Eine Million Datensätze von SchülerVZ gestohlen - Update 4: Schweigegeld-Vorwürfe gegen VZ-Netzwerk

Sicherheitslücke bei SchülerVZ Die Datensätze der SchülerVZ-User wurden offensichtlich aus der Datenbank ausgelesen, schreibt Netzpolitik.org. Vor drei Jahren gab es einen ähnlichen Fall bei StudiVZ, aus dem die Betreiber offenbar nichts gelernt hätten, wie Netzpolitik.org meldet. Einer der gestohlenen Datensätze umfasst mehr als eine Million Datensätze mit den Feldern Profil-ID, Name und dazugehörige Schule samt ID, ein anderer enthält die Felder Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild. Im Gegensatz zur Vermutung von Netzpolitik.org, dass die Daten ausgelesen wurden, geht SchülerVZ in einer Stellungnahme vom manuellen Kopieren eines einzelnen Users aus:

Wir haben am heutigen Nachmittag Kenntnis über folgenden Vorgang erhalten: Ein schülerVZ-Nutzer hat eine Vielzahl von Profilen aufgerufen und Kopien einzelner der für alle schülerVZ-Nutzer sichtbaren Daten angelegt: Name, Schule, Geschlecht, Alter, Profilfoto. Es handelt sich hierbei explizit nicht um Daten wie Postadressen, Email Adressen, Zugangsdaten, Telefonnummern und Fotoalben, sondern um für alle Community-Nutzer einsehbare Daten. Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen. Die VZ-Netzwerke haben die Datenschutzbehörden umgehend informiert und werden rechtliche Schritte gegen Unbekannt einleiten.

Wenn Sie selbst ein Profil auf SchülerVZ haben, empfehlen wir Ihnen den Besuch auf Netzpolitik.org, wo es weitere Hintergrundinfos zur Sicherheitslücke auf SchülerVZ gibt.

Update vom 20. Oktober 2009:
Noch am Sonntag wurde von der Berliner Polizei ein Verdächtiger festgenommen. Das bestätgte die Polizei gestern gegenüber heise.de. Der Verdacht lautet auf Ausspähen von Datenbeständen. Mit einem selbstprogrammierten Crawler soll er öffentliche Datensätze (Alter, Geschlecht, Name, Schule etc.) abgegeriffen haben. Der Betreiber betont, dass keine persönlichen Kontaktdaten geklaut wurden.

Update vom 28. Oktober 2009
Wie netzpolitik.org berichtet, seien der Website 118.000 weitere gestohlene Datensätze zugespielt worden. Diese enthielten laut eigenen Angaben auch Daten wie das Geburtsdatum, welches ausschließlich für Freunde der betroffenen Personen einsehbar war. Die Betreiber von SchülerVZ jedoch gaben an, solche Datein seien von der Sicherheitzlücke nicht betroffen! Netzpolitik.org habe die entsprechenden Datensätze bereits an die Verbraucherzentrale Bundesverband geschickt.

Update vom 02. November 2009:
Am Wochenende hat sich der mutmaßliche Hacker des Social-Networks StudiVZ in seiner U-Haft-Zelle erhängt. Die Betreiber von StudiVZ zeigen sich darüber bestürzt. Auf dem offiziellen VZ-Blog schreiben sie: "Der Tatverdächtige, der versucht hatte von uns 80.000 Euro zu erpressen, hat sich in der JVA Plötzensee das Leben genommen. Wir kennen keine Hintergründe und bedauern diese Entwicklung zutiefst. Allen Angehörigen sprechen wir unser Beileid aus." Die Kommentarfunktion zum Eintrag wurde deaktiviert, um Spekulationen vorzubeugen. Der 20 Jahre alte Erlanger wurde vor mehr als zehn Tagen festgenommen und seitdem verhört.

Update vom 04. November 2009:
Der Anwalt des am vergangenen Wochenende verstorbenen Hackes des Social-Networks Schüler- und StudiVZ hat jetzt das Unternehmen beschuldigt, seinem Mandanten Schweigegeld angeboten zu haben, um die Aufdeckung von Sicherheitslücken zu verhindern. Schließlich seien die User das Kapital des Unternehmens. Sinken die Userzahlen, sinken gleichzeitig auch die durch Werbung eingenommenen Umsätze. Es wäre gar nicht erst zur Drohung gekommen. Somit hätte laut Anwalt Ulrich Dost, eine Zahlungsbereitschaft des Unternehmens vorgelegen, ohne eine eindeutige Drohung. Die Betreiber von Schüler- und StudiVZ wiesen diese Darstellung prompt zurück. Die Anschuldigungen seien unglaublich und haltlos.