0
Daten von 1,6 Millionen SchülerVZ-Profilen gesammelt
Erneut gibt es ein schweres Datenleck bei SchülerVZ. Ein Wissenschaftler konnte die Profildaten von 1,6 Millionen Schülern sammeln – das sind 30 Prozent aller Benutzer von SchülerVZ.
SchülerVZ ist das „Facebook“ für Schüler. Also für zumeist minderjährige Nutzer. Das macht das Datensammeln dort noch problematischer, können doch Päderasten auf SchülerVZ auf Opfersuche gehen und die so leicht verfügbaren User-Daten für das gezielte Ausspähen von Opfern benutzen.
In dem jetzt von netzpolitik.org berichteten Fall hat ein Wissenschaftler die Daten gesammelt, um zu zeigen, wie leicht man nach wie vor die Sicherheitsmechanismen von SchülerVZ umgehen kann. Diese erneute Datenpanne macht die intensiven Versuche von SchülerVZ zunichte, das nach dem ersten Datenskandal verlorene Vertrauen wieder zurück zu gewinnen. Die Betreiber von SchülerVZ hatten nämlich das TÜV-Prüfzeichen für Datensicherheit und Funktionalität verliehen bekommen und damit prompt diverse Datenschutzvergleichstest gewonnen. Doch mit dem Datenschutz ist es bei SchülerVZ ganz offensichtlich trotz der TÜV-Kennzeichnung nicht weit her.
Der Wissenschaftler Florian Strankowski von der Leuphana-Universität Lüneburg überwand eine wichtige Sicherheitsmaßnahme von SchülerVZ: Die Begrenzung der Anzahl der Profile, die man von einem Profil aus aufrufen und anschauen kann. Dazu meldete sich Strankowski einfach mit vielen Accounts (nach seinen Angaben 800 Accounts) zeitgleich bei SchülerVZ an und rief mit Hilfe eines Crawlers, also einer selbst programmierten Software, von jedem seiner Fake-Accounts so viele fremde Profile wie möglich automatisiert auf. Die Basisinformationen (Name, Schule, Schul-ID-Nummer und Link zum Bild) eines Profils kann man über eine Gruppenmitgliedschaft aufrufen – auch wenn das Profil selbst zur Sicherheit auf privat gestellt ist. Da die meisten User nun einmal in Gruppen angemeldet sich, kam Florian Strankowski so bequem an die Daten. Weitere Daten sammelt Florian Strankowski dann noch über die Profile in den Freundeslisten.
Die dabei ermittelten Inhalte speicherte er in einer gemeinsamen Datenbank – fertig war das bequeme Datenpaket, das Päderasten zur gezielten Opfersuche oder Unternehmen für zielgerichtete Werbung verwenden können. Da viele Schüler ihre Profile zudem nicht auf privat gesetzt haben, konnte der Crawler noch weitaus sensiblere Daten wie“ Alter, Geschlecht, Klasse, Hobbys, Beziehungsstatus, politische Einstellung, Lieblingsfach, -musik, -filme, -bücher“ erfassen, wie netzpolitik.org schreibt.
Captchas wurden abgeschafft
Eigentlich sollten ja reCaptchas das automatisierte Aufrufen von Profilen verhindern. Doch diese Captchas, die SchülerVZ nach dem letzten Datenskandal eingeführt hatte, waren netzpolitik.org zufolge mittlerweile wieder entfernt worden, weil sie offensichtlich von vielen Nutzern als störend empfunden wurden.
Um Missverständnisse zu vermeiden: SchülerVZ wurde nicht gehackt, es drang niemand in den Server von SchülerVZ ein. Die Daten, die Strankowski mit Hilfe seines Crawlers sammelte, waren in den jeweiligen Profilen frei zugänglich. Nur dass sich diese Daten eben normalerweise nicht in diesen Mengen erfassen und dann natürlich auch auswerten lassen.
Florian Strankowski wollte mit der Datensammelaktion zeigen, dass SchülerVZ entgegen der Verlautbarungen der Betreiber nicht wirklich effektiv das massenhafte Sammeln von Daten minderjähriger Schüler unterbunden hat. Zudem wollte Florian Strankowski beweisen, wie wenig aussagekräftig das TÜV-Zertifikat sei.
Quelle: In Zusammenarbeit mit www.pcwelt.de
So viel zum Thema Sicherheit bei der Seite
Zitieren
Zitat von Meckpommi
Lesezeichen