Hm, ich glaube uns fehlen einfach eine Menge notwendiger Informationen.
Was haben wir denn?
a) Ein "Hacker" hat Daten gesammelt.
Hm. Mit "hacken" hat das nun wirklich nichts zu tun - VZ hatte keine nennenswerten Sicherheitseinstellungen, die das Sammeln verhindert haben. Mal ernsthaft, bis zum Tag bevor es publik wurde ergab ein googlen nach "captcha studi vz" auf Platz eins ein Pyton Script, dass das VZ Captcha auseinander genommen hat. Dann noch ein paar Zeilen php, ein eigener Webserver und eine grosse Festplatte - fertig. (Lustigerweise war das ein Projekt, das von google Code gehostet wurde ... nuja, jetzt wohl nicht mehr ;-) ).
b) Der "Hacker" wollte Geld erpressen.
Wieder ein hmmmm, diesmal ein langes. Ernsthaft, ich kann mir nicht vorstellen, das ein "Hacker" für ein einfaches Datensammeln davon ausging, Geld zu bekommen. Laut VZ hat er ja nur Daten gesammelt, die jeder sehen kann - was soll er also sagen? "Juhu, ich habe 2 Millionen Userprofile, für 50.000 Euro verkaufe ich die"? Mei, die Daten kann eh jeder sehen.
Oder "Ha, ich weiss wie man an 2 Millionen Userprofile kommt?" Wie gesagt, das wusste jeder der danach gegooglet hat.
c) StudiVZ hat dem Hacker Geld angeboten.
Scheint genauso unwahrscheinlich - die Leute dort sollten wissen, das ihr Captcha Müll war, wie auch der Rest ihrer Sicherheitseinstellungen. Ernsthaft, wieso lassen sie es zu, Captcha hin oder her, das von einer IP Adresse mehrere tausend Profile pro Tag angeschaut werden? Das hat doch nun wirklich nichts mit normaler Nutzung zu tun ...
Das man die Daten leicht sammeln kann war allgemein bekannt, zumindest wenn man sich mit sozialen Netzwerken auseinander gesetzt hat. "Imageverlust" ... das Problem ist, das die ganzen VZ User ihre Daten (besser: wer sie sehen kann) nicht interessieren, sonst wären sie dort nicht angemeldet.
Fazit: Das was wir bisher an Informationen haben lässt nur den Schluss zu, das uns Informationen fehlen ...