Krypto e.V.

Die Social-Networking-Plattform Facebook hat mit “Top Friends” eine beliebte Anwendung eines Drittanbieters gesperrt. Der Grund dafür ist, dass mithilfe von Top Friends als private eingestufte Daten aus den Profilen anderer Nutzern der Anwendung ausspioniert werden konnten, berichtet das Branchenportal Cnet. Das Datenleck habe auch Informationen über Jonathan Heiliger, Facebooks Vice President of Technical Operations und andere bedeutende Persönlichkeiten zugänglich gemacht. Das Problem sei gewesen, dass Top Friends die von den Nutzern gemachten Angaben zur Vertraulichkeit von Daten nicht korrekt berücksichtigt habe. Allgemein könnten Facebook-Anwendungen die Gefahr eines Datendiebstahls bergen, so der Entdecker der Top-Friends-Lücke.

“Wir erwarten, dass Applikationen von Drittanbietern den von den Usern augestellten Regeln folgen “, zitiert das Branchenportal Ben Ling, Facebook Director of Platform Product Management. Im Falle von Top Friends sei mit den Nutzereinstellungen nicht in Einklang mit den Datenschutz-orientierten Nutzungsbedingungen von Facebook umgegangen worden. Dadurch konnten vermeintlich vor unbefugtem Zugriff geschützte Angaben beispielsweise zu Geburtsdaten, Geschlecht und Beziehungsstatus gestohlen werden. So sollen Daten von Facebook-Excecutives ebenso abrufbar gewesen sein wie das Profil des republikanischen Gouverneurs von Louisiana, Bobby Jindal, der als möglicher Vize-Kandidat in John McCains Rennen um die US-Präsidentschaft gilt.

Die Sicherheitslücke in der Top-Friends-Anwendung des Anbieters Slide wurde laut Cnet vom kanadischen Computertechniker Byron Ng entdeckt, der Anfang des Monats auch eine Lücke in einem Yahoo-Widget für MySpace entdeckt hatte. Ng zufolge stimme jeder Facebook-Nutzer, der seinem Profil Anwendungen hinzufügt, der Weitergabe von Daten an den Entwickler zu. Sich bei Facebook als solcher zu registrieren, sei einfach. “Es ist zwar gegen Facebooks Nutzungsbestimmungen, dass eine Anwendung persönliche Daten speichert. Aber Facebook kann die Einhaltung dieser Bestimmung nicht überprüfen, da Facebook-Applications auf privaten Servern von Drittanbietern laufen”, wird Ng zitiert – eine Warnung vor der Gefahr eines absichtlichen Datendiebstahls durch dafür entwickelte Anwendungen.

Britische Internetserviceprovider wollen in Zukunft gemeinsam mit der Musikindustrie gegen illegales Filesharing vorgehen. Sechs der größten Anbieter des Landes haben sich mit dem britischen Phonoverband BPI und der Regierung darauf geeinigt, den Kampf gegen die Musikpiraterie in Zukunft aktiv zu unterstützen. Im Zuge der Kooperation sollen auch Warnbriefe an vermeintliche illegale Filesharer ausgeschickt werden. Der britische Provider Virgin hatte dem bereits vorgegriffen und diese Aktion in Zusammenarbeit mit der Musikindustrie in den vergangenen Wochen in die Tat umgesetzt.

Seitens der Musikindustrie steht zudem seit Wochen die Forderung im Raum, Nutzern, die jegliche Warnungen ignorieren, letztlich den Zugang zum Netz zu sperren. Diesem Wunsch wollen die Webfirmen bislang allerdings nicht nachkommen. Die Vereinbarung sieht vor, dass die Internetfirmen zur “signifikanten Reduktion” von illegalem Filesharing beitragen. Außerdem sind sie dazu aufgefordert, an eigenen legalen Downloadservices zu arbeiten, wie BBC Online berichtet. Ausgearbeitet wurde der Plan vom britischen Department for Business, Enterprise & Regulatory Reform (BERR) . Die Provider haben zugesichert, ihre Kunden ausdrücklich davon in Kenntnis zu setzen, dass der Tausch von urheberrechtlich geschützter Musik illegal ist.

Das Bündnis zwischen BPI und Providern dürfte bei der EU guten Anklang finden. Denn auch von den Ministern für Kultur und Medien der 27 EU-Mitgliedsstaaten wird gefordert, dass Internetprovider in punkto Urheberrechtsverletzungen stärker in die Pflicht genommen werden sollen. Anders als in Großbritannien wehren sich die Provider in den meisten anderen Ländern allerdings gegen diese Vorschläge. Während sich auch die deutsche Musikindustrie für eine solche Lösung stark macht, zeigt sich die Internetwirtschaft wenig begeistert. Damit würden die Internetunternehmen zu “Hilfssherrifs” gemacht, kritisiert Oliver Süme vom eco Verband der deutschen Internetwirtschaft. Und auch Kurt Einzinger, Präsident des europäischen Verbandes der Internet Service Provider EuroISPA, stellt sich dagegen. “Internetprovider sind für die Inhalte von Drittanbietern nicht selbst verantwortlich”, so Einzinger.

Welche sechs britischen Internetanbieter sich nun konkret zu einer Zusammenarbeit mit der Musikindustrie entschlossen haben, soll in Kürze öffentlich bekannt gegeben werden. Gleichzeitig hegt die Regierung in Großbritannien offenbar auch Pläne, die Kooperation zwischen Providern und Musikindustrie gesetzlich festzuschreiben, um stärker gegen Online-Piraterie vorzugehen. Einstweilen setze man allerdings auf freiwillige Maßnahmen, so der Kulturminister Andy Burnham

Über drei Viertel aller Bank-Webseiten haben Designfehler, die von Cyberkriminellen zum Schaden der Bankkunden ausgenutzt werden können. Zu diesem Ergebnis ist eine Studie von Wissenschaftlern der University of Michigan (UMich) gekommen, für die Webseiten von 214 US-Finanzinstituten untersucht wurden. Verbreitete Probleme sind die Integration gesicherter Log-in-Boxen auf unverschlüsselten Seiten und Kontakt- oder Sicherheitsinformationen auf nicht gesicherten Seiten. Obwohl die Studie nur US-Institute umfasst, sollten auch europäische Nutzer auf der Hut sein. “Bei einer schnellen Stichprobe habe ich die selben Designfehler auch bei deutschen und britischen Banken geortet”, betont Atul Prakash, Professor am Institut für Elektrotechnik und Computerwissenschaften der UMich und Leiter des Studien-Teams.

“Bei den Fehlern, die wir betrachten, handelt es sich eben nicht um Schwachstellen in Browsern oder Betriebssystemen, die mit einem Patch behoben werden können”, betont Prakash. “Zu unserer Überraschung waren vielmehr Designfehler im Webauftritt, welche die Sicherheit gefährden können, weit verbreitet”, meint Prakash. Derartige Fehler in Webseiten würden auch sicherheitsbewussten Nutzern Probleme bei der Einschätzung der Sicherheitssituation bereiten. Zwar seien die Daten für die Studie 2006 gesammelt worden und einige Institute hätten inzwischen Fortschritte gemacht, doch gäbe es noch viel Spielraum für Verbesserungen.

Das häufigste Problem, das der Studie zufolge bei 55 Prozent der US-Banken auftritt, ist das Platzieren von Kontakt- oder Sicherheitsinformationen auf nicht gesicherten Webseiten. “Ein Hacker könnte User relativ leicht zu einer gefälschten Webseite umleiten”, meint Prakash. Diese könnte Nutzer dann mit gefälschten Informationen zur Herausgabe von wichtigen Daten verleiten. Entsprechende Seiten mit SSL zu verschlüsseln, würde Abhilfe schaffen. Fast die Hälfte der Institute hatte gesicherte Log-in-Boxen in nicht gesicherte Webseiten integriert. Das Problem dabei ist, dass für Nutzer nicht wirklich erkennbar ist, ob die Box das sichere Original oder eine Fälschung ist. Gerade bei drahtloser Übertragung bestünde das Risiko, dass Angreifer eine falsche Box einschleusen und somit an die Log-in-Daten eines Nutzers kommen könnten. Auch hier sei als erste Lösung ein Absichern der kompletten Seite per SSL wünschenswert, so die Forscher. “Dieses Problem habe ich auch bei der ersten britischen Bank gesehen, die ich überprüft habe”, warnt Parkash auf Nachfrage. Bei einer großen deutschen Bank wiederum ist er auf eine unsichere Kontaktseite gestoßen.

Ein weiteres Sicherheitsrisiko, das 30 Prozent der untersuchten Webseiten betraf, ist die automatische Umleitung auf Seiten außerhalb der Domain einer Bank. Das mache es schwer für Nutzer zu bewerten, ob der neuen Seite wirklich zu vertrauen ist. Eine Vorwarnung sei daher unverzichtbar. Bei 28 Prozent der Bank-Seiten gab es Probleme mit der Sicherheit von User-IDs oder Passwörtern. Das umfasst leicht zu eruierende Sozialversicherungsnummern oder E-Mail-Adressen als ID ebenso wie unzureichende Informationen zu sicheren Passwörtern und das Zulassen schwacher Passwörter.

Privatdetektive müssen heutzutage oft nicht einmal mehr ihren Schreibtisch verlassen, um den Aufenthaltsort einer Person herauszufinden. Web-2.0-Anwendungen wie Myspace, Twitter oder Flickr sind bei Nachforschungen außerordentlich hilfreich. Wie viele Spuren man im Internet hinterlässt, ist vielen jedoch nicht klar. Besonders provokant formuliert es der Direktor der Detektivagentur Pallorium, Steven Rambam: “Die Privatsphäre ist tot”, sagte er bei der diesjährigen H.O.P.E. (Hackers on Planet Earth) Konferenz. Nicht nur Social Networks, sondern auch Mobiltelefone und Kundendatenbanken sind wertvolle Informationsquellen für Detektive, berichtet CNET News.

Anstatt der Polizei 500 US-Dollar für ein Führerscheinfoto der gesuchten Person zu bezahlen, sucht Rambam nun in MySpace und anderen Social Networks nach Spuren. Alter, Wohnort, Beziehungsstatus und Freundeskreis sind Detektiven nach nur wenigen Klicks bekannt. Auch Job-Portale beinhalten wichtige persönliche Informationen, da dort oft der Lebenslauf veröffentlicht wird. Über den derzeitigen Aufenthaltsort und die momentane Aktivität kann Twitter Auskunft geben. Eine wichtige Informationsquelle sind auch Marketing-Datenbanken, in denen Kaufgewohnheiten, Produktregistrierungen, Transaktionen oder andere Aktivitäten gespeichert werden.

“Alles, was man ins Internet stellt, wird genommen, eingeordnet, katalogisiert und ist außerhalb deiner Kontrolle, noch bevor du es merkst”, meint Rambam. “Daten bleiben nicht an einem Platz. Sie wandern an hunderte verschiedene Orte.” Marketing-Datenbanken werden beispielsweise häufig an Dritte weiterverkauft. Die größte Kundendatenbank der USA hat laut Rambam der Pizza-Lieferservice “Domino’s”. Diese Datenbank wird unter anderem von der New Yorker Polizei sowie vom United States Marshals Service des Justizministeriums genutzt. Auch Geldeintreiber nutzen die Datenbank des Pizzaservice, um Personen zu lokalisieren.