Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Über eine Million Datensätze von SchülerVZ »abgesaugt«

Datendiebstahl bei Social-Media-Plattformen

Über eine Million Datensätze von SchülerVZ »abgesaugt«

19. Oktober 2009, 10:23 Uhr | Bernd Reder
Fortsetzung des Artikels von Teil 1

Offenbar Datenklau in großem Stil

Das Ausmaß des Angriffes auf die vz-Plattformen zeigt, dass hier wohl kein Anfänger oder ein Script-Kid am Werk war. Auch wenn die Betreiber den Vorfall herunterspielen, wirft die Attacke kein gutes Licht auf die IT-Sicherheitsmaßnahmen, die bei SchülerVZ und StudiVZ vorhanden sind.

»Gerade bei Kindern und Jugendliche ist der Schutz der Privatsphäre besonders wichtig«, so Dr. Bernhard Rohleder, Hauptgeschäftsführer des High-Tech-Branchenverbandes Bitkom. »Es muss umgehend untersucht werden, wie es zu dem Vorfall kommen konnte.«

Möglicherweise CSRF-Angriff

Fachleute vermuten, dass der Angriff über eine unzureichend gesicherte Schnittstelle bei der Online-Plattform durchgeführt wurde, Stichwort Cross Site Request Forgery. Bei dieser Angriffsform werden Authentifizierungs-Informationen, die der Browser eines rechtmäßigen Users einer Web-Seite speichert, dazu genutzt, um Unbefugten den Zugang zu Web-Anwendungen zu ermöglichen.

Das kann passieren, wenn sich der Nutzer einer Seite, wie eben StudiVZ oder SchülerVZ, nach Ende einer Session nicht ordnungsgemäß ausloggt und anschließend auf eine Web-Seite gelangt, die mit Schadcode präpariert ist. Diese Malware liest die Sitzungsdaten aus dem Browser des arglosen Users aus und etabliert in seinem Namen eine neue Session bei der Ziel-Plattform.

Nach eigenen Angaben haben die Betreiber von SchülerVZ und StudiVZ die Web-Sites inzwischen auf solche Schwachstellen hin untersucht und diese geschlossen.

Datendiebstahl bei AWD schlimmer als befürchtet

Allerdings stehen SchülerVZ und StudiVZ nicht alleine da, was Datenpannen betrifft. Der Finanzberater AWD räumte nun ein, dass nicht nur Informationen über Kunden in die Hände von Unbefugten fielen, sondern auch die von 1500 Mitarbeitern.

Dem Hörfunksender NDR Info wurden in der vergangenen Woche rund 27.000 Datensätze von Kunden zugespielt. Sie enthielten unter anderem Kundennummer, Adressdaten und Details zu den Verträgen mit AWD.

Nun erhielt die Tageszeitung Neue Westfälische einen »Nachschlag« mit 1500 Datensätzen von AWD-Mitarbeitern. Die Liste enthält die ID-Nummer der Beschäftigten, Informationen über ihre Gehaltsstufe, Firmendarlehen und Umsätze. Allerdings sind diese Daten rund fünf Jahre alt.

Ein pikantes Detail ist laut der Zeitung, dass 66 der 122 Teammanger von AWD bei ihrem Arbeitgeber in der Kreide standen, einer mit mehr als 160.000 Euro. Derzeit ermittelt die Staatsanwaltschaft in der Sache. Sie prüft, welche Verstöße gegen das Datenschutzgesetz vorliegen.

  1. Über eine Million Datensätze von SchülerVZ »abgesaugt«
  2. Offenbar Datenklau in großem Stil
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH
GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH
kiwiko eG - IT-Expertennetzwerk

kiwiko eG - IT-Expertennetzwerk
Riello UPS GmbH

Riello UPS GmbH
HP Deutschland GmbH

HP Deutschland GmbH