Datendiebstahl bei Social-Media-Plattformen:
Über eine Million Datensätze von SchülerVZ »abgesaugt«
Hochkonjunktur herrscht derzeit in Deutschland, was Datenpannen betrifft. Nach dem Finanzdienstleister AWD meldete jetzt auch die Social-Network-Plattform SchülerVZ einen massiven Vorfall. Ihr kamen die Datensätze von einer Million Mitgliedern abhanden.
Name, Geschlecht, Alter und das Foto, das Mitglieder in ihr Profil einbinden, gehören zu den Informationen, die Angreifer bei SchülerVZ [1] abgegriffen haben. Betroffen sind rund eine Million der etwa fünf Millionen Mitglieder der Social-Networking-Plattform für Jugendliche zwischen 12 und 18 Jahren.
Die öffentlich zugänglichen Daten von einer Million SchülerVZ-Nutzer hat ein Hacker mithilfe eines Crawlers abgegriffen. Angeblich liefen vergleichbare Angriffe auf meinVZ und StudiVZ.
In Beiträgen im Weblog der Plattform [2], die zur Holtzbrinck-Verlagsgruppe gehört, bemühen sich die Betreiber um Schadensbegrenzung. Ein einzelner SchülerVZ-User habe eine Vielzahl von Profilen aufgerufen und Kopien der für alle Mitglieder sichtbaren Daten von Nutzern angelegt.
Nicht »abgesaugt« wurden Post- und E-Mail-Adressen, Zugangsdaten, Fotoalben und Telefonnummern. »Den eigentlichen Täter konnten wir inzwischen identifizieren und haben bereits mit ihm Kontakt aufgenommen. Er stellt uns aktuell eine Kopie der Daten zur Verfügung«, so SchülerVZ in dem Blog.
Allerdings räumte der Täter ein, dass er die Informationen bereits an Dritte weitergegeben hat. Um wen es sich dabei handelt, wollte der Hacker bislang nicht sagen.
Auch meinVZ und StudiVZ betroffen
Beim Gespräch mit dem Täter stellte sich heraus, dass dieser auch bei den Schwesterplattformen meinVZ und StudiVZ persönliche Daten eingesammelt hat. Allerdings hat er diese Informationen nach eigenen Angaben nicht weitergegeben.
Die Daten sammelte der Hacker mithilfe eines Crawlers ein. Dieser loggte sich mit normalen Nutzer Log-in-Daten in die Community ein und griff die angezeigten Daten ab. Angeblich wurden die Sicherheitsmechanismen in Formularen und in Form von Captchas dabei nicht geknackt.
»Wir haben den Zugriff auf eine erhöhte Anzahl von Profilen in einem kurzen Zeitraum sofort eingeschränkt. Bitte haben Sie Verständnis, dass wir hier nicht näher ins Detail gehen können«, so die Betreiber von SchülerVZ.
Zudem habe man rechtliche Schritte gegen den Täter eingeleitet. Dies ist insofern interessant, als die Betreiber der Plattform argumentieren, der Angreifer habe nur allgemein zugängliche Informationen über Mitglieder gesammelt. Daher stellt sich die Frage, warum der Medienkonzern trotzdem juristisch gegen den Täter vorgehen will.
Offenbar Datenklau in großem Stil
Das Ausmaß des Angriffes auf die vz-Plattformen zeigt, dass hier wohl kein Anfänger oder ein Script-Kid am Werk war. Auch wenn die Betreiber den Vorfall herunterspielen, wirft die Attacke kein gutes Licht auf die IT-Sicherheitsmaßnahmen, die bei SchülerVZ und StudiVZ vorhanden sind.
»Gerade bei Kindern und Jugendliche ist der Schutz der Privatsphäre besonders wichtig«, so Dr. Bernhard Rohleder, Hauptgeschäftsführer des High-Tech-Branchenverbandes Bitkom [3]. »Es muss umgehend untersucht werden, wie es zu dem Vorfall kommen konnte.«
Möglicherweise CSRF-Angriff
Fachleute vermuten, dass der Angriff über eine unzureichend gesicherte Schnittstelle bei der Online-Plattform durchgeführt wurde, Stichwort Cross Site Request Forgery. Bei dieser Angriffsform werden Authentifizierungs-Informationen, die der Browser eines rechtmäßigen Users einer Web-Seite speichert, dazu genutzt, um Unbefugten den Zugang zu Web-Anwendungen zu ermöglichen.
Das kann passieren, wenn sich der Nutzer einer Seite, wie eben StudiVZ oder SchülerVZ, nach Ende einer Session nicht ordnungsgemäß ausloggt und anschließend auf eine Web-Seite gelangt, die mit Schadcode präpariert ist. Diese Malware liest die Sitzungsdaten aus dem Browser des arglosen Users aus und etabliert in seinem Namen eine neue Session bei der Ziel-Plattform.
Nach eigenen Angaben haben die Betreiber von SchülerVZ und StudiVZ die Web-Sites inzwischen auf solche Schwachstellen hin untersucht und diese geschlossen.
Datendiebstahl bei AWD schlimmer als befürchtet
Allerdings stehen SchülerVZ und StudiVZ nicht alleine da, was Datenpannen betrifft. Der Finanzberater AWD räumte nun ein, dass nicht nur Informationen über Kunden in die Hände von Unbefugten fielen, sondern auch die von 1500 Mitarbeitern.
Dem Hörfunksender NDR Info wurden in der vergangenen Woche rund 27.000 Datensätze von Kunden zugespielt. Sie enthielten unter anderem Kundennummer, Adressdaten und Details zu den Verträgen mit AWD.
Nun erhielt die Tageszeitung Neue Westfälische [4] einen »Nachschlag« mit 1500 Datensätzen von AWD-Mitarbeitern. Die Liste enthält die ID-Nummer der Beschäftigten, Informationen über ihre Gehaltsstufe, Firmendarlehen und Umsätze. Allerdings sind diese Daten rund fünf Jahre alt.
Ein pikantes Detail ist laut der Zeitung, dass 66 der 122 Teammanger von AWD bei ihrem Arbeitgeber in der Kreide standen, einer mit mehr als 160.000 Euro. Derzeit ermittelt die Staatsanwaltschaft in der Sache. Sie prüft, welche Verstöße gegen das Datenschutzgesetz vorliegen.
[1] http://www.schuelervz.de/
[2] http://blog.studivz.net/
[3] http://www.bitkom.org/
[4] http://www.nw-news.de/
- 1. Seite: Über eine Million Datensätze von SchülerVZ »abgesaugt«
- 2. Seite: Datendiebstahl bei AWD schlimmer als befürchtet
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Ist Ihrer auch zu breit?
Die linke Fahrspur ist in vielen Autobahn-Baustellen nur für Fahrzeuge mit maximal zwei Meter Breite zugelassen. Jetzt warnt der ADAC: 67 Prozent der Neuwagenmodelle sind breiter als zwei Meter! Wer nicht nachmisst, riskiert ein Bußgeld.
Chefs versagen im zwischenmenschlichen Umgang
Vielen Führungskräften fehlt es an Empathie im Umgang mit ihren Mitarbeitern und sie erfüllen ihre Aufgaben nicht effektiv. Zu diesem ernüchternden Ergebnis kommt eine Studie des Beratungsunternehmens Development Dimensions International (DDI).
» Bundesliga-Tippspiel 2011
