Angriff auf soziales Netzwerk: Bilderklau bei MySpace

Über eine Sicherheitslücke wurden Hunderttausende geschützter Fotos aus dem größten sozialen Netzwerk der Welt heruntergeladen - und tauchten in einem Tauschnetz wieder auf.

Meistens werden MySpace-Sites genutzt, um sich selbst der Öffentlichkeit zu präsentieren Bild: screenshot myspace bunnyrabbit

Eine insgesamt 17 Gigabyte große Datei mit über 500.000 zum Teil privaten Fotos von Usern des "Social Networking"-Anbieters MySpace ist im Dateitauschdienst Bittorrent aufgetaucht. Wie der US-IT-Nachrichtendienst "Wired News" berichtet, wurden die Bilder über eine Sicherheitslücke regelrecht abgesaugt. Das Problem bestand demnach seit dem vergangenem Herbst und soll erst am letzten Freitag behoben worden sein. Es handelt sich um eine der größten Attacken auf die Privatsphäre von Usern, die es jemals in einem sozialen Netzwerk gegeben hat. MySpace ist weltweit in Sachen Nutzerzahlen führend - über 200 Millionen Accounts hat der Dienst laut eigenen Angaben aktuell.

Besonders problematisch an dem Vorfall: MySpace wird stark von Minderjährigen genutzt. Profildaten von Nutzern unter 16 Jahren werden in dem Angebot automatisch geschützt, damit beispielsweise Sexualstraftäter mit ihnen nicht in Kontakt treten können. Die Sicherheitslücke ermöglichte es nun aber auch, an die privaten Aufnahmen dieses Nutzerkreises zu gelangen.

Laut "Wired News" steckt hinter der Datei ein Hacker namens "DMaul". Dieser sagte in einem E-Mail-Interview, seine größte Motivation sei gewesen, zu beweisen, dass ein solches Absaugen möglich war. "Ich habe öffentlich gemacht, dass ich diese Bilder gespeichert habe. Ich bin mir aber sicher, dass auch böse Menschen diese Hacks für schlimme Dinge nutzen." Vor dem Schließen der Sicherheitslücke waren auch mehrere Websites aufgetaucht, die das Anzeigen privater Fotos über die Sicherheitslücke sehr einfach machten. So musste man dort bloss die Friend-ID des Nutzers eingeben, um seine privaten Fotos zu sehen - als werbefinanzierter Service. Eine davon soll über 77.000 Zugriffe verzeichnet haben, berichtet "Wired News".

Hacker "DMaul" ließ ein Skript laufen, das über 44.000 Profile bei MySpace über eine solche Seite scannte. 94 Stunden soll das gedauert haben. Das Programm ging dabei Nutzer für Nutzer vor und machte keine Unterscheidung zwischen Minderjährigen und Erwachsenen. Die Sicherheitslücke machte es möglich, auch Fotos anzeigen und herunterladen zu können, die der Nutzer selbst als geschützt markiert hatte. Dieser Bilder sind dann normalerweise nur dem eigenen Freundeskreis zugänglich. Laut "Wired News" gab es mehrere Foren, in denen solche privaten Bilder von 14- und 15jährigen durch Nutzung der Sicherheitslücke online gestellt wurden.

Die riesige Bilddatei, die noch am Freitag über zumindest eine große Bittorrent-Website auffindbar war, wird aktuell von fast 1000 Nutzern heruntergeladen. Aufgrund ihrer Größe hat sie aber bislang offenbar nur wenig Verbreitung gefunden. "DMaul" stellte zum Beweis seiner Fähigkeiten aber auch zwei kleinere Dateien mit Bildern zum schnelleren Download bereit. In einer davon befanden sich laut "Wired News" insgesamt 32.000 Aufnahmen, die wenig Aufregendes bis nicht für die Öffentlichkeit Bestimmtes zeigten - vom Reisebild bis zum Kleinkind in der Badewanne.

Der Vorfall kommt für MySpace zu einer unpassenden Zeit. Der Dienst schloss in den USA gerade mit den Justizministern von 49 Bundesstaaten ein Abkommen, laut dem der Dienst Sicherheitsverbesserungen vornehmen soll. Über die schnelle Behebung von Security-Fehlern steht darin allerdings nur wenig. MySpace war immer wieder in die Schlagzeilen geraten, weil auch verurteilte Sexualstraftäter Zugriff zu dem Angebot gehabt haben sollen.

Das Thema Sicherheitslücken in sozialen Netzwerken dürfte in den nächsten Monaten weiter in den Schlagzeilen bleiben. So musste der größte deutsche Anbieter "StudiVZ" in dieser Woche einräumen, dass es über eine Schwachstelle zumindest theoretisch möglich war, Anmeldedaten abzugreifen, über die ein Hacker dann Vollzugriff auf ein Profil gehabt hätte. Auch die Schüler-Version des Dienstes, "SchülerVZ", soll laut dem IT-Nachrichtendienst "Heise" betroffen gewesen sein. Von Facebook, dem mit 15 Milliarden Dollar aktuell am höchsten bewerteten sozialen Netzwerk, berichten US-Medien unterdessen, dass es möglich gewesen sein soll, über die einfache Eingabe der korrekten Internet-Adresse ähnlich wie bei MySpace geschützte Fotos anzusehen. Viele Nutzer laden viel mehr Fotos in die Plattformen hoch, als für die Profilerstellung nötig ist - einfache Upload-Prozesse ermöglichen dies. Um die Aufnahmen zu schützen, werden sie dann auf "privat" gestellt.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de