Innerhalb kürzester Zeit schaffte es die Meldung durch die Blogs bis nach Spiegel Online: Ein Hacker hat die persönlichen Daten von 1,6 Millionen Mitgliedern bei SchülerVZ gesammelt und diese dann Markus Beckedahl von netzpolitik.org zugespielt. Von einem Datenleck kann aber nicht die Rede sein: Es wurde lediglich eingesammelt, was Schüler freiwillig öffentlich gemacht haben.
Bei SchülerVZ kann sich jeder ohne weiteres anmelden und alle anderen Profile einsehen. Auch wenn diese Daten nur innerhalb des Netzwerkes sichtbar sind, sind sie dort öffentlich. Ob ich mich hinsetze und mit Kugelschreiber und Papier alles notiere oder ein Programm schreibe, das diese Daten automatisch einsammelt, ist nur eine Frage der Geschwindigkeit. Was da eingesammelt wurde, sind personenbezogene Daten: Name, Anschrift, Schule, Alter, Geschlecht, Foto. Natürlich sind das private Daten, aber sie hätten von den betreffenden Schülern als privat gekennzeichnet und unsichtbar gemacht werden können – waren sie aber nicht.
[adrotate group="5"]
So lange prinzipiell alle Daten für alle Mitglieder öffentlich sichtbar sind, gibt es auch Mittel und Wege, diese Daten zu ernten. Man kann SchülerVZ vorwerfen, es Datensammlern zu einfach zu machen. Als Reaktion auf vorangegangene Datendiebstähle wurde die Möglichkeit, von einem Account aus massenhaft andere Accounts zu besichtigen, bereits erschwert. Der Hacker behalf sich damit, dass er ungefähr 800 Accounts anlegte und sich mit dem Script automatisch immer wieder an- und abmeldete. Nun könnte die VZ-Gruppe die Server besser überwachen und derart auffällige Accounts sperren.
Dabei gibt es so viele weitere Möglichkeiten, solche Daten anzuzapfen. Zum Beispiel könnte man ein Virus schreiben und in netten Content verpackt verbreiten. Das liest und versendet dann bei jedem Öffnen eines VZ-Profils die betreffenden Daten. Auch könnte man mit noch viel mehr als bloß 800 Accounts arbeiten. Es gibt sogar schon Mittel und Wege, eingefügte Captchas zu umgehen. Die Frage kann also letztlich nicht lauten: Wie verhindert die VZ-Gruppe Crawling? Sondern eher: Welche Daten sollten auf solchen Seiten öffentlich stehen und welche nicht? Und die Frage gilt für jedes soziale Netzwerk, nicht bloß für die VZ-Gruppe.
Das ist ja nicht falsch. Aber leider steht in dem Artikel irgendwie nicht drin, warum das SchülerVZ-Datenleck kein Skandal sein soll, wie die Überschrift behauptet.
Falsch. Man kann sich nur nach Einladung eines Mitglieds bei SchuelerVZ registrieren. Der “hacker” hat mit einem account also beliebig viele neue accounts erstellen können. Das ist Skandal nr 1. Skandal nr 2: der Crawler konnte auch nicht öffentlich zugängliche Profile abrufen, da diese auch weitehin bei Gruppen zu finden waren. Skandal nr 3: VZ ändert die Profil IDs der Nutzer (früher waren das noch statische IDs), der crawler konnte aber aus Kombination der weiterhin statischen Profilbild-Url, Namen und Schul-ID eindeutige Datensätze erzeugen.
Ich finde als Netzwerk sollte man schon zweimal drüber nachdenken, wie man mit den Informationen umgeht. Vorallem wenn mann schon öfters wegen solcher Schlupflöcher wie Crawling-Angriffen aufgefallen ist.
Zum Beispiel könnte man dazu übergehen persönliche Daten wie Vor- und Nachname zwar innerhalb der Datenbank zu erfassen, diese aber nicht als Klartext im Profil auslesbar darzustellen. So wäre zum Beispiel gewährleistet, dass die Suchfunktion noch nutzbar ist mit vollem Namen, diese Daten aber im UI nicht mehr auslesbar wären.
Viele Nutzer sind ja schon von sichaus dazu übergegangen Phantasienamen bei der Registrierung an zu geben, wodurch der eigentliche Sinn des Netzwerks natürlich in die Brüche geht. Das Suchen und Finden von Ehemaligen ist quasi nicht mehr möglich.
Wenn man sich ein paar Gedanken macht, fallen einem da schon noch mehr Dinge ein, die man noch “sicherer” gestalten könnte. Vorallem wenn man Mitarbeit einstellt, die eigentlich dafür bezahlt werden, solche Ideen zu haben ;-)
Wie im oberen Kommentar schon erwähnt wurde, kann sich nicht einfach jeder anmelden, sondern man muss von einem angemeldeten Mitglied eingeladen werden.
@Philipp: Zu 1.: Wie möchtest du das verhindern? Entweder jeder kann sich anmelden, oder man kann einladen. Sobald man einladen kann, kann man auch fake-einladen. Die Einladerei war von Anfang an Augenwischerei. Zu 2.: War mir nicht bekannt, aber zumindest Rumpfinformationen müssen ja herausgegeben werden, sonst wäre ein Teilnahme an Gruppen mit einem privaten Profil nicht sinnvoll möglich bzw. das, was jemand in der Gruppe ablässt, passiert außerhalb seines Profils. Zu 3.: Eine ID ist immer irrelevant. Die Kombination aus Name, Schule, Wohnort und Alter ergibt immer einen Datensatz. Die ID erleichtert nur die Auffindbarkeit/Organisation/Zuordbarkeit der Daten. – wie ich im Artikel schon (vereinfacht) schrieb: Man kann die Schrauben beliebig weit andrehen, es wird trotzdem immer Möglichkeiten geben, zu crawlen, nur eben komplexer. Und Öffentlichkeit innerhalb einer geschlossenen Gruppe ist doch Öffentlichkeit, wenn diese Gruppe mal eben 4-5 Millionen Mitglieder umfasst.
Enno, ich stimme Dir zu. Das Problem ist nicht der Crawler. Das Problem ist, dass dort Daten stehen. Es stellt sich also keineswegs die Frage, was die VZe “dagegen tun” – das wird immer nur ein Wettlauf mit den Crawlern sein. Die Frage ist – und die kann ich ohne Einblick ins SVZ nicht beantworten -: Was kann mit den Daten angestellt werden?
Sicherlich wird kei Pädo einen Crawler einsetzen, um das Profil eines potenziellen Opfers zu analysieren – die Aussage ist Blödfug.
Es geht um das Massengeschäft mit Handynummern und Mailadressen. So diese überhaupt in den Profilen stehen.
Den Eltern, die jetzt empört sind, sollten sich vielmehr mal damit befassen, was ihre Kinder so umtreibt
@Niclas:
Und für wie schwer genau hälst Du es, an eine Einladung ins SchülerVZ zu kommen? ;)
Das ist kein echtes Problem…
Der scheinbar harmlose Gedanke, es wäre keine Frage, was die VZe “dagegen tun”, ist in der Konsequenz übrigens kreuzgefährlich: Er führt dahin, dass die löchrige Datensicherheit und das Überspielen derselben mit Sicherheitszertifikaten und Testsiegen völlig in Ordnung ist und der vom Datenmissbrauch betroffene “selbst schuld” am Datenmissbrauch ist.
@cosmo: bei auf privat gesetzte Daten stimme ich dir völlig zu. Bis auf Teile geht es aber um Daten, die die Schüler innerhalb des Netzes veröffentlich haben und die sich problemlos einsehen lassen. Dass auf Facebook irgendwelche alle Apps prinzipiell Zugriff auf ALLE meine Daten haben, auch die auf privat gesetzten, halte ich zum Beispiel für einen wesentlich größeren Skandal. Ich möchte in diesem Zusammenhang auch auf das äußerst lesenswerte FAZ-Blog “CTRLverlust” von Michael Seemann hinweisen: http://faz-community.faz.net/blogs/crtl-verlust/default.aspx
Ganz egal, ob es sich um ein Datenleck handelt. Es ist eine prima Gelegenheit, wieder auf das gefährliche Internet hinzuweisen…
Ob man Profil-Daten in einem Sozialen Netzwerk überhaupt schützen kann, ist bereits zu bezweifeln.