Daten ohne Adresse und Telefonnummer sind Datenjägern meist wenig hilfreich. Sie können jedoch andere gestohlene Daten ergänzen. Wenn ein Unternehmen Daten aus dem Kundenbestand „verliert“, ergänzen öffentlich einsehbare Daten aus sozialen Netzwerken den „verlorenen“ Bestand und machen ihn „wertvoller“.
Mehrere gestohlene Daten zu einer Person lassen sich wie ein Puzzle zusammensetzen. Wer in seinem sozialen Netzwerk bekannt macht, auf Partnersuche zu sein, wird möglicherweise gezielt mit Anrufen und SMS von meist unseriösen Partnervermittlungsagenturen beworben. Wer in einer Börsenspielgruppe Mitglied ist, muss mit Telefonspam zu „todsicheren“ Geldanlagetipps rechnen.
Bei Xing sind eine ganze Reihe von Daten öffentlich einsehbar. Dazu gehören Postleitzahl und Ort der Geschäftsadresse, die bei vielen Selbstständigen und Freiberuflern mit der Privatadresse identisch ist, siehe Bild 6 und Bild 7. Die meisten öffentlichen Xing-Profile liefern einen lückenlosen beruflichen Lebenslauf. Verliert ein Unternehmen Daten von derzeitigen oder ehemaligen Mitarbeitern, so lassen sich diese Daten leicht mit gestohlenen Xing-Daten kombinieren.
Bei Xing kommt hinzu, dass viele Profile ganz ohne Anmeldung sichtbar sind, siehe Bild 8. Es fehlt lediglich der Name des derzeitigen Arbeitgebers. Darüber hinaus bekommt ein anonymer Benutzer vier zufällige Kontakte angezeigt. Diese Information kann ein Webspider nutzen. Ein erneuter Aufruf derselben Seite bringt vier weitere zufällige Kontakte.
Da Datenjäger sich innerhalb weniger Minuten unter falschem Namen ein Account bei Xing besorgen können, stellt die anonyme Abfrage kein weiteres Sicherheitsrisiko da. Hier geht es eher darum, ob man bei Suchmaschinen gefunden werden soll oder nicht.
Um den massenhaften Datenklau via Webspider einzugrenzen, hat die VZ-Gruppe inzwischen reagiert. Wer innerhalb kurzer Zeit viele Profile abruft, wird zur Eingabe eines Captcha aufgefordert, siehe Bild 9. Darüber hinaus wurde das Captcha-System ausgetauscht. Das alte System konnte mit einem Programm namens svz_captcha_solver mit einer Erfolgsquote von 70 bis 80 Prozent ausgetrickst werden.
Eine Lücke, die Profilfotos und Fotoalben betrifft, soll nach Angaben von StudiVZ in den nächsten Tagen geschlossen werden. Wenn ein Nutzer Fotos austauscht oder löscht, bleiben sie nach wie vor abrufbar, sofern man die exakte URL kennt. Entfernt man beispielsweise ein Fotoalbum einer ausgelassenen Party, bevor man eine Bewerbung startet, kann ein potenzieller Arbeitgeber die Fotos weiterhin ansehen, siehe Bild 10 und Bild 11.
Vorstellung Im Jahr 2016 hat Marcus Krämer die Firma HostPress gegründet, da es zu diesem…
Die neue V-NAND-Generation bietet die derzeit höchste verfügbare Bit-Dichte. Samsung steigert auch die Geschwindigkeit und…
Die Sicherheitsfunktion taucht in einer Beta eines kommenden Android-Updates auf. Die Quarantäne beendet unter anderem…
Die OutSystems Developer School hilft Entwicklern, in 2 Wochen komplexe reaktive Anwendungen mit der Low-Code-Plattform…
Das Jahr 2024 beginnt laut Cloudflare mit einem Paukenschlag. Die automatischen Systeme des Unternehmens wehren…
Laut Kaspersky nehmen Infostealer gerade auch Spieleplattformen ins Visier. Neue Studie untersucht Angriffe zwischen 2021…