Studie: Web-2.0-Sites entfernen gelöschte Nutzerfotos unzuverlässig

In einer Studie hat Joseph Bonneau vom Security Research des Computer Laboratory der University of Cambridge festgestellt, dass viele Soziale Netzwerke, Blogging-Angebote und Sites, die Foto-Uploads anbieten, vom Nutzer gelöschte Bilddateien noch lange verfügbar halten: Von 16 getesteten Sites waren Bilder bei acht noch Tage nach der vermeintlichen Löschung über einen direkten Link aufrufbar. Lediglich Flickr, Orkut und Photobucket entfernen Bilder sofort und vollständig von ihren Servern.

Die Praxis der meisten untersuchten Sites verstößt gegen die EU-Datenschutz-Direktive von 1995. Sie schreibt vor, dass eindeutig zuordenbare Daten nicht länger gespeichert werden dürfen, als das für ihren Verwendungszweck notwendig ist. Außerdem widerspricht es dem Grundsatz, dass Nutzer über alle über sie gespeicherten Daten Bescheid wissen: Nach der Löschung hat der Nutzer in der Regel von seiner Oberfläche in den Portalen aus keine Möglichkeit mehr, zu überprüfen, ob und wie lange das Bild noch abrufbar ist.

Studienleiter Bonneau führt das darauf zurück, dass die Haupt-Site der meisten Betreiber jede Anfrage wegen eines Bildes mit einer Access-Control-Liste abgleicht und dann eine sehr lange, vermeintlich sichere URL auf dem Bilderserver aufruft. Dass dieses Verfahren unsicher ist, hatten Bonneau und sein Team bereits früher festgestellt. Jetzt habe sich zudem gezeigt, dass viele Dienste die Bilder nur von der Haupt-Site entfernten, dass sie aber auf dem Bilderserver noch lange danach zur Verfügung stünden.

Eine löbliche Ausnahme ist laut Bonneau Windows Lives Spaces: Dort werden zum Zugriff auf den Bilderserver Session Cookies benötigt. Das erschwert den unautorisierten Zugriff. Aber auch die Prüfung, ob Bilder tatsächlich gelöscht oder nur nicht mehr erreichbar sind, fällt dadurch schwer.

Löschpraxis der untersuchten Sites

Site Zeit bis zur Löschung
Bebo nicht gelöscht
Blogger 36 Stunden
Facebook nicht gelöscht
Flickr sofort
Fotki weniger als eine Stunde
Friendster sechs Tage
hi5 nicht gelöscht
LiveJournal sofort
MySpace nicht gelöscht
Orkut sofort
Photobucket sofort
Picasa fünf Stunden
SkyRock nicht gelöscht
Tagged 14 Tage
Windows Live Spaces arbeitet mit Cookies
Xanga sechs Stunden

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago