Gebruikers sociale netwerken eenvoudig te identificeren
Beveiligingsonderzoekers hebben een techniek ontwikkeld waarmee het eenvoudig is om de identiteit van gebruikers van sociale netwerksites zoals Hyves en LinkedIn te achterhalen. De onderzoekers van het International Secure Systems Lab kijken hiervoor naar de groepen van een sociaal netwerk waar de gebruiker lid van is. Vaak blijkt dat slechts een handjevol gebruikers, en in het beste scenario één iemand, van dezelfde groepen lid is. Vervolgens maakten de onderzoekers een scenario, waarbij een kwaadaardige website de echte naam en identiteit van een bezoeker wil achterhalen.
De eerste stap van de aanval is het doorzoeken van de groepen van een sociaal netwerk om de leden van de verschillende groepen in kaart te brengen. Dit is de database waarmee een "groep vingerafdruk" per gebruiker is te maken. Bij de tweede fase steelt de website de geschiedenis van de browser om te zien of er links naar bepaalde groepen zijn. Deze vingerafdruk is vervolgens met de al bestaande database te vergelijken, en zal uiteindelijk tot het de-anonimiseren van de bezoeker leiden. Zelfs als unieke identificatie niet mogelijk is, kan de aanval nog steeds de mogelijke groep van kandidaten waar het slachtoffer toe behoort verkleinen.
Gevolgen
Als proof-of-concept voerden de onderzoekers de aanval op sociale netwerksite XING uit, maar alle webapplicaties waarbij gebruikers een unieke link hebben zijn kwetsbaar. In totaal werden de zevenduizend publieke groepen van XING doorzocht en zo'n 1,8 miljoen leden gevonden die van tenminste één groep lid waren. Al deze gebruikers lopen risico dat hun identiteit is te achterhalen. Voor gebruikers van XING hebben de onderzoekers een website online gezet, die de identiteit van de bezoeker de-anonimiseert.
In de komende weken hopen de onderzoekers hun werk af te ronden, maar een voorlopig rapport is al online verschenen. Volgens de onderzoekers heeft hun aanval vele gevolgen. "De aanval vereist weinig moeite en heeft de potentie om miljoenen geregistreerde gebruikers van sociale netwerksites te raken."
Dingen die je niet aan internet vertrouwt komen er ook niet op. Dus als je fake usernames hebt, zullen die je "identiteit" bepalen, maar daarmee is het nog niet 100% te linken met een echt persoon...
Ik vind dit een beetje twijfelachtig bericht, waarin word beschreven dat je "identiteit" (lees username) wordt bepaald a.d.h. van de groepen waar je lid van bent. Ja DUH!
Het gaat er dus niet zozeer om dat iemand z'n naam oid op een hyves, linkedin, of whatever heeft staan. Het gaat erom dat een willekeurige andere site, waarop je surft, die informatie zou kunnen achterhalen.
Als ik het goed begrijp is de proof of concept heel simpel vertaald in dit voorbeeld:
Stel dat www.security.nl wat meer exotische bezoekersstatieken wil hebben.
Dan gaan ze eerst informatie vergaren (maw de ledenlijst) van een aantal hyves. Bijvoorbeeld hyves die te maken hebben met computers en beveiliging. En misschien nog een paar extra groepen voor extra nauwkeurigheid bv die van radiostations of van de grote steden.
Vervolgens gebruiken ze wat javascriptcode om van een onwetende (nog) onbekende surfer zijn geschiedenis op te halen. Vervolgens worden de bezochte sites vergeleken met de links voor de groepen.
Nu krijgen ze te zien dat onbekende surfer waarschijnlijk lid is van de volgende groepen:
- Tweakers.net
- Radio3fm
- Ubuntu
- Utrecht
Vervolgens gaan ze die 2 gegevens combineren. En komen in het ergste geval terug uit op 1 persoon. Dan is het dus niet meer een onbekende surfer, maar bijvoorbeeld Pietje Puk uit Utrecht een 23 jarige man met maar 50 vrienden.
Maarja vraag mij niet wat Security.nl met die info zou willen. Ik kan overigens wel begrijpen dat het vanuit marketingsoogpunt wel leuke informatie kan zijn. De vraag is of het accuraat genoeg is om een goed beeld te krijgen. En of het snel genoeg is om bv banners of andere content erop aan te passen.
Ik heb echt nooit begrepen waarom mensen hun hele hebben en houwen aan prutsclubs als Facebook, Hyves, etc. toevertrouwen.
Maar ja, ik ben dan ook een ouwe lul natuurlijk. :-7
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
