Student sammelt 35 Millionen Google-Profile
Der Doktorand Matthijs Koot hat im Rahmen seiner Forschungsarbeit aufgezeigt, wie einfach es ist, den Datenpool von Google anzuzapfen und die verfügbaren Informationen systematisch auszulesen. „Ich war in der Tat überrascht, dass mit einer IP-Verbindung und einfachem Javascript-Code innerhalb eines Monats eine Datenbank ausgelesen und übertragen werden kann, die persönliche Informationen über 35 Millionen Menschen enthält“, erklärt Koot im Gespräch mit der futurezone. Google habe auch keinerlei technische Hürden eingebaut, um einen derartigen Vorgang zu verhindern oder einzubremsen, so Koot.
15 Millionen E-Mail-Adressen
In 15 Millionen Fällen konnte der niederländische Computerexperte auch den Usernamen über das Auslesen der öffentlich verfügbaren Accounts ermitteln, der bei Google de facto mit der E-Mail-Adresse gleichzusetzen ist. „Ich will kein Misstrauen erzeugen, sondern ein realistisches Bewusstsein beim Thema Privatsphäre schaffen“, meint Koot.„Denn es ist mehr als fraglich, ob den Leuten wirklich klar ist, welcher Art der Datenverarbeitung sie bei der Registrierung bei einem Online-Dienst zustimmen“, so Koot.
Das Problem betreffe nicht nur Google, sondern sämtliche Informationen, die öffentlich bzw. über derartige Sitemaps abrufbar seien. „Wir wissen einfach noch zu wenig, wie solche riesigen Datenpools von Cyberkriminellen und schwindligen Marketingfirmen potenziell missbraucht werden können. Das Versenden von Spams stellt dabei noch die kleinste Gefahr dar“, so Koot. Es sei durchaus denkbar, dass Datensätze miteinander verknüpft bzw. Profile in periodischen Abständen abgefragt würden.
Periodisches Zwischenspeichern
„Wenn derartige Datenbanken von Dritten zwischengespeichert werden, verlieren User aber die Kontrolle über die eigenen Informationen im Netz. Sie können zwar ihr eigenes Profil bearbeiten und auch Informationen löschen. Die Spuren, die sie in der Vergangenheit hinterlassen haben, bleiben damit aber ohne ihr Wissen erhalten. Für Risikomanager bei Banken und Versicherungsunternehmen etwa seien derartige Informationen sicher von großem Wert, meint Koot im futurezone-Gespräch.
Im Gegensatz zu Facebook, das im vergangenen Jahr von einem anderen findigen Experten teilweise „ausgelesen“ wurde, erlaubt Google offiziell das systematische Durchforsten der Profile, sofern diese öffentlich sind. Wer die Standard-Einstellung rückgängig machen will oder überhaupt sein mit der Gmail-Adresse verknüpftes Profil löschen möchte, kann dies nach dem Einloggen bei einem beliebigen Google-Dienst rechts oben bei den Profileinstellungen tun. In den Profil-Einstellungen kann auch – sofern verhanden – die Twitter- und Picasas-Verknüpfung gelöscht werden, bzw. verhindert werden, dass das Profil von Suchmaschinen indiziert wird.
Google: Informationen ohnehin öffentlich
Wenig überraschend teilte Google auf Anfrage der futurezone mit, dass die zum Auslesen der Informationen verwendete Sitemap es Suchmaschinen ermögliche, die öffentlichen Profile zu indizieren, damit man die Menschen auch finden könne. Die Sitemap zeige keinerlei Informationen, die nicht ohnehin bereits öffentlich seien. User könnten zudem bestimmte Funktionen und Informationsangaben in ihren Profilen auf nicht öffentlich stellen bzw. die Indizierung deaktivieren.