Daten ohne Adresse und Telefonnummer sind Datenjägern meist wenig hilfreich. Sie können jedoch andere gestohlene Daten ergänzen. Wenn ein Unternehmen Daten aus dem Kundenbestand „verliert“, ergänzen öffentlich einsehbare Daten aus sozialen Netzwerken den „verlorenen“ Bestand und machen ihn „wertvoller“.
Mehrere gestohlene Daten zu einer Person lassen sich wie ein Puzzle zusammensetzen. Wer in seinem sozialen Netzwerk bekannt macht, auf Partnersuche zu sein, wird möglicherweise gezielt mit Anrufen und SMS von meist unseriösen Partnervermittlungsagenturen beworben. Wer in einer Börsenspielgruppe Mitglied ist, muss mit Telefonspam zu „todsicheren“ Geldanlagetipps rechnen.
Bei Xing sind eine ganze Reihe von Daten öffentlich einsehbar. Dazu gehören Postleitzahl und Ort der Geschäftsadresse, die bei vielen Selbstständigen und Freiberuflern mit der Privatadresse identisch ist, siehe Bild 6 und Bild 7. Die meisten öffentlichen Xing-Profile liefern einen lückenlosen beruflichen Lebenslauf. Verliert ein Unternehmen Daten von derzeitigen oder ehemaligen Mitarbeitern, so lassen sich diese Daten leicht mit gestohlenen Xing-Daten kombinieren.
Bei Xing kommt hinzu, dass viele Profile ganz ohne Anmeldung sichtbar sind, siehe Bild 8. Es fehlt lediglich der Name des derzeitigen Arbeitgebers. Darüber hinaus bekommt ein anonymer Benutzer vier zufällige Kontakte angezeigt. Diese Information kann ein Webspider nutzen. Ein erneuter Aufruf derselben Seite bringt vier weitere zufällige Kontakte.
Da Datenjäger sich innerhalb weniger Minuten unter falschem Namen ein Account bei Xing besorgen können, stellt die anonyme Abfrage kein weiteres Sicherheitsrisiko da. Hier geht es eher darum, ob man bei Suchmaschinen gefunden werden soll oder nicht.
Um den massenhaften Datenklau via Webspider einzugrenzen, hat die VZ-Gruppe inzwischen reagiert. Wer innerhalb kurzer Zeit viele Profile abruft, wird zur Eingabe eines Captcha aufgefordert, siehe Bild 9. Darüber hinaus wurde das Captcha-System ausgetauscht. Das alte System konnte mit einem Programm namens svz_captcha_solver mit einer Erfolgsquote von 70 bis 80 Prozent ausgetrickst werden.
Eine Lücke, die Profilfotos und Fotoalben betrifft, soll nach Angaben von StudiVZ in den nächsten Tagen geschlossen werden. Wenn ein Nutzer Fotos austauscht oder löscht, bleiben sie nach wie vor abrufbar, sofern man die exakte URL kennt. Entfernt man beispielsweise ein Fotoalbum einer ausgelassenen Party, bevor man eine Bewerbung startet, kann ein potenzieller Arbeitgeber die Fotos weiterhin ansehen, siehe Bild 10 und Bild 11.
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…
Weitere 40 Prozent der Deutschen erledigen ihre Geldgeschäfte überwiegend online und gehen nur noch selten…
Zwei Schwachstellen in Chrome gehören nun der Vergangenheit an. Von ihnen geht ein hohes Risiko…
Mit der zunehmenden computerbasierten und globalen Vernetzung gewinnt die digitale Souveränität an rasanter Bedeutung. Viele…