Datendiebstahl bei Social-Media-Plattformen:
Über eine Million Datensätze von SchülerVZ »abgesaugt«
Hochkonjunktur herrscht derzeit in Deutschland, was Datenpannen betrifft. Nach dem Finanzdienstleister AWD meldete jetzt auch die Social-Network-Plattform SchülerVZ einen massiven Vorfall. Ihr kamen die Datensätze von einer Million Mitgliedern abhanden.
Name, Geschlecht, Alter und das Foto, das Mitglieder in ihr Profil einbinden, gehören zu den Informationen, die Angreifer bei SchülerVZ [1] abgegriffen haben. Betroffen sind rund eine Million der etwa fünf Millionen Mitglieder der Social-Networking-Plattform für Jugendliche zwischen 12 und 18 Jahren.
Die öffentlich zugänglichen Daten von einer Million SchülerVZ-Nutzer hat ein Hacker mithilfe eines Crawlers abgegriffen. Angeblich liefen vergleichbare Angriffe auf meinVZ und StudiVZ.
In Beiträgen im Weblog der Plattform [2], die zur Holtzbrinck-Verlagsgruppe gehört, bemühen sich die Betreiber um Schadensbegrenzung. Ein einzelner SchülerVZ-User habe eine Vielzahl von Profilen aufgerufen und Kopien der für alle Mitglieder sichtbaren Daten von Nutzern angelegt.
Nicht »abgesaugt« wurden Post- und E-Mail-Adressen, Zugangsdaten, Fotoalben und Telefonnummern. »Den eigentlichen Täter konnten wir inzwischen identifizieren und haben bereits mit ihm Kontakt aufgenommen. Er stellt uns aktuell eine Kopie der Daten zur Verfügung«, so SchülerVZ in dem Blog.
Allerdings räumte der Täter ein, dass er die Informationen bereits an Dritte weitergegeben hat. Um wen es sich dabei handelt, wollte der Hacker bislang nicht sagen.
Auch meinVZ und StudiVZ betroffen
Beim Gespräch mit dem Täter stellte sich heraus, dass dieser auch bei den Schwesterplattformen meinVZ und StudiVZ persönliche Daten eingesammelt hat. Allerdings hat er diese Informationen nach eigenen Angaben nicht weitergegeben.
Die Daten sammelte der Hacker mithilfe eines Crawlers ein. Dieser loggte sich mit normalen Nutzer Log-in-Daten in die Community ein und griff die angezeigten Daten ab. Angeblich wurden die Sicherheitsmechanismen in Formularen und in Form von Captchas dabei nicht geknackt.
»Wir haben den Zugriff auf eine erhöhte Anzahl von Profilen in einem kurzen Zeitraum sofort eingeschränkt. Bitte haben Sie Verständnis, dass wir hier nicht näher ins Detail gehen können«, so die Betreiber von SchülerVZ.
Zudem habe man rechtliche Schritte gegen den Täter eingeleitet. Dies ist insofern interessant, als die Betreiber der Plattform argumentieren, der Angreifer habe nur allgemein zugängliche Informationen über Mitglieder gesammelt. Daher stellt sich die Frage, warum der Medienkonzern trotzdem juristisch gegen den Täter vorgehen will.
Offenbar Datenklau in großem Stil
Das Ausmaß des Angriffes auf die vz-Plattformen zeigt, dass hier wohl kein Anfänger oder ein Script-Kid am Werk war. Auch wenn die Betreiber den Vorfall herunterspielen, wirft die Attacke kein gutes Licht auf die IT-Sicherheitsmaßnahmen, die bei SchülerVZ und StudiVZ vorhanden sind.
»Gerade bei Kindern und Jugendliche ist der Schutz der Privatsphäre besonders wichtig«, so Dr. Bernhard Rohleder, Hauptgeschäftsführer des High-Tech-Branchenverbandes Bitkom [3]. »Es muss umgehend untersucht werden, wie es zu dem Vorfall kommen konnte.«
Möglicherweise CSRF-Angriff
Fachleute vermuten, dass der Angriff über eine unzureichend gesicherte Schnittstelle bei der Online-Plattform durchgeführt wurde, Stichwort Cross Site Request Forgery. Bei dieser Angriffsform werden Authentifizierungs-Informationen, die der Browser eines rechtmäßigen Users einer Web-Seite speichert, dazu genutzt, um Unbefugten den Zugang zu Web-Anwendungen zu ermöglichen.
Das kann passieren, wenn sich der Nutzer einer Seite, wie eben StudiVZ oder SchülerVZ, nach Ende einer Session nicht ordnungsgemäß ausloggt und anschließend auf eine Web-Seite gelangt, die mit Schadcode präpariert ist. Diese Malware liest die Sitzungsdaten aus dem Browser des arglosen Users aus und etabliert in seinem Namen eine neue Session bei der Ziel-Plattform.
Nach eigenen Angaben haben die Betreiber von SchülerVZ und StudiVZ die Web-Sites inzwischen auf solche Schwachstellen hin untersucht und diese geschlossen.
Datendiebstahl bei AWD schlimmer als befürchtet
Allerdings stehen SchülerVZ und StudiVZ nicht alleine da, was Datenpannen betrifft. Der Finanzberater AWD räumte nun ein, dass nicht nur Informationen über Kunden in die Hände von Unbefugten fielen, sondern auch die von 1500 Mitarbeitern.
Dem Hörfunksender NDR Info wurden in der vergangenen Woche rund 27.000 Datensätze von Kunden zugespielt. Sie enthielten unter anderem Kundennummer, Adressdaten und Details zu den Verträgen mit AWD.
Nun erhielt die Tageszeitung Neue Westfälische [4] einen »Nachschlag« mit 1500 Datensätzen von AWD-Mitarbeitern. Die Liste enthält die ID-Nummer der Beschäftigten, Informationen über ihre Gehaltsstufe, Firmendarlehen und Umsätze. Allerdings sind diese Daten rund fünf Jahre alt.
Ein pikantes Detail ist laut der Zeitung, dass 66 der 122 Teammanger von AWD bei ihrem Arbeitgeber in der Kreide standen, einer mit mehr als 160.000 Euro. Derzeit ermittelt die Staatsanwaltschaft in der Sache. Sie prüft, welche Verstöße gegen das Datenschutzgesetz vorliegen.
[1] http://www.schuelervz.de/
[2] http://blog.studivz.net/
[3] http://www.bitkom.org/
[4] http://www.nw-news.de/
- 1. Seite: Über eine Million Datensätze von SchülerVZ »abgesaugt«
- 2. Seite: Datendiebstahl bei AWD schlimmer als befürchtet
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Die besten System-Tools für Android
Android erlaubt tiefe Eingriffe in das System – und viele Apps nutzen diese Möglichkeit, um die Leistung zu optimieren und dem Nutzer bei der Bedienung seines Smartphones zu helfen. Wir stellen die besten System-Tools für Android vor.
Zwölf Smartphone-Flatrates ab 20 Euro im Vergleich
Mit Yourfone von E-Plus kommt jetzt eine neue Günstig-Flat für Smartphones. Unsere Kollegen von der Connect haben den Neuling mit der etablierten Konkurrenz verglichen.
Ungarn führt Telefonsteuer ein
Weit weniger Spaß als bisher werden die Bürger Ungarns sicherlich künftig beim Telefonieren haben. Als Reaktion auf die Schuldenlast des Landes hat das Parlament die Einführung einer Telefonsteuer beschlossen.
Weitere Artikel
» Bilderstrecken
» Meistgelesene News
So sexy sind Deutschlands Bäuerinnen
Vor kurzem war es wieder soweit: Die Macher des Deutschen Bauernkalenders suchten nach den schönsten Botschafterinnen für die Landwirtschaft. Die ansprechendsten Bewerberinnen kamen zum Casting nach München und Hamburg. Wir zeigen Ihnen die besten Bilder der Vorauswahlen in unserer Bilderstrecke ...
Massenentlassungen bei HP geplant
Der Rückgang der PC-Nachfrage und die Zusammenlegung von PC-und Druckersparte haben einschneidende Konsequenzen für die Mitarbeiter von HP. Es sollen laut Medienberichten 30.000 Mitarbeiter entlassen werden.