SchülerVZ-like wird das Datendesaster gelöst. Es gibt eine Mail und wird auf eine Gruppe verwiesen. Wann kommt das Album? Wie kann man den Täter gruscheln oder sollte man ihn einfach „Ignorieren“? Im folgenden die Mail von Christoph S., die wohl jeder SchülerVZler (inkl. Sohnemann) ins Postfach bekam.
Liebe Nutzer,
heute haben wir von folgendem Problem erfahren:
Ein schülerVZ-Nutzer hatte eine Vielzahl von Inhalten aus schülerVZ-Profilen kopiert.
Wichtig zu wissen ist dabei, dass in dieser Liste nur Daten zu finden sind, die sowieso alle schülerVZ-Nutzer sehen können. Zugangsdaten wie E-Mail Adressen und Passwörter waren davon nicht betroffen! Adressen, Telefonnummern und Fotoalben natürlich auch nicht.
Wir haben sofort technische Maßnahmen ergriffen, um weitere illegale Zugriffe zu verhindern und eure Daten zu schützen.
Ihr habt noch mehr Fragen? Dann kommt in unsere Gruppe Datenschutz im schülerVZ und stellt eure Frage dort oder schreibt eine E-Mail an fragen@schuelervz.net
Wir werden euch laufend auf dem aktuellen Stand halten und sowohl in der Gruppe als auch über den klartext eure Fragen beantworten.
UPDATE:
Um eure Daten zu retten, haben wir mit den Leuten der Internetseite netzpolitik.org gesprochen, die als einzige diese Liste mit den Daten von dem schülerVZ-Nutzer hatten. Gemeinsam mit ihnen haben wir verhindert, dass diese Liste mit den kopierten Informationen veröffentlicht wurde. Außerdem wurde diese Liste inzwischen gelöscht.
Ihr habt uns viele Fragen gestellt. Einige beantworten wir euch hier:
1.) Handelt es sich bei dem Vorfall um ein Datenleck?
Nein. Der Datenkopierer ist ein registrierter Nutzer bei schülerVZ. Daten wurden demnach niemanden zugänglich gemacht, der hierzu nicht berechtigt war. Das Kopieren der Daten ist jedoch illegal und gleichzeitig ein schwerer Verstoß gegen unsere AGB.2.) Ist es tatsächlich möglich, dass ein einzelner Nutzer eine große Anzahl von Daten ausgelesen hat?
Ja, das kann im Grunde jeder machen, wenn er ausreichend Zeit hat, indem er sich die Profile Seite für Seite ansieht und dann kopiert. Das ist quasi das Gleiche, als wenn jemand das Telefonbuch Seite für Seite durchblättert und aufschreibt.3.) Welche Maßnahmen werden eingeleitet, damit so etwas zukünftig nicht passieren kann?
Wir haben den Zugriff auf eine erhöhte Anzahl von Profilen in einem kurzen Zeitraum sofort eingeschränkt.UPDATE (2):
Entegen unserer Annahme bzw. bisherigen Ermittlung gibt es noch weitere Kopien dieser Liste. Den eigentlichen Täter konnten wir aber inzwischen identifizieren und haben bereits mit ihm Kontakt aufgenommen.
Wichtig: Der Täter hatte keinen Zugang zu unserer Datenbank. Auch die Angaben, die ihr durch eure Privatsphäreeinstellungen geschützt habt, konnte er nicht sehen. Außerdem hat uns der Täter gesagt, dass er die Daten weiteren Personen zur Verfügung gestellt hat.
Er will uns derzeit jedoch nicht sagen, um wen es sich handelt. Der Täter fordert aktuell diese Personen dazu auf, die Daten zu löschen und mit uns in Kontakt zu treten. Wir sind aktiv dabei diese Personen ausfindig zu machen, um sie über die juristischen Konsequenzen Ihres Handelns aufzuklären und dafür zu sorgen, dass alle Listen mit illegal kopierten Nutzerdaten gelöscht werden.
Update (3):
Wir haben inzwischen noch mal mit dem Täter gesprochen und wir haben folgendes erfahren: Der Täter hat einen „Crawler“ geschrieben. Dieses Programm loggt sich mit den normalen schülerVZ-Account des Täters in schülerVZ ein und sammelt die angezeigten Daten. Die bestehenden Sicherheitsmechanismen (z.B. Captchas) wurden dabei geknackt.
Der Täter hat uns genaue Angaben dazu gemacht, welche Daten er gesammelt hat: es handelt sich, wie bisher angegeben, nur um für alle Nutzer von schülerVZ einsehbare Daten. In euren Privatsphäreeinstellungen könnt ihr einstellen, welche Daten alle anderen schülerVZ Nutzern sehen dürfen. Nur solche Daten, die auch für alle schülerVZ Nutzer sichtbar waren, konnte der Täter sehen und sammeln.
Wir haben von euch auch Kommentare hinsichtlich der rechtlichen Relevanz über die Verletzung unserer AGBS bekommen. Dazu können wir euch folgendes sagen: Das Crawlen eines Netzwerks unter Umgehung von Zugangssperren (Captchas) ist illegal. Zudem verletzt das Crawlen und das Veröffentlichen der gecrawlten Informationen Datenschutzrecht. Der Täter hat aber auch die Rechte eines jeden einzelnen Nutzers verletzt.
Update (4):
In enger Zusammenarbeit mit dem Landeskriminalamt Berlin konnte am 18.10.2009 ein dringend Tatverdächtiger festgenommen werden. Gegen den Tatverdächtigen haben wir Anzeige erstattet.
Update (5):
In unserer Gruppe Datenschutz im schülerVZ haben wir für euch Antworten zu den am häufigsten gestellten Fragen zusammengefasst.
Technorati-Tags: SchülerVZ, Datendesaster, Christoph S.