Für die These von Beckedahl vom profilsüchtigen "Script-Kiddie" spricht auch das Verhalten des Tatverdächtigen: Der hatte sich bereits am 22. Mai 2009 auf YouTube damit gebrüstet, mit einem sogenannten Crawler massenhaft Daten aus den VZNetzen kopiert zu haben. "In nur 4 Stunden Crawlen hat der Bot bereits ÜBER 48000 Profile besucht", schrieb er zu einem Video, das den "Bot" - also das Kopierprogramm - bei der Arbeit zeigt.
SchülerVZ um Schutz bemüht
Wie Beckedahl dazu außerdem in seinem Blog schreibt, ist die Sicherheit der VZ-Netzwerke noch ausbaufähig: "Es sollte zukünftig verhindert werden, dass in solchen Größenmengen Profile automatisiert ausgelesen werden können." Die meisten Schwachstellen, die der Hacker ausgenutzt habe, seien nicht neu, sagte auch Prof. Hendrik Speck von der Fachhochschule Kaiserslautern. "Neu ist, dass jemand mit den Daten versucht hat zu schachern." Ein Großteil der Probleme bei den VZ-Netzwerken geht nach Ansicht von Speck aber auf ein "Fehlverhalten der alten Geschäftsleitung zurück", die sich zu wenig um Sicherheitsfragen gekümmert habe. "Inzwischen sind die Schutzmaßnahmen in SchülerVZ mit die besten, die wir im Datenschutzbereich haben." Aber auch sie seien noch bearbeitungswürdig, sagte der Experte für
Soziale Netzwerke.
"Durch keine Hackerethik gerechtfertigt"
SchülerVZ wurde zum Ziel eines "Script-Kiddies".
Screenshot: onlinekosten.de
Für Andy Müller-Maguhn vom Chaos Computer Club (CCC) spielt es bei der Bewertung des Falls eine entscheidende Rolle, ob der 20-Jährige wirklich versucht hat, aus seinem Hack illegal Kapital zu schlagen. "Wenn er tatsächlich versucht hat, den Laden zu erpressen, dann kann das durch keine Hacker-Ethik gerechtfertigt werden." Der Berliner Datenschutzbeauftragte Alexander Dix forderte das Unternehmen auf, seine Sicherheitsvorkehrungen weiter zu verbessern. "Seit einem Hackerangriff im Jahr 2006 weisen wir den Betreiber auf gewisse Sicherheitsmängel hin."
Einige Mängel seien bereits behoben worden. Zusätzlich sollten jedoch die Nutzer ermutigt werden, Spitznamen zu wählen. Auch die automatischen Voreinstellungen sollten restriktiver und nicht - wie derzeit der Fall - gleich für eine große Nutzergemeinde geöffnet sein. Bei VZnet arbeiten nun die Informatiker fieberhaft daran, die Hürden für ein massenhaftes Kopieren der Benutzerprofile viel höher zu setzen. "Details können wir dazu nicht sagen, denn wir wollen den Hackern keine Hinweise geben", sagte Firmensprecher Dirk Hensen.