Menü
Security

Student sammelt 15 Millionen Googlemail-Adressen

vorlesen Drucken Kommentare lesen 158 Beiträge

Identitäten im 5000er-Pack: Die über 7100 Linklisten à 5000 Links zu Google-Profilen sind ein gefundenes Fressen für Spam-Versender.

(Bild: heise Security)

Ein Student der Universität Amsterdam will innerhalb eines Monats etwa 15 Millionen Googlemail-Adressen aus Google-Benutzerprofilen gesammelt haben, wie er in seinem Blog berichtet. Dazu wertete Matthijs Koot knapp 35 Millionen Profil-Links aus der Google Sitemap aus, die frei auf dem Server des Suchmaschinenriesen abrufbar sind.

Für die 35 Millionen Anfragen nutzte Koot nach eigenen Angaben stets die gleiche IP – dennoch soll Google nichts unternommen haben, um den Massendownload zu stoppen. Gegenüber dem britischen IT-Nachrichtendienst The Register äußerte ein Google-Sprecher, dass die Sitemap keine Informationen zugänglich macht, die nicht ohnehin bereits öffentlich zugänglich sind.

Die Sitemap enthält URLs zu über 7100 Textdateien à 5000 Profil-Links. Sitemaps sollen den Betreibern anderer Webdienste bei der Erfassung der Seitenstruktur helfen – in diesem Fall bei der Indexierung der Google-Profile. Koot konnte in vielen Fällen neben dem Google-Benutzernamen (aus dem man die Googlemail-Adresse ableiten kann) und Realnamen auch Informationen über Ausbildung, Werdegang, Arbeitgeber, Wohnort sowie Links zu den Twitter- und LinkedIn-Accounts sowie persönlichen Picasa-Fotoalben der Profilinhaber einsammeln. Diese Daten könnten Spammer etwa für personalisierte Werbung missbrauchen.

Wer kein Google-Profil hat, muss sich vor Datensammeln auch keine Sorgen machen.

(Bild: heise Security)

Stichprobenartige Tests von heise Security haben ergeben, dass sich zudem häufig Fotos der Nutzer auf den frei zugänglichen Seiten befinden. Ob man bereits ein Profil bei Google angelegt hat, kann man in den Kontoeinstellungen kontrollieren. Dort kann man anhand der Option "Andere können mein Profil mithilfe von Suchmaschinen finden" auch festlegen, ob Google die URL des Profils in seinen Sitemaps Preis geben soll.

Im Sommer vergangenen Jahres hat ein Hacker bei Facebook auf ähnliche Weise über 170 Millionen frei zugängliche Datensätze zusammengetragen und über BitTorrent zum Download angeboten. Bei SchülerVZ griff ein Jugendlicher im Herbst 2009 mit Hilfe eines Crawlers über eine Million Profile ab, was die Frage aufgeworfen hat, ob und in wie weit das Sammeln von öffentlich zugänglichen Profilinformationen strafbar ist. Im SchülerVZ-Fall wurde der Tatverdächtige unter dem Verdacht auf Ausspähen von Datenbeständen festgenommen. Zu einem Prozess kam es jedoch nicht, da sich der Verdächtige in seiner Zelle das Leben genommen hat. (rei)