Anonym surfen? Nicht für Nutzer von Social Networks wie XING, Facebook und Co.

Ich habe ein Profil bei XING. Und ich bin dort Mitglied in diversen Gruppen. Mir war nicht bewusst, dass ich so ganz einfach beim Besuch einer beliebigen Webseite ent-anonymisiert werden kann...

Doch der Reihe nach:

Es gibt eine Sicherheitslücke in Browsern, die es einem Angreifer leicht macht, die Chronik der besuchten Webseiten auszulesen. Das haben sich auch schon Seiten wie didyouwatchporn.com zu Nutzen gemacht - hier wird beispielsweise nachgeprüft, ob Links zu anzüglichen Seiten vom Browser als bereits besucht dargestellt werden. Sie kennen das: nicht besuchte Links erscheinen blau, bereits besuchte dagegen lila. Wird dann ein lila Link entdeckt, ist klar: Der Nutzer des Browsers hat schon mal...

Forscher des International Secure Systems Lab (isecLAB) sind einen Schritt weiter gegangen. Sie versuchen, den Namen des Besuchers einer Webseite zu erraten. Bei mir jedenfalls hat es geklappt, davon konnte ich mich auf der Experimente-Seite des isecLABs überzeugen.

Was steht dahinter? Nutzer von sozialen Netzwerken wie XING, Facebook oder sonstigen können Gruppen beitreten, die ihren Interessen entsprechen. Vergleicht man jetzt die Gruppenzugehörigkeit verschiedener Nutzer miteinander, ergibt sich, dass es kaum zwei Nutzer gibt, die exakt dieselben Gruppen abonniert haben - die Gruppenzugehörigkeit in ihrer Gesamtheit ist also eine Art Fingerabdruck.

Besucht man die Gruppen mit dem Browser, wird diese Information in der Chronik des Browsers gespeichert. Eine entsprechend präparierte Webseite kann diese Chronik auslesen und mit einer Datenbank vergleichen, in der die Gruppenzugehörigkeit beispielsweise aller XING-Nutzer gespeichert sind. Et voilà - mit dieser Methode kann man zumindest raten, wie der Nutzer heißt.

Und wenn man das wiederum weiß, kennt man auch das Profil des XING-Nutzers, den jetzigen und die bisherigen Arbeitgeber, die Freunde, weitere Internetprofile und und und.

Wie man das nutzen kann?

Gezielter Spam kommt mir in den Sinn: Ich kenne die Freunde des Nutzers und kann mich als einer dieser Freunde ausgeben. Ich weiß, welche Webseite er angesteuert hat und kann darauf Bezug nehmen - im Anhang übersende ich dann einen hübschen  als Bild oder pdf-Datei getarnten Trojaner. Dass der Adressat diesen Anhang öffnent wird, ist schon wesentlich wahrscheinlicher als bei anonymem Spam - schließlich kam er über einen bekannten Absender und nahm Bezug auf gemeinsame Interessen etc.

Oder ich fertige eine Zusammenstellung der peinlichsten Surfabenteuer und drohe dem Nutzer damit, diese an die Freunde zu schicken.

Oder ich möchte mehr wissen über die politischen Neigungen des Nutzers, welcher meiner Konkurrenten meine Webseite besucht, wer sich gerade für Stellenangebote interessiert - und und und...

Wer sich tiefer mit dem Thema beschäftigen möchte:

• hier ist der Artikel des isecLABs "A Practical Attack to De-Anonymize Social Network Users" (pdf-Datei)
• hier Beiträge zum Thema bei spiegel-online, slashdot.org und heise.de

Was ist zu tun? Firefox nur noch im Porno-Modus betreiben, Chronik ständig löschen, XING-Gruppen nur noch Bekannten öffnen - und: so wenig Daten wie möglich öffentlich machen.

Ob man das will, ist eine andere Frage. Wenn man auf die Bequemlichkeiten und Vorzüge der Browser und sozialen Netzwerke nicht verzichten möchte, hilft eben nur: Surfen Sie mit offenen Augen. Vertrauen Sie nicht darauf, dass eine E-Mail eines Freundes auch wirklich von diesem Freund stammt. Und noch einmal: Surfen Sie mit offenen Augen.

• Twittere diesen Artikel
• Empfehle diesen Artikel bei del.icio.us
• Empfehle diesen Artikel bei Facebook
• Empfehle diesen Artikel bei Technorati
• Digg this!
• Füge diesen Artikel den Google Bookmarks hinzu
• Empfehle diesen Artikel bei Linkedin
• Empfehle diesen Artikel bei MySpace