VZBV: Offenbar weitere Datenpanne bei SchülerVZ

Beim Social Network SchülerVZ ist es offenbar zu einer weiteren Datenpanne gekommen. Dem Verbraucherzentrale Bundesverband (VZBV) wurde eine größere Anzahl Datensätze übergeben, teilte dieser mit.

Eine erste Sichtung und Überprüfung ergab, dass es sich dabei um über 100.000 Datensätze handelt. Enthalten seien sensible personenbezogene Daten auch von solchen Teilnehmern, die ihre Daten in dem Netzwerk nur für Freunde sichtbar eingestellt haben.


Eine nicht näher bekannte Person hatte dem Blog Netzpolitik.org die Datensätze zukommen lassen, das diese dann an den VZBV weiterreichte. Bislang gaben die Betreiber an, private Daten, die nur für Freunde sichtbar sind, seien vor dem Zugriff unbefugter Dritter sicher. Der VZBV hat den zuständigen Berliner Datenschutzbeauftragten in Kenntnis gesetzt und ihm die Datensätze sowie ein ebenfalls zugegangenes Programm, mit dem diese Daten angeblich erhoben wurden, zur weiteren Prüfung übergeben.

Zusammen mit den Daten ging eine Nachricht beim VZBV ein, in dem der mutmaßliche Datenerheber betont, dass ihm nicht an einer Veröffentlichung der Daten gelegen sei. Vielmehr sei sein Anliegen über mangelnde technische Sicherheitsvorkehrungen und die grundsätzliche Unsicherheit von Daten in Sozialen Netzwerken aufzuklären. Zudem seien die Lücken bei allen drei Plattformen der VZ-Netzwerke-Gruppe identisch. Neben Geburtsdaten seien auch sensible Daten wie die politische Einstellung betroffen.

Die Betreiber von SchülerVZ und der anderen VZ-Netzwerke haben inzwischen eine zusätzliche Schutzfunktion für Accounts integriert. Nutzer können speichern lassen, von welcher IP-Adresse und zu welcher Zeit der letzte Login erfolgte und so nachvollziehen, ob jemand unberechtigt auf ihr Konto zugegriffen hat.

Update:

Inzwischen liegt eine Stellungnahme der VZ-Netzwerke vor:

"Es handelt sich hierbei um einen älteren Datensatz mit Informationen zu Geburtsdaten und Geschlecht. Die Sicherheitslücke, die das Abrufen dieser Information möglich machte, wurde bereits Ende Juli 2009 behoben. Zudem stehen wir in einem engen Kontakt und Austausch mit dem vzbv und dem Berliner Datenschutzbeauftragten.

Darüber hinaus haben wir bei einer internen Prüfung festgestellt, dass die Einstellmöglichkeiten bzgl. der Suchbarkeit nach Geburtsdaten missverstanden werden können. Diese missverständlichen Einstellmöglichkeiten werden wir im Laufe des Tages beheben. Zusätzlich werden wir auch die Suche nach Geburtsdatum und Alter komplett deaktivieren."