Angriff auf soziales Netzwerk: Bilderklau bei MySpace
Über eine Sicherheitslücke wurden Hunderttausende geschützter Fotos aus dem größten sozialen Netzwerk der Welt heruntergeladen - und tauchten in einem Tauschnetz wieder auf.
Eine insgesamt 17 Gigabyte große Datei mit über 500.000 zum Teil privaten Fotos von Usern des "Social Networking"-Anbieters MySpace ist im Dateitauschdienst Bittorrent aufgetaucht. Wie der US-IT-Nachrichtendienst "Wired News" berichtet, wurden die Bilder über eine Sicherheitslücke regelrecht abgesaugt. Das Problem bestand demnach seit dem vergangenem Herbst und soll erst am letzten Freitag behoben worden sein. Es handelt sich um eine der größten Attacken auf die Privatsphäre von Usern, die es jemals in einem sozialen Netzwerk gegeben hat. MySpace ist weltweit in Sachen Nutzerzahlen führend - über 200 Millionen Accounts hat der Dienst laut eigenen Angaben aktuell.
Besonders problematisch an dem Vorfall: MySpace wird stark von Minderjährigen genutzt. Profildaten von Nutzern unter 16 Jahren werden in dem Angebot automatisch geschützt, damit beispielsweise Sexualstraftäter mit ihnen nicht in Kontakt treten können. Die Sicherheitslücke ermöglichte es nun aber auch, an die privaten Aufnahmen dieses Nutzerkreises zu gelangen.
Laut "Wired News" steckt hinter der Datei ein Hacker namens "DMaul". Dieser sagte in einem E-Mail-Interview, seine größte Motivation sei gewesen, zu beweisen, dass ein solches Absaugen möglich war. "Ich habe öffentlich gemacht, dass ich diese Bilder gespeichert habe. Ich bin mir aber sicher, dass auch böse Menschen diese Hacks für schlimme Dinge nutzen." Vor dem Schließen der Sicherheitslücke waren auch mehrere Websites aufgetaucht, die das Anzeigen privater Fotos über die Sicherheitslücke sehr einfach machten. So musste man dort bloss die Friend-ID des Nutzers eingeben, um seine privaten Fotos zu sehen - als werbefinanzierter Service. Eine davon soll über 77.000 Zugriffe verzeichnet haben, berichtet "Wired News".
Hacker "DMaul" ließ ein Skript laufen, das über 44.000 Profile bei MySpace über eine solche Seite scannte. 94 Stunden soll das gedauert haben. Das Programm ging dabei Nutzer für Nutzer vor und machte keine Unterscheidung zwischen Minderjährigen und Erwachsenen. Die Sicherheitslücke machte es möglich, auch Fotos anzeigen und herunterladen zu können, die der Nutzer selbst als geschützt markiert hatte. Dieser Bilder sind dann normalerweise nur dem eigenen Freundeskreis zugänglich. Laut "Wired News" gab es mehrere Foren, in denen solche privaten Bilder von 14- und 15jährigen durch Nutzung der Sicherheitslücke online gestellt wurden.
Die riesige Bilddatei, die noch am Freitag über zumindest eine große Bittorrent-Website auffindbar war, wird aktuell von fast 1000 Nutzern heruntergeladen. Aufgrund ihrer Größe hat sie aber bislang offenbar nur wenig Verbreitung gefunden. "DMaul" stellte zum Beweis seiner Fähigkeiten aber auch zwei kleinere Dateien mit Bildern zum schnelleren Download bereit. In einer davon befanden sich laut "Wired News" insgesamt 32.000 Aufnahmen, die wenig Aufregendes bis nicht für die Öffentlichkeit Bestimmtes zeigten - vom Reisebild bis zum Kleinkind in der Badewanne.
Der Vorfall kommt für MySpace zu einer unpassenden Zeit. Der Dienst schloss in den USA gerade mit den Justizministern von 49 Bundesstaaten ein Abkommen, laut dem der Dienst Sicherheitsverbesserungen vornehmen soll. Über die schnelle Behebung von Security-Fehlern steht darin allerdings nur wenig. MySpace war immer wieder in die Schlagzeilen geraten, weil auch verurteilte Sexualstraftäter Zugriff zu dem Angebot gehabt haben sollen.
Das Thema Sicherheitslücken in sozialen Netzwerken dürfte in den nächsten Monaten weiter in den Schlagzeilen bleiben. So musste der größte deutsche Anbieter "StudiVZ" in dieser Woche einräumen, dass es über eine Schwachstelle zumindest theoretisch möglich war, Anmeldedaten abzugreifen, über die ein Hacker dann Vollzugriff auf ein Profil gehabt hätte. Auch die Schüler-Version des Dienstes, "SchülerVZ", soll laut dem IT-Nachrichtendienst "Heise" betroffen gewesen sein. Von Facebook, dem mit 15 Milliarden Dollar aktuell am höchsten bewerteten sozialen Netzwerk, berichten US-Medien unterdessen, dass es möglich gewesen sein soll, über die einfache Eingabe der korrekten Internet-Adresse ähnlich wie bei MySpace geschützte Fotos anzusehen. Viele Nutzer laden viel mehr Fotos in die Plattformen hoch, als für die Profilerstellung nötig ist - einfache Upload-Prozesse ermöglichen dies. Um die Aufnahmen zu schützen, werden sie dann auf "privat" gestellt.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
Starten Sie jetzt eine spannende Diskussion!