Gebruikers sociale netwerken eenvoudig te identificeren
Beveiligingsonderzoekers hebben een techniek ontwikkeld waarmee het eenvoudig is om de identiteit van gebruikers van sociale netwerksites zoals Hyves en LinkedIn te achterhalen. De onderzoekers van het International Secure Systems Lab kijken hiervoor naar de groepen van een sociaal netwerk waar de gebruiker lid van is. Vaak blijkt dat slechts een handjevol gebruikers, en in het beste scenario één iemand, van dezelfde groepen lid is. Vervolgens maakten de onderzoekers een scenario, waarbij een kwaadaardige website de echte naam en identiteit van een bezoeker wil achterhalen.
De eerste stap van de aanval is het doorzoeken van de groepen van een sociaal netwerk om de leden van de verschillende groepen in kaart te brengen. Dit is de database waarmee een "groep vingerafdruk" per gebruiker is te maken. Bij de tweede fase steelt de website de geschiedenis van de browser om te zien of er links naar bepaalde groepen zijn. Deze vingerafdruk is vervolgens met de al bestaande database te vergelijken, en zal uiteindelijk tot het de-anonimiseren van de bezoeker leiden. Zelfs als unieke identificatie niet mogelijk is, kan de aanval nog steeds de mogelijke groep van kandidaten waar het slachtoffer toe behoort verkleinen.
Gevolgen
Als proof-of-concept voerden de onderzoekers de aanval op sociale netwerksite XING uit, maar alle webapplicaties waarbij gebruikers een unieke link hebben zijn kwetsbaar. In totaal werden de zevenduizend publieke groepen van XING doorzocht en zo'n 1,8 miljoen leden gevonden die van tenminste één groep lid waren. Al deze gebruikers lopen risico dat hun identiteit is te achterhalen. Voor gebruikers van XING hebben de onderzoekers een website online gezet, die de identiteit van de bezoeker de-anonimiseert.
In de komende weken hopen de onderzoekers hun werk af te ronden, maar een voorlopig rapport is al online verschenen. Volgens de onderzoekers heeft hun aanval vele gevolgen. "De aanval vereist weinig moeite en heeft de potentie om miljoenen geregistreerde gebruikers van sociale netwerksites te raken."
Dingen die je niet aan internet vertrouwt komen er ook niet op. Dus als je fake usernames hebt, zullen die je "identiteit" bepalen, maar daarmee is het nog niet 100% te linken met een echt persoon...
Ik vind dit een beetje twijfelachtig bericht, waarin word beschreven dat je "identiteit" (lees username) wordt bepaald a.d.h. van de groepen waar je lid van bent. Ja DUH!
Het gaat er dus niet zozeer om dat iemand z'n naam oid op een hyves, linkedin, of whatever heeft staan. Het gaat erom dat een willekeurige andere site, waarop je surft, die informatie zou kunnen achterhalen.
Als ik het goed begrijp is de proof of concept heel simpel vertaald in dit voorbeeld:
Stel dat www.security.nl wat meer exotische bezoekersstatieken wil hebben.
Dan gaan ze eerst informatie vergaren (maw de ledenlijst) van een aantal hyves. Bijvoorbeeld hyves die te maken hebben met computers en beveiliging. En misschien nog een paar extra groepen voor extra nauwkeurigheid bv die van radiostations of van de grote steden.
Vervolgens gebruiken ze wat javascriptcode om van een onwetende (nog) onbekende surfer zijn geschiedenis op te halen. Vervolgens worden de bezochte sites vergeleken met de links voor de groepen.
Nu krijgen ze te zien dat onbekende surfer waarschijnlijk lid is van de volgende groepen:
- Tweakers.net
- Radio3fm
- Ubuntu
- Utrecht
Vervolgens gaan ze die 2 gegevens combineren. En komen in het ergste geval terug uit op 1 persoon. Dan is het dus niet meer een onbekende surfer, maar bijvoorbeeld Pietje Puk uit Utrecht een 23 jarige man met maar 50 vrienden.
Maarja vraag mij niet wat Security.nl met die info zou willen. Ik kan overigens wel begrijpen dat het vanuit marketingsoogpunt wel leuke informatie kan zijn. De vraag is of het accuraat genoeg is om een goed beeld te krijgen. En of het snel genoeg is om bv banners of andere content erop aan te passen.
Ik heb echt nooit begrepen waarom mensen hun hele hebben en houwen aan prutsclubs als Facebook, Hyves, etc. toevertrouwen.
Maar ja, ik ben dan ook een ouwe lul natuurlijk. :-7
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.