image

Gebruikers sociale netwerken eenvoudig te identificeren

donderdag 4 februari 2010, 16:40 door Redactie, 6 reacties

Beveiligingsonderzoekers hebben een techniek ontwikkeld waarmee het eenvoudig is om de identiteit van gebruikers van sociale netwerksites zoals Hyves en LinkedIn te achterhalen. De onderzoekers van het International Secure Systems Lab kijken hiervoor naar de groepen van een sociaal netwerk waar de gebruiker lid van is. Vaak blijkt dat slechts een handjevol gebruikers, en in het beste scenario één iemand, van dezelfde groepen lid is. Vervolgens maakten de onderzoekers een scenario, waarbij een kwaadaardige website de echte naam en identiteit van een bezoeker wil achterhalen.

De eerste stap van de aanval is het doorzoeken van de groepen van een sociaal netwerk om de leden van de verschillende groepen in kaart te brengen. Dit is de database waarmee een "groep vingerafdruk" per gebruiker is te maken. Bij de tweede fase steelt de website de geschiedenis van de browser om te zien of er links naar bepaalde groepen zijn. Deze vingerafdruk is vervolgens met de al bestaande database te vergelijken, en zal uiteindelijk tot het de-anonimiseren van de bezoeker leiden. Zelfs als unieke identificatie niet mogelijk is, kan de aanval nog steeds de mogelijke groep van kandidaten waar het slachtoffer toe behoort verkleinen.

Gevolgen
Als proof-of-concept voerden de onderzoekers de aanval op sociale netwerksite XING uit, maar alle webapplicaties waarbij gebruikers een unieke link hebben zijn kwetsbaar. In totaal werden de zevenduizend publieke groepen van XING doorzocht en zo'n 1,8 miljoen leden gevonden die van tenminste één groep lid waren. Al deze gebruikers lopen risico dat hun identiteit is te achterhalen. Voor gebruikers van XING hebben de onderzoekers een website online gezet, die de identiteit van de bezoeker de-anonimiseert.

In de komende weken hopen de onderzoekers hun werk af te ronden, maar een voorlopig rapport is al online verschenen. Volgens de onderzoekers heeft hun aanval vele gevolgen. "De aanval vereist weinig moeite en heeft de potentie om miljoenen geregistreerde gebruikers van sociale netwerksites te raken."

Reacties (6)
04-02-2010, 16:46 door Anoniem
Maar het is toch juist de bedoeling van sociale netwerken dat je identiteit openbaar is? Anders heb je er weinig aan.
04-02-2010, 17:19 door Anoniem
Als je met naam en toenaam op LinkedIn staat, wat is er dan zo spannend aan het achterhalen van identiteit? Die staat toch op dat scherm? WTF?

Dingen die je niet aan internet vertrouwt komen er ook niet op. Dus als je fake usernames hebt, zullen die je "identiteit" bepalen, maar daarmee is het nog niet 100% te linken met een echt persoon...

Ik vind dit een beetje twijfelachtig bericht, waarin word beschreven dat je "identiteit" (lees username) wordt bepaald a.d.h. van de groepen waar je lid van bent. Ja DUH!
04-02-2010, 17:46 door spatieman
snel Obama, daar kan je al beginnen met aftappen..
05-02-2010, 00:41 door TheM
Sodeju, het duurde even. Heb het artikel een paar keer moeten lezen, en vervolgens de source links dus ook.

Het gaat er dus niet zozeer om dat iemand z'n naam oid op een hyves, linkedin, of whatever heeft staan. Het gaat erom dat een willekeurige andere site, waarop je surft, die informatie zou kunnen achterhalen.

Als ik het goed begrijp is de proof of concept heel simpel vertaald in dit voorbeeld:
Stel dat www.security.nl wat meer exotische bezoekersstatieken wil hebben.

Dan gaan ze eerst informatie vergaren (maw de ledenlijst) van een aantal hyves. Bijvoorbeeld hyves die te maken hebben met computers en beveiliging. En misschien nog een paar extra groepen voor extra nauwkeurigheid bv die van radiostations of van de grote steden.

Vervolgens gebruiken ze wat javascriptcode om van een onwetende (nog) onbekende surfer zijn geschiedenis op te halen. Vervolgens worden de bezochte sites vergeleken met de links voor de groepen.
Nu krijgen ze te zien dat onbekende surfer waarschijnlijk lid is van de volgende groepen:
- Tweakers.net
- Radio3fm
- Ubuntu
- Utrecht

Vervolgens gaan ze die 2 gegevens combineren. En komen in het ergste geval terug uit op 1 persoon. Dan is het dus niet meer een onbekende surfer, maar bijvoorbeeld Pietje Puk uit Utrecht een 23 jarige man met maar 50 vrienden.

Maarja vraag mij niet wat Security.nl met die info zou willen. Ik kan overigens wel begrijpen dat het vanuit marketingsoogpunt wel leuke informatie kan zijn. De vraag is of het accuraat genoeg is om een goed beeld te krijgen. En of het snel genoeg is om bv banners of andere content erop aan te passen.
05-02-2010, 12:13 door Anoniem
Tsja, sociale netwerksites...
Ik heb echt nooit begrepen waarom mensen hun hele hebben en houwen aan prutsclubs als Facebook, Hyves, etc. toevertrouwen.
Maar ja, ik ben dan ook een ouwe lul natuurlijk. :-7
05-02-2010, 19:01 door Anoniem
Ik begrijp nu ook wat ze bedoelen. Note to self: volgende keer iets meer moeite doen. ;-) Op zich wel slim gedaan die methode om te achterhalen op welke sites iemand is geweest.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.