Studie: Web-2.0-Sites entfernen gelöschte Nutzerfotos unzuverlässig

In einer Studie hat Joseph Bonneau vom Security Research des Computer Laboratory der University of Cambridge festgestellt, dass viele Soziale Netzwerke, Blogging-Angebote und Sites, die Foto-Uploads anbieten, vom Nutzer gelöschte Bilddateien noch lange verfügbar halten: Von 16 getesteten Sites waren Bilder bei acht noch Tage nach der vermeintlichen Löschung über einen direkten Link aufrufbar. Lediglich Flickr, Orkut und Photobucket entfernen Bilder sofort und vollständig von ihren Servern.

Die Praxis der meisten untersuchten Sites verstößt gegen die EU-Datenschutz-Direktive von 1995. Sie schreibt vor, dass eindeutig zuordenbare Daten nicht länger gespeichert werden dürfen, als das für ihren Verwendungszweck notwendig ist. Außerdem widerspricht es dem Grundsatz, dass Nutzer über alle über sie gespeicherten Daten Bescheid wissen: Nach der Löschung hat der Nutzer in der Regel von seiner Oberfläche in den Portalen aus keine Möglichkeit mehr, zu überprüfen, ob und wie lange das Bild noch abrufbar ist.

Studienleiter Bonneau führt das darauf zurück, dass die Haupt-Site der meisten Betreiber jede Anfrage wegen eines Bildes mit einer Access-Control-Liste abgleicht und dann eine sehr lange, vermeintlich sichere URL auf dem Bilderserver aufruft. Dass dieses Verfahren unsicher ist, hatten Bonneau und sein Team bereits früher festgestellt. Jetzt habe sich zudem gezeigt, dass viele Dienste die Bilder nur von der Haupt-Site entfernten, dass sie aber auf dem Bilderserver noch lange danach zur Verfügung stünden.

Eine löbliche Ausnahme ist laut Bonneau Windows Lives Spaces: Dort werden zum Zugriff auf den Bilderserver Session Cookies benötigt. Das erschwert den unautorisierten Zugriff. Aber auch die Prüfung, ob Bilder tatsächlich gelöscht oder nur nicht mehr erreichbar sind, fällt dadurch schwer.

Löschpraxis der untersuchten Sites

Site Zeit bis zur Löschung
Bebo nicht gelöscht
Blogger 36 Stunden
Facebook nicht gelöscht
Flickr sofort
Fotki weniger als eine Stunde
Friendster sechs Tage
hi5 nicht gelöscht
LiveJournal sofort
MySpace nicht gelöscht
Orkut sofort
Photobucket sofort
Picasa fünf Stunden
SkyRock nicht gelöscht
Tagged 14 Tage
Windows Live Spaces arbeitet mit Cookies
Xanga sechs Stunden

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

8 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

8 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

15 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago