SchülerVZ: Diebstahl von 1 Mio. Datensätzen - Update: Erpressungsversuch

Original-Artikel: 17.10.2009
SchülerVZ ist Opfer eines groß angelegten Datenmissbrauchs geworden. Wie die VZ-Netzwerke selbst mitteilten, habe ein Nutzer illegale Kopien der Daten vieler Nutzer angelegt. Die Zahl der betroffenen Nutzer wurde nicht konkretisiert. Rechtliche Schritte seien allerdings eingeleitet worden.

Unter den kopierten Daten befinden sich offenbar Infos wie Name, Geschlecht, Alter, Fotos und Schule. Die VZ-Netzwerke betonen in einer Stellungnahme, dass es sich nur um Daten handle, die Nutzer einsehen können; interne Daten wie Mail, Adresse oder Telefonnummern seien nicht davon betroffen. Trotzdem habe man "Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen".

Die Daten wurden dem Blog Netzpolitik.org zugespielt. Dort spricht man davon, dass "ein Datensatz mehr als eine Million Datensätze mit den Feldern Profil-ID, Name und dazugehörige Schule samt ID" umfasst.

Update: 18.10.2009
Im VZ-Blog sind einige zusätzliche und sehr interessante Infos veröffentlicht worden, die wir Ihnen nicht vorenthalten wollen. So gibt es ein Q&A für SchülerVZ-Nutzer, außerdem stellt VZ klar, was es mit den Daten und der Zusammenarbeit mit Netzpolitk auf sich hat.

Update: Die wichtigsten Fragen und Antworten auf einen Blick
1.) Handelt es sich hierbei um ein Datenleck?
Nein. Der Datenkopierer ist registrierter Nutzer bei schülerVZ. Daten wurden demnach niemanden zugänglich gemacht, der hierzu nicht berechtigt war und niemand hat sich Zugriff zu Daten verschafft, zu denen er keinen Zugang haben sollte. Das Kopieren der Daten ist jedoch illegal und gleichzeitig ein schwerer Verstoß gegen unsere AGB.

2.) Ist es tatsächlich möglich, dass ein einzelner Nutzer eine große Anzahl von Daten ausgelesen hat?
Ja, das kann im Grunde jeder machen, wenn er ausreichend Zeit hat, indem er sich die Profile Seite für Seite ansieht und dann kopiert. Das ist quasi das Gleiche, als wenn jemand das Telefonbuch Seite für Seite durchblättert und digital erfasst.

3.) Was sind die Folgen für die Nutzer?
Da keinerlei persönliche Kontaktdaten betroffen sind, sondern nur Daten, die im SchülerVZ öffentlich - d.h. für jeden angemeldeten Nutzer - einsehbar sind, wird es keinerlei negative Folgen für unsere Nutzer geben.

4.) Welche Maßnahmen werden eingeleitet, damit so etwas zukünftig nicht passieren kann.?
Wir haben den Zugriff auf eine erhöhte Anzahl von Profilen in einem kurzen Zeitraum sofort eingeschränkt. Bitte haben Sie Verständnis, dass wir hier nicht näher ins Detail gehen können.

Update:
Unsere weiteren Ermittlungen haben ergeben, dass es sich bei der Quelle von netzpolitik.org nicht um den tatsächlichen Verursacher sondern um einen "Trittbrettfahrer" handelt, der Zugang zu den Daten des eigentlichen Täters hatte.

Den eigentlichen Täter konnten wir inzwischen identifizieren und haben bereits mit ihm Kontakt aufgenommen. Er stellt uns aktuell eine Kopie der Daten zur Verfügung.

Wie bisher kommuniziert handelt es sich dabei um Daten, die für jeden anderen SchülerVZ Nutzer öffentlich einsehbar sind und nicht um Daten wie Passwörter, Adressen, Telefonnummern oder private Kommunikation.

Zu keinem Zeitpunkt hatte der Täter einen Datenbankzugang und keine Einstellungen der Nutzer zur Privatsphäre konnten überwunden werden.

Zudem hat der Täter uns gegenüber erklärt, dass er die Daten weiteren Personen zur Verfügung gestellt hat, die er uns gegenüber zum jetzigen Zeitpunkt nicht nennen will.

Der Täter fordert aktuell diese Personen auf die Daten zu löschen und mit uns in Kontakt zu treten.

Wir sind aktiv dabei diese Personen ausfindig zu machen, um sie über die juristischen Konsequenzen Ihres Handelns aufzuklären und dafür zu sorgen, dass die illegal kopierten Nutzerdaten gelöscht werden.

Update 1: 19.10.09
Der Bundesdatenschutzbeauftragte Peter Schaar warnt aufgrund dieser Datenpanne davor, Angaben über die eigene Person im Internet zu veröffentlichen:

"Der Fall zeigt, dass man sich überlegen muss, wo man Daten preisgibt, speziell im Internet. Daten, die im Internet stehen und von einer großen Zahl von Menschen genutzt werden, können nur schwer gegen Missbrauch geschützt werden, " sagte er gegenüber der Berliner Zeitung.

Auch der Branchenverband Bitkom zeigt sich besonders im Bezug auf die Sicherheit von Minderjährigen besorgt:

"Beim Datenschutz von Kindern und Jugendlichen in Online-Netzwerken muss ein Höchstmaß an Sicherheit gewährleistet sein. Das muss allerhöchste Priorität genießen", sagte Bernhard Rohleder.

Passend zum Thema empfehlen wir auch Besserer Datenschutz bei StudiVZ, MeinVZ und SchülerVZ.

Update 2: 19.10.09
Ein Polizeisprecher bestätigte gegenüber heise.de, dass man einen Verdächtigen in Gewahrsam genommen hat. Man wirft ihm das Ausspähen von Datenbeständen vor. Ob der Hintergrund eine Erpressung sein könnte, soll nun das Landeskriminalamt Berlin ermitteln. Über einen programmierten Crawler kam der Verdächtige offensichtlich an die Daten der Mitglieder bei SchülerVZ und anderer VZ-Seiten.

Update: 20.10.09
Wie jetzt bekannt wurde, wurde gegen den verhafteten Mann wegen versuchter Erpressung ein Haftbefehl erlassen. Er soll versucht haben, die VZ-Netzwerke um 20.000 Euro zu erpressen. Ihm lagen offenbar die per Crawler kopierten, öffentlichen Nutzerdaten von SchülerVZ-Mitgliedern vor.

Ein Video auf Youtube zeigt, wie solch ein Crawler funktioniert.