Xing auch mit Social-Datenleck?

Freitag, 23. Oktober 2009, 15:18 Uhr |  Autor:

Es sind zwar, sofern man Google glauben darf
xing profile
knapp 4 Millionen XING-Profile zu finden und dies ohne Anmeldung in XING selber, aber hier geht es nicht um Kinder oder Jugendliche, es geht primär um Geschäftskontakte. Jeder der dort angemeldet ist, sollte alt genug sein, um selber zu entscheiden, was in Google auffindbar ist und was nicht.

<einschub>
Ok, vom Alter auf Reife zu schließen, ist nicht ganz wirklichkeitsnah, siehe: Matthias L. aus Erlangen, der studiVZ angeblich erpressen wollte, es ging angeblich um 80.000 Euro und die Aktion fand in den Büros von studiVZ statt. Der Junge ist 20 Jahre alt… :O) “SchülerVZ-Datensammler forderte 80.000 Euro” (golem.de)
</einschub>

Per Google kann man natürlich die Suche auch einschränken:
xing profile cross-site scripting
xing profile xss
xing profile cross-site request forgery
xing profile csrf
xing profile sql-injection
Warum nun Google bei jeder dieser Anfragen mein Profil als erstes Ergebnis anzeigt weiß ich nicht. :O)


Ruft man ein Profil auf, so werden einem, sofern es das XING-Mitglied freigeschaltet hat, vier seiner bestätigten Kontakte angezeigt. Ich habe mal willkürlich ein Profil genommen und etwas Nachgeforscht, wie viele Kontakte man aufrufen kann:

  • Profil 1 zeigte 4 Kontakt an.
  • > 3 der 4 Profile zeigten ebenfalls wieder 4 Kontakt an.
  • > Von diesen 12 Profilen zeigten 5 Stück weitere 4 Kontakte.
  • > Und von diesen 20 Profilen wieder 11 Stück mit 4 Kontakten.

Nun haben wir 81 Profile mit einer Beziehung zueinander.

Ich glaube, jeder kann sich vorstellen, wie leicht man nun Beziehungen der verschiedenen XING-User zueinander herstellen kann. Ausprobiert habe ich es nicht, aber es dürfte für XING nicht so leicht sein, Zugriffe zu unterbinden, wenn sie nicht von einem angemeldeten User kommen. Sollte XING schon eine Begrenzung, auch für Bots wie Google eingerichtet haben, so muss man evtl. nur die IP wechseln oder die Abrufrate justieren, den Bot-Entwicklern fällt sicher etwas ein.


Unter dem Punkt “Meine Privatsphäre” gibt es “Mein Profil darf in Suchmaschinen auffindbar sein.” Dass nun aber unter “Meine Kontaktliste ist sichtbar für:”
xing profil mitglied google
“alle Mitglieder” auch bedeutet, dass auch Google als (eingeschränktes) Mitglied bei XING geführt wird, ist bestimmt nicht jedem klar. Ab der Begrenzung auf “Mitglieder bis zum 4. Bekanntheitsgrad” werden im öffentlichen Profil (ohne Anmeldung) keine Kontakte angezeigt. XING sollte hier evtl. noch die Möglichkeit “alle Mitglieder und Suchmaschinen” hinzufügen.

Die im öffentlichen Profil angezeigten bestätigten Kontakte ist nicht wirklich auf vier begrenzt. Ruft man das Profil mehrfach auf, so erhält man bei jedem Aufruf eine andere Zusammenstellung der Kontakte. Nach 10 Reloads hat man 20 verschiedene bestätigte Kontakte gesammelt.


Mit Bots, wie bei SchülerVZ, muss jedes Netzwerk rechnen. Wirklich helfen wird wohl nur viel Aufklärungsarbeit am User, damit er einsieht, zu viele persönliche Daten haben nichts im Internet zu suchen. Aber auch die Betreiber der Netzwerke sind aufgerufen etwas zu tun. Die Voreinstellung für Daten des Users sollten immer auf privat gestellt sein und erst durch den User auf öffentlich freigeschaltet werden müssen. Im Moment ist es vielfach noch genau andersherum, der User muss seine Daten auf privat stellen, z.T. auch Daten bzw. Content, wo er evtl. gar nicht ahnt, dass diese öffentlich angezeigt werden, wenn er nichts dagegen unternimmt.


Update: 25.10.2009

Tests ergaben, dass man 350 Stück der öffentlichen XING-Profile pro Minute runterladen kann. Die 4 Mio. Profile hätte man in ca. 8 Tagen geladen. XING sollte sich überlegen ob sie auch eine Sperre einbauen, so ähnlich wie Google. Wenn man bei Google zu viele Anfragen in zu kurzer Zeit stellt, so wird man dort ausgesperrt.

Tags »   

Trackback: Trackback-URL | Feed zum Beitrag: RSS 2.0
Thema: Sicherheit

Kommentare und Pings sind geschlossen.