Vor zehn Tagen waren massenweise Daten aufgetaucht, die aus dem sozialen Netzwerk SchülerVZ stammten und hatten für etwas Aufregung bei demselben gesorgt. Denn offensichtlich war es möglich, so man einen ordentlichen Account bei SchülerVZ besaß, automatisiert die Informationen anderer Nutzer auszulesen. Schon bei diesem ersten Fund gab es die Vermutung, dass nicht nur Informationen "gecrawlt" werden konnten, die jeder Nutzer zu sehen bekam sondern auch solche, die als privat und nür für Freunde einsehbar kategorisiert waren. SchülerVZ hatte letzteren Fakt beim ersten Fund bestritten.

Nun sind weitere Daten aufgetaucht, die genau das belegen. Aus den Profilen der Nutzer konnten nicht nur öffentliche, sondern auch private Daten "massenweise" ausgelesen werden, berichtet das Blog Netzpolitik.org am Mittwoch. SchülerVZ hatte auf mehrfache Nachfrage stets zugesichert, dass private Daten von dem illegalen Zugriff nicht betroffen gewesen wären.

Bereits in der vergangenen Woche hatte das Blog über ein Datenleck bei SchülerVZ berichtet, nachdem Unbekannte der Redaktion 1,6 Millionen Datensätze von Nutzern des Netzwerks zugespielt hatten. Im Zuge der Ermittlungen verhaftete die Polizei auch eine Person, die den Betreiber mit den Daten erpressen wollte und 80.000 Euro gefordert hatte. 

Nun erreichten das Blog erneut 118.000 Datensätze von Berliner Schülern. Diesmal enthielten die herausgeschleusten Informationen auch persönliche Daten, die Mitglieder ausdrücklich nur für Freunde freigeschaltet hatten – Geburtstage beispielsweise. Die Verbraucherzentrale Bundesverband (vzbv), der Netzpolitik die Informationen überlassen hatte, bestätigte, dass die Datensätze tatsächlich aus dem Netzwerk SchülerVZ stammen. Dass sich auch sensible personenbezogene Daten darunter befänden, bezeichnete der Verband als brisant. "Statt zu versprechen, dass ihre Daten gut aufgehoben sind, müssen die Anbieter die technisch höchste Sicherheit bieten – wenn nötig auch zu Lasten des Nutzerkomforts", sagte vzbv-Vorstand Gerd Billen.

Der neue Datensatz wird auch vom Berliner Datenschutzbeauftragten Alexander Dix geprüft. Es müsse nun geklärt werden, ob das Datenleck noch besteht oder inzwischen geschlossen wurde, sagte Dix. "Der Vorwurf hat nun eine völlig neue Qualität.“ Sollte er sich bestätigen, würden die bisherigen Zusicherungen von SchülerVZ Lügen gestraft.

In einer Erklärung auf dem firmeneigenen Blog hieß es, bei den nun aufgetauchten Tabellen handele es sich um einen älteren Datensatz. Zitat: Die Sicherheitslücke, die das Abrufen dieser Information möglich machte, wurde bereits Ende Juli 2009 behoben." Desweiteren habe man festgestellt, dass "Einstellmöglichkeiten bezüglich der Suchbarkeit nach Geburtsdaten missverstanden werden können". Man wolle dies im Laufe des Tages beheben und die Suche nach Geburtsdatum und Alter komplett deaktivieren. Außerdem wolle man die Identifikationsnummern der Nutzer "neu setzen", was zu temporären Einschränkungen führen könne.