Binnen 24 Stunden

Wiener Forscher spionieren 1,2 Mio. Mail-Adressen aus

(Bild: TU Wien)

Kontakte über soziale Netzwerke im Internet zu knüpfen, ist genauso alltäglich geworden, wie E-Mails zu schreiben. Doch immer wieder werden Sicherheitslücken offenbart. Gilbert Wondracek und Christian Platzer vom Secure Systems Lab an der TU Wien gelang es nun, zu mehr als 1,2 Millionen Social-Network-Profilen die jeweiligen privaten E-Mail-Adressen zuzuordnen. "Diesmal diente der Versuch der Wissenschaft - aber was, wenn die nächste Attacke von Leuten gemacht wird, die damit Zwielichtiges vorhaben?", fragen die Forscher, die für ihre "Spionage-Aktion" weniger als einen Tag brauchten.

Wer ein Profil auf einer Social-Network-Seite einrichtet, will sich dort mit möglichst vielen Freunden verknüpfen. Um rasch die richtigen Kontakte zu finden, gibt es bei vielen Plattformen eine simple Möglichkeit: Man lädt das eigene E-Mail-Adressbuch hoch und bekommt eine Liste der Profile, die zu den angegebenen Adressen gehören. "Das ist nicht unproblematisch", findet Christian Platzer (rechts im Bild) von der TU Wien. "Auch wenn ich meine E-Mail-Adresse geheim halten will und sie nicht auf meinem Profil sichtbar ist, wird sie von der Seite dazu verwendet, mein Profil zu identifizieren."

Millionen E-Mail-Adressen mit persönlichen Daten verknüpft
Diese Schwachstelle machten sich die Forscher zunutze, indem sie Millionen von E-Mail-Adressen, die sich auf einem mittlerweile stillgelegten Spam-Server angesammelt hatten, mithilfe einfacher Computerprogramme in kurzer Zeit bei verschiedenen Social-Network-Seiten überprüften. Meldet die Seite, dass es tatsächlich ein Benutzerprofil zu einer bestimmten Adresse gibt, so hat man eine Adresse entdeckt, die mit großer Wahrscheinlichkeit tatsächlich aktiv benutzt wird - und zusätzlich erhält man vom Benutzerprofil dazu passende persönliche Angaben.

Meist finde man im Benutzerprofil dann eine Liste mit den Namen der befreundeten Kontaktpersonen, aus der man dann wieder neue E-Mail-Adressen generieren könne: Dafür ließen die TU-Forscher den Computer automatisch zu jeder Kontaktperson eine Reihe möglicher Adressen erzeugen - etwa nach dem Schema "Vorname.Nachname@gmail.com". Im Anschluss daran testeten sie wieder, ob diese in den Social Networks registriert ist. Auf diese Weise konnten in kurzer Zeit Hunderttausende weitere E-Mail-Adressen gefunden werden. Insgesamt wurden so 1,2 Millionen Profilen die jeweilige private E-Mail-Adresse zugeordnet.

Sag mir, wo du surfst - ich sage dir, wer du bist
Eine weitere Gefahr stellen Wondracek und Platzer zufolge die Gruppen dar, denen man in verschiedenen Social-Network-Seiten beitreten kann. So könne etwa eine harmlos aussehende Website den Browserverlauf abfragen und feststellen, welche Gruppen-Seiten kürzlich angesehen wurden. Kennt die attackierende Website nun die Liste von Gruppen, in denen das Opfer Mitglied ist, kann oft die Identität des Opfers genau festgestellt werden - schließlich ist es recht unwahrscheinlich, dass mehrere Benutzer genau denselben Gruppen beigetreten sind.

"Bösartige Angreifer könnten einiges an Schaden verursachen"
"Natürlich waren wir bei unseren Experimenten sehr darauf bedacht, weder die untersuchten Webseiten zu stören noch die Privatsphäre von Personen zu verletzen", betont Gilbert Wondracek. "Wir haben die Daten nur wissenschaftlich ausgewertet - aber ein bösartiger Angreifer könnte damit durchaus einiges an Schaden verursachen." Im harmlosesten Fall kommt auf das Opfer einfach eine Lawine von Spam zu, der genau auf die persönlichen Daten und Vorlieben abgestimmt ist.

Aber auch echter Betrug ist denkbar: Möglicherweise geben sich Trickbetrüger eines Tages als Freunde oder Geschäftspartner aus, senden einen kurzen Text, der mithilfe persönlicher Daten aus den Benutzerprofilen maßgeschneidert wurde - und schon tappt man in die Falle, weil man den scheinbar wohlbekannten Absender für vertrauenswürdig hält. Sogar Erpressungsversuche wären denkbar: Vielleicht ist der Benutzer einer Partnervermittlungs-Seite in Wahrheit verheiratet und hat großes Interesse daran, dass das geheim bleibt?

Forscher mahnen zu Vorsicht
Die neuentdeckten Sicherheitslücken wurden von den TU-Forschern bereits an die Social-Network-Seiten weitergeleitet. Zum Teil wurden die Sicherheitsmängel auch schon behoben. Paranoia im Internet ist nicht angebracht - aber trotzdem ist Vorsicht geboten, betonen Christian Platzer und Gilbert Wondracek.

Die Forscher raten, das E-Mail-Adressbuch nicht hochzuladen und bei der Frage, welche Daten nur von Freunden gesehen werden dürfen und welche Daten öffentlich zugänglich sind, möglichst restriktiv zu sein. Vorsicht sei auch beim Taggen von Fotos geboten: Nicht jeder müsse die Urlaubsbilder von der Stranddisco zu sehen bekommen - schon gar nicht mit vollem Namen der abgebildeten Personen. Telefonnummern oder Wohnadressen hätten auf solchen Seiten grundsätzlich nichts zu suchen - solche Daten gibt man am besten nur persönlich weiter, an die Leute, die sie auch wirklich bekommen sollen, so die Forscher.