Websites erkennen Anwender an ihrem Nutzungsprofil

Forscher der TU Wien haben ein Verfahren entwickelt, mit dem sie für Nutzer sozialer Netzwerke ein identifizierendes Profil erstellen können. Es basiert darauf, dass Nutzer an verschiedenen Gruppen innerhalb sozialer Netzwerke teilnehmen. Kombiniert mit bereits länger bekannten Angriffen auf die im Browser-Verlauf gespeicherten Web-Adressen kann eine Website die Identität von Besuchern erkennen.

Die Forscher Gilbert Wondracek und Thorsten Holz von der TU Wien sowie Engin Kirda und Christopher Kruegel haben das deutsche Netzwerk Xing beispielhaft ausgewählt, um die Möglichkeiten eines Deanonymisierungsangriffs zu demonstrieren. Sie können zeigen, dass Informationen über die Mitgliedschaft in verschiedenen Gruppen ausreichen können, um Benutzer eindeutig zu identifizieren oder zumindest die Zahl der möglichen Kandidaten drastisch zu reduzieren.

Eine böswillige Website kann mit länger bekannten Methoden die Browser-Chronik (Verlauf, History) eines Besuchers nach den Adressen solcher Gruppenseiten durchforsten und daraus ein Profil erstellen. Durch Vergleich mit einer Datenbank von vorab ermittelten Benutzerprofilen (etwa: Benutzer XY ist Mitglied der Gruppen a, c, g, k, p und t) kann der Besucher oft identifiziert werden.