Student sammelt 15 Millionen Googlemail-Adressen
Etwa 35 Millionen Google-Profile konnte ein Holländischer Student innerhalb eines Monats abgrasen. Gebremst wurde er dabei von Google nicht.
- Ronald Eikenberg
(Bild: heise Security)
Ein Student der Universität Amsterdam will innerhalb eines Monats etwa 15 Millionen Googlemail-Adressen aus Google-Benutzerprofilen gesammelt haben, wie er in seinem Blog berichtet. Dazu wertete Matthijs Koot knapp 35 Millionen Profil-Links aus der Google Sitemap aus, die frei auf dem Server des Suchmaschinenriesen abrufbar sind.
Für die 35 Millionen Anfragen nutzte Koot nach eigenen Angaben stets die gleiche IP – dennoch soll Google nichts unternommen haben, um den Massendownload zu stoppen. Gegenüber dem britischen IT-Nachrichtendienst The Register äußerte ein Google-Sprecher, dass die Sitemap keine Informationen zugänglich macht, die nicht ohnehin bereits öffentlich zugänglich sind.
Die Sitemap enthält URLs zu über 7100 Textdateien à 5000 Profil-Links. Sitemaps sollen den Betreibern anderer Webdienste bei der Erfassung der Seitenstruktur helfen – in diesem Fall bei der Indexierung der Google-Profile. Koot konnte in vielen Fällen neben dem Google-Benutzernamen (aus dem man die Googlemail-Adresse ableiten kann) und Realnamen auch Informationen über Ausbildung, Werdegang, Arbeitgeber, Wohnort sowie Links zu den Twitter- und LinkedIn-Accounts sowie persönlichen Picasa-Fotoalben der Profilinhaber einsammeln. Diese Daten könnten Spammer etwa für personalisierte Werbung missbrauchen.
(Bild: heise Security)
Stichprobenartige Tests von heise Security haben ergeben, dass sich zudem häufig Fotos der Nutzer auf den frei zugänglichen Seiten befinden. Ob man bereits ein Profil bei Google angelegt hat, kann man in den Kontoeinstellungen kontrollieren. Dort kann man anhand der Option "Andere können mein Profil mithilfe von Suchmaschinen finden" auch festlegen, ob Google die URL des Profils in seinen Sitemaps Preis geben soll.
Im Sommer vergangenen Jahres hat ein Hacker bei Facebook auf ähnliche Weise über 170 Millionen frei zugängliche Datensätze zusammengetragen und über BitTorrent zum Download angeboten. Bei SchülerVZ griff ein Jugendlicher im Herbst 2009 mit Hilfe eines Crawlers über eine Million Profile ab, was die Frage aufgeworfen hat, ob und in wie weit das Sammeln von öffentlich zugänglichen Profilinformationen strafbar ist. Im SchülerVZ-Fall wurde der Tatverdächtige unter dem Verdacht auf Ausspähen von Datenbeständen festgenommen. Zu einem Prozess kam es jedoch nicht, da sich der Verdächtige in seiner Zelle das Leben genommen hat. (rei)
