Anonym surfen? Nicht für Nutzer von Social Networks wie XING, Facebook und Co.

Ich habe ein Profil bei XING. Und ich bin dort Mitglied in diversen Gruppen. Mir war nicht bewusst, dass ich so ganz einfach beim Besuch einer beliebigen Webseite ent-anonymisiert werden kann... Doch der Reihe nach: Es gibt eine Sicherheitslücke in Browsern, die es einem Angreifer leicht macht, die Chronik der besuchten Webseiten auszulesen. Das haben sich auch schon Seiten wie didyouwatchporn.com zu Nutzen gemacht - hier wird beispielsweise nachgeprüft, ob Links zu anzüglichen Seiten vom Browser als bereits besucht dargestellt werden. Sie kennen das: nicht besuchte Links erscheinen blau, bereits besuchte dagegen lila. Wird dann ein lila Link entdeckt, ist klar: Der Nutzer des Browsers hat schon mal... Forscher des International Secure Systems Lab (isecLAB) sind einen Schritt weiter gegangen. Sie versuchen, den Namen des Besuchers einer Webseite zu erraten. Bei mir jedenfalls hat es geklappt, davon konnte ich mich auf der Experimente-Seite des isecLABs überzeugen. Was steht dahinter? Nutzer von sozialen Netzwerken wie XING, Facebook oder sonstigen können Gruppen beitreten, die ihren Interessen entsprechen. Vergleicht man jetzt die Gruppenzugehörigkeit verschiedener Nutzer miteinander, ergibt sich, dass es kaum zwei Nutzer gibt, die exakt dieselben Gruppen abonniert haben - die Gruppenzugehörigkeit in ihrer Gesamtheit ist also eine Art Fingerabdruck. Besucht man die Gruppen mit dem Browser, wird diese Information in der Chronik des Browsers gespeichert. Eine entsprechend präparierte Webseite kann diese Chronik auslesen und mit einer Datenbank vergleichen, in der die Gruppenzugehörigkeit beispielsweise aller XING-Nutzer gespeichert sind. Et voilà - mit dieser Methode kann man zumindest raten, wie der Nutzer heißt. Und wenn man das wiederum weiß, kennt man auch das Profil des XING-Nutzers, den jetzigen und die bisherigen Arbeitgeber, die Freunde, weitere Internetprofile und und und. Wie man das nutzen kann? Gezielter Spam kommt mir in den Sinn: Ich kenne die Freunde des Nutzers und kann mich als einer dieser Freunde ausgeben. Ich weiß, welche Webseite er angesteuert hat und kann darauf Bezug nehmen - im Anhang übersende ich dann einen hübschen als Bild oder pdf-Datei getarnten Trojaner. Dass der Adressat diesen Anhang öffnent wird, ist schon wesentlich wahrscheinlicher als bei anonymem Spam - schließlich kam er über einen bekannten Absender und nahm Bezug auf gemeinsame Interessen etc. Oder ich fertige eine Zusammenstellung de…