In einer Studie hat Joseph Bonneau vom Security Research des Computer Laboratory der University of Cambridge festgestellt, dass viele Soziale Netzwerke, Blogging-Angebote und Sites, die Foto-Uploads anbieten, vom Nutzer gelöschte Bilddateien noch lange verfügbar halten: Von 16 getesteten Sites waren Bilder bei acht noch Tage nach der vermeintlichen Löschung über einen direkten Link aufrufbar. Lediglich Flickr, Orkut und Photobucket entfernen Bilder sofort und vollständig von ihren Servern.
Die Praxis der meisten untersuchten Sites verstößt gegen die EU-Datenschutz-Direktive von 1995. Sie schreibt vor, dass eindeutig zuordenbare Daten nicht länger gespeichert werden dürfen, als das für ihren Verwendungszweck notwendig ist. Außerdem widerspricht es dem Grundsatz, dass Nutzer über alle über sie gespeicherten Daten Bescheid wissen: Nach der Löschung hat der Nutzer in der Regel von seiner Oberfläche in den Portalen aus keine Möglichkeit mehr, zu überprüfen, ob und wie lange das Bild noch abrufbar ist.
Studienleiter Bonneau führt das darauf zurück, dass die Haupt-Site der meisten Betreiber jede Anfrage wegen eines Bildes mit einer Access-Control-Liste abgleicht und dann eine sehr lange, vermeintlich sichere URL auf dem Bilderserver aufruft. Dass dieses Verfahren unsicher ist, hatten Bonneau und sein Team bereits früher festgestellt. Jetzt habe sich zudem gezeigt, dass viele Dienste die Bilder nur von der Haupt-Site entfernten, dass sie aber auf dem Bilderserver noch lange danach zur Verfügung stünden.
Eine löbliche Ausnahme ist laut Bonneau Windows Lives Spaces: Dort werden zum Zugriff auf den Bilderserver Session Cookies benötigt. Das erschwert den unautorisierten Zugriff. Aber auch die Prüfung, ob Bilder tatsächlich gelöscht oder nur nicht mehr erreichbar sind, fällt dadurch schwer.
Löschpraxis der untersuchten Sites | |
Site | Zeit bis zur Löschung |
---|---|
Bebo | nicht gelöscht |
Blogger | 36 Stunden |
nicht gelöscht | |
Flickr | sofort |
Fotki | weniger als eine Stunde |
Friendster | sechs Tage |
hi5 | nicht gelöscht |
LiveJournal | sofort |
MySpace | nicht gelöscht |
Orkut | sofort |
Photobucket | sofort |
Picasa | fünf Stunden |
SkyRock | nicht gelöscht |
Tagged | 14 Tage |
Windows Live Spaces | arbeitet mit Cookies |
Xanga | sechs Stunden |
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…