Das deutsche Social Network SchülerVZ scheint von einem erneuten Datenleck betroffen zu sein. Die Blogger von netzpolitik.org berichten, dass ihnen 1,6 Millionen aktuelle Datensätze aktiver User zugeschickt worden seien. Damit seien rund 30 Prozent aller Nutzer betroffen. Bei SchülerVZ sieht man darin jedoch keine Sicherheitslücke.

Neue Sicherheitsmaßnahmen

SchülerVZ hatte sich nach einem im Herbst aufgeflogenen Datenleck um mehr Datenschutz bemüht. Die Maßnahmen wurden sogar mit dem TÜV-Prüfzeichen für Datensicherheit belohnt. Zu den neuen Sicherheitsmaßnahmen zählten unter anderem reCaptchas und limitierte Profilabrufe. Die reCaptchas wurden jedoch wieder zurückgenommen, da sich Nutzer davon gestört gefühlt hätten und die Profilabrufe könnten auch für mehrere Accounts gleichzeitig stattfinden, kritisieren die Blogger.

Daten auslesen

Der erneute, massenhafte Datenabgriff scheint nun den Beweis zu liefern, dass die neuen Maßnahmen zur kurz greifen. Viele User seien Mitglieder in Gruppen. Über Gruppenmitgliedschaft könnten gewissen Profilinformationen selbst dann abgerufen werden, wenn die Nutzer ihre Profile ganz auf privat gestellt haben. Zu diesen Infos zählen Name, Schule, Schul-ID und ein Link zum Profilbild. Viele User würden zudem gar nicht die höchsten Sicherheitseinstellungen wählen, sodass auf diesem Weg noch weitere Daten wie Alter, Geschlecht, Hobbys oder politische Einstellung mit einem Crawler automatisiert abgerufen und gespeichert werden können. Pädophile Personen könnten sich beispielsweise Kinder nach ihrem Alter und Wohnort heraussuchen. Auch der Verkauf der Daten an Werbeagenturen sei denkbar.

Kein Datenleck?

Bei SchülerVZ sieht man bei der aktuellen Datenabfrage offenbar kein Datenleck. "Ein Nutzer hat für alle SchülerVZ-Mitglieder einsehbare Profilinformationen im eingeloggten Zustand kopiert. Es handelt sich explizit nicht um ein Datenleck", so Sprecher Dirk Hensen gegenüber Spiegel Online. Demnach habe ein Wissenschaftler künstliche E-Mail-Accounts angelegt um den Kopierschutz von öffentlichen Daten zum umgehen und somit zu beweisen, dass ebendies möglich sei. Das sei mit dem Kopieren von Einträgen aus dem Telefonbuch vergleichbar, so Hensen und verstoße gegen die Datenschutzbestimmungen. Den Betreibern würde bislang nur ein kleiner Auszug der Datensätze vorlegen, aus denen nicht hervorgehe, dass es private Daten seien. (red)