SchülerVZ und der “Datenraub”

Es wundert mich, dass ich in der Bloggosphäre bisher so wenig über den Datenraub im deutschen Facebookklon größten deutschen Social Network aus dem Hause Holtzbrinck gelesen habe.

Vor einiger Zeit wurde der Fall eines jungen Mannes bekannt, der im Internet u.a. unter dem Pseudonym exit bekannt war. Er sammelte mit Hilfe eines Crawlers Datensätze aus dem SchülerVZ. Dazu zählten allerdings nicht nur – wie die Verantwortlichen des VZs behaupten – Daten, die öffentlich auf den Profilen einsehbar waren sondern auch solche, die auf Privatgeschaltet wurden und dennoch über die Suche abfragbar waren.

Das bedeutet: Wenn ich bswp. einstelle, dass nur meine Freunde mein Alter ( X ) sehen können, dann wird dieses nicht auf meinem Profil angezeigt. Wenn ich aber nun das SVZ durchsuche und mir alle Leute auf einer Schule ( Y ) anzeigen lasse, die X Jahre alt sind, so wird auch mein Profil angezeigt. Also wenn man so will, eine Datensicherheitslücke. Dies galt wohl auch für alle anderen Profildaten, die über die Suche abfragbar waren, selbst wenn das Profil komplett auf Privat gestellt war. Inzwischen ist die Lücke gefixxt. Außerdem wurde bei SVZ die Anzahl der Abfragen in einem bestimmten Zeitraum reduziert. Das bedeutet man bekommt schneller als früher ein Captcha angezeigt. Doch nun kommt der interessante Teil.

Matthias wurde wegen eines angeblichen Erpressungsversuches in Untersuchungshaft genommen, in der er sich vor zwei Wochen das Leben nahm. Angeblich habe er von den Betreibern in einem Treffen 80000 € gefordert, da er die Datensätze sonst veröffentlichen würde. Inzwischen tauchten aber IRC-Logs zwischen Matthias und einem Holtzbrink-Mitarbeiter auf. Dort wurde Matthias darum gebeten, mit der Veröffentlichung der Sicherheitslücke zu warten, bis sie von Betreibern des VZs gefixxt wurde. Dies ist keine unübliche Reaktion in der Branche. Laut der Chatverläufe wurde dem 20 Jährigen sogar Schweigegeld geboten. Daher erwägt der Anwalt des Verstorbenen nun Anzeige gegen vier der Mitarbeiter aufgrund uneidlicher Falschaussage und falscher Verdächtigung.

Dazu gibt es übrigens im offiziellen VZ-Blog eine Stellungnahme. Hier nachzulesen.

Und hier noch ein kurzer Artkel von Spiegel Online.

Vielleicht sollte ich meine Accounts im VZ endgültig löschen. Mit solchen Menschen möchte ich nichts zu tun haben.


Anmerkungen:

Veröffentlicht am 16. November um 12:09 Uhr in „Allgemein, Social Media8 Kommentare