Demo zeigt die versteckten Microsoft-ID-Nummern

Richard M. Smith, der vor wenigen Tagen den Datenschutz-Skandal um die versteckten ID-Nummer von Microsoft-Kunden auslöste, hat jetzt eine Webseite zur Demonstration eingerichtet. Windows-98-Anwender, die mit dem Internet Explorer die Webseite besuchen, bekommen dort angezeigt, unter welchen Nummern sie bei Microsoft registriert worden sind und im Internet identifiziert werden können.

Die Demonstration funktioniert nur, wenn ActiveX und JavaScript nicht abgeschaltet sind (Standardeinstellung). Mit einem Netscape-Browser läuft sie nicht, da dieser keine ActiveX-Controls ausführt. Falls keine Online-Registrierung für Windows 98 stattgefunden hat, wird nur die weltweit eindeutige Nummer für das System (HWID) gezeigt, andernfalls auch die personenbezogene MSID. Falls eine Netzwerkkarte installiert ist, enthält die HWID deren MAC-Adresse in den unteren sechs Stellen. Dies läßt sich mit Winipcfg verifizieren.

Microsofts angebliche Panne, die laut Auskunft aus Redmond durch Software-Updates und Patches behoben werden soll, gefährdet die Privatsphäre der Surfer wesentlich mehr als die stark umstrittene Seriennummer von Intels Pentium III. Im Gegensatz zu dieser sind die Microsoft-IDs offenbar zusammen mit den Personendaten, die bei der Online-Registrierung von Windows 98 angegeben werden müssen, in einer Datenbank erfaßt. Und während Intels ID-Nummer immerhin, wenn auch nicht 100prozentig sicher, deaktiviert werden kann, lassen sich die Microsoft-IDs relativ einfach durch einen ActiveX-Aufruf auslesen. Dies beweist die Demonstration auf der Webseite. "Derselbe JavaScript-Code kann auch per EMail verschickt werden und wird automatisch ausgeführt, wenn jemand eine Nachricht unter Outlook, Outlook Express oder Eudora liest," schreibt Smith dazu in einer EMail an c't.

c't berichtet ausführlich in Ausgabe 6/99 (ab Montag am Kiosk). (cp)