Datensätze gesammelt [Update]

18. Oktober 2009 Einen Kommentar schreiben Kommentare

Und einmal mehr Zeigt sich, dass man mit dem, was man im Internet veröffentlicht, vorsichtig sein sollte. Mit einem Bot wurden Profile von Nutzern des Netzwerkes SchülerVZ abgegrast, hierbei wurden alle öffentlichen Informationen gespeichert. Über eine Million Datensätze (mindestens) wurden so gesammelt.

Von Seiten des SchülerVZ wurde mitgeteilt, dass wirklich nur die öffentlichen Daten kopiert wurden, Mailadressen und Zugangsdaten seien nicht dabei gewesen. Weiterhin wurde geschrieben, dass die Daten inzwischen gesichert und gelöscht seien und nicht mehr zugänglich. Das allerdings wurde (wie sollte es anders sein) in einem Update korrigiert. Es gibt vermutlich noch Kopien der Datensätze, die Bemühungen, diese aus dem Netz zu entfernen, werden eher ins Leere laufen (das Netz ist schneller als Menschen und es vergisst nie).

Entegen unserer Annahme bzw. bisherigen Ermittlung gibt es noch weitere Kopien dieser Liste. Den eigentlichen Täter konnten wir aber inzwischen identifizieren und haben bereits mit ihm Kontakt aufgenommen.

Wichtig: Der Täter hatte keinen Zugang zu unserer Datenbank. Auch die Angaben, die ihr durch eure Privatsphäreeinstellungen geschützt habt, konnte er nicht sehen. Außerdem hat uns der Täter gesagt, dass er die Daten weiteren Personen zur Verfügung gestellt hat.

Er will uns derzeit jedoch nicht sagen, um wen es sich handelt. Der Täter fordert aktuell diese Personen dazu auf, die Daten zu löschen und mit uns in Kontakt zu treten. Wir sind aktiv dabei diese Personen ausfindig zu machen, um sie über die juristischen Konsequenzen Ihres Handelns aufzuklären und dafür zu sorgen, dass alle Listen mit illegal kopierten Nutzerdaten gelöscht werden.

Die Daten wurden dem Blog Netzpolitik zugespielt, dann wurde eine Welle losgetreten, inzwischen lief die Sache durch die Medien (NDR2 beispielsweise).

Der Nutzer, der diese Daten erhoben und verbreitet hat, war vermutlich ein Blogger (eventuell sogar mit dem Namen 4usg4ng) aus dem Süddeutschen Raum, der mit einem Crawl-Bot die Nutzerprofile automatisiert abgefragt hat. Die Daten wurden (um anzugeben?) auf Szeneboards platziert und werden inzwischen homogen im Netz verteilt sein.

Das SchülerVZ hat bisher reagiert, indem zu dem „Täter“ Kontakt aufgenommen wurde und das Aufrufen von mehreren Nutzeraccounts innerhalb kurzert Zeit unterbunden wurde. Außerdem wurde der Täter (und ggf. der Mittäter) und diejenigen, die die Daten kopierten (und ermittelbar sind) über die rechtlichen Folgen aufgeklärt.

Mir stellt sich die Frage, inwiefern es illegal sein kann, Daten zu speichern, die andere öffentlich ins Netz gestellt haben. AGB hin oder her, die VZ-Netzwerke sind ein Teil des Internet, Daten, die dort angegeben werden, sind öffentlich. Das Google die Netzwerke nicht crawlt, heißt nicht, dass es Google nicht möglich wäre.

Mehr zum Thema: vzlog.de, Netzpolitik.org, VZblog

[Update 1]

Im VZblog gibt es inzwischen ein Update der Stellungnahme des Vorfalles. Im Gespräch mit dem Täter stellte man folgendes fest:

- Der Täter hat einen Crawler geschrieben, der sich mit normalen Nutzer Logindaten in die Community einloggt und die angezeigten Daten abgreift. Die bestehenden Sicherheitsmechanismen in Formularen und insbesondere in Form von Captchas wurden dabei geknackt.

- Der Täter behauptet weiterhin, auch meinVZ und studiVZ Daten gesammelt zu haben. Diese wurden nicht veröffentlicht. Wir versuchen mit allen Mitteln die Veröffentlichung dieser Daten zu verhindern.

- Der Täter hat die Daten weiter konkretisiert: es handelt sich wie bisher angegeben, um für alle Nutzer der Netzwerke einsehbare Daten. Jeder Nutzer in den VZs kann einstellen, welche Daten “von allen” einsehbar sein sollen und nur solche Daten konnte der Täter sehen und sammeln. Alle Schutzmaßnahmen zur Privatsphäre haben gegriffen und wurden explizit NICHT geknackt.

Es ist inzwischen übrigens anzunehmen, dass es sich um zwei unterschiedliche Datenbanken handelt. Netzpolitik.org lag eine andere Vor als die, die in Szeneboards veröffentlicht wurde und um einiges ausführlicher ist.

Auch wenn es hier keine Kontodaten oder Passwörter waren und wenn es kein Hack der Netzwerke war, man sollte aufpassen, was man in öffentlichen Netzwerken preisgibt.

Bei Netzpolitik gibt es einen weiteren Beitrag zum Thema: Neues vom SchülerVZ-Datenleck, an dieser Stelle auch ein Link auf das Blog, dessen Besitzer mit einem Bot die Netzwerke abgeklappert hat.

Hier ein Video des Bots beim Crawlen:
Medium: www.youtube.com
Link: www.youtube.com

[Update 2]

Inzwischen gelang es, einen der beiden Kopierer anzuzeigen und festzunehmen. Das VZblog schrieb heute dazu:

In enger Zusammenarbeit mit dem LKA Berlin konnte gestern, am 18.10, ein dringend Tatverdächtiger festgenommen werden. Die VZ-Netzwerke haben Anzeige erstattet.

Was mit dem anderen Kopierer passiert, ist bislang unklar. Sein Blog jedenfalls, in dem er seinen Crawler vorstellte und sich nachher auch um Schadensbegrenzung bemühte, ist seit heute nicht mehr erreichbar.

[via VZlog]