Sicherheitsleck: Websites können Surfer via History Stealing identifizieren

Big DataData & StoragePolitikRechtSicherheitSicherheitsmanagement

Forscher haben einen Weg gefunden, Website-Besucher anhand der Surf-Spuren auf ihrem Rechner namentlich zu identifizieren. Online-Betrüger könnten das ausnutzen, um ihre Opfer persönlich anzusprechen und dadurch ihren Angeboten einen Anschein von Seriosität zu verleihen.

Basis des Angriffs auf die Privatsphäre der Internet-Nutzer ist eine alt bekannte Schwachstelle – das so genannte History Stealing. Denn der Browser speichert Surf-Spuren, auf die auch Websites zugreifen können, etwa um besuchte Links in einer anderen Farbe darzustellen. Forscher des International Secure Systems Labs (IsecLab) ermitteln anhand dieser Daten die Zugehörigkeit des Surfers zu Gruppen in Social Networks. Daraus ergibt sich den Forschern zufolge ein einzigartiges Profil, das nur zu einem einzigen Nutzer passt – eine Art digitaler Fingerabdruck. Den Namen des Nutzers braucht man dann nur noch bei einem der Netzwerke nachschlagen.

Ihren Angriff haben die Forscher jetzt in einem PDF vorgestellt. Er sei relativ plump, erklärten sie gegenüber Spiegel Online, aus forschungsethischen Gründen, ein richtiger Angreifer könnte möglicherweise mehr Daten auslesen und unauffälliger vorgehen. Zumal sich mithilfe des Namens schnell weitere Dinge im Web herausfinden lassen, etwa Adresse, Arbeitgeber oder Infos zu Freunden und Bekannten. Mit all dem, können Online-Betrüger ihre Opfer dann persönlich ansprechen und ihren Mails oder gefälschten Websites einen Anstrich von Echtheit verleihen, indem sie die Identität eines real existierenden Freundes oder Bank-Beraters nutzen.

Einzige Voraussetzung für das Ausspähen der Benutzerdaten ist, dass der Benutzer in Social Networks aktiv ist – je mehr Gruppen, desto besser, wie Thorsten Holz vom IsecLab Spiegel Online sagte. »Diese neue Angriffsmethode ist so simpel, dass auch technisch nicht sehr versierte Hacker sie umsetzen können«, so Holz weiter. (Daniel Dubsky)