von ,
Twittern 111 Teilen 140

Student baut mühelos Datenbank mit 35 Mio Google Profilen

Ohne große Schwierigkeiten hat Matthijs R. Koot eine Datenbank mit 35 Millionen Google Profilen aufgebaut. Einen Monat lang hat sich der Doktorand der Universität Amsterdam die Google-Daten mühelos per sogenanntem „Mass-Downloading“ besorgt und dabei nicht einmal gegen die Googles Policies verstoßen oder sogenannte „Rocket Science" angewandt. Denn weder rechtlich noch technisch verhindert Mountain View einen derartigen Vorgang, so Koot. Der möchte jetzt deshalb bei Google-Usern das nötige Bewusstsein schaffen.

Eine Datenbank mit allen 35 Millionen Google Profilen

Seit Februar 2011 hat der junge Doktorand der Informatik 35 Millionen Google Profile in einer einzigen Datenbank gespeichert. Das sind in Zahlen alle vorhandenen Google Profile. Die Daten habe er anschließend einfach mit Spidermonkey und selbstgeschriebenem JavaScript in eine SQL-Datenbank konvertiert, so Koot. Da Google Profile in keinster Weise gegen Mass-Downloading geschützt seien, habe er etwa folgende Daten von Personen sammeln können:

  • Namen
  • Nicknames/Aliase
  • Status der Ausbildungen (Institute, Fächer, Zeiträume)
  • Status des Berufslebens (Anstellungen, Funktionen, Zeiträume)
  • Twitter-Gespräche
  • Links zu Picasa-Alben
  • In zirka 15.000 Fällen den Usernamen und folglich die Google-Mail-Adresse

datenbank google profile

Koot fasst seine Aktion deshalb wie folgt zusammen: In nur einem Monat konnte über nur eine Verbindung eine Datenbank mit allen 35 Millionen Google Profilen aufgebaut werden. Deshalb möchte er Google-Usern mit dieser Aktion aufzeigen, in welchen Dimension überhaupt Missbrauch mit den Daten geschehen könne, die Google anvertraut würden. Etwa wenn Kriminelle oder Werbende Nutzen aus derartigen Methoden zögen. Denn Google weise weder in seiner AGB auf den fehlenden Schutz dieser „Social Data" hin, noch verhindere es simple Verfahrensweisen wie etwa das von Koot angewandte Mass-Downloading.

Dabei wolle er weder bloßes Misstrauen bei Google-Usern noch bei Google selbst provozieren, sondern auf die eklatanten Sicherheitsmängel und die offenbare Sorglosigkeit hinweisen. Der User müsse von derartigen Unternehmen Schutz und Transparenz erwarten können, etwa darüber, was mit ihren Daten passiert und was mit ihnen passieren könnte, so Koot. Nicht zuletzt will der Niederländer dadurch eine veritable und nachhaltige Debatte über Privatsphäre anstoßen.

Weiterführende Links:

Bildnachweis für die Newsübersicht: Bull3t/ flickr.com, Lizenz: CC-BY.

Weitere Artikel zu Google

Kommentare: 22 Tweets: 111 Facebook-Likes: 140
25.05.2011

Das interessiert dich bestimmt auch

22 Answers

  1. von Fritz 25.05.2011 (13:48Uhr) 1.

    Ahja und für sowas muss man Doktorrand sein? Kriegt jeder 16 jährige hin.

    Noch dazu sehe ich jetzt nicht wirklich was daran spektakulär ist ÖFFENTLICH ZUGÄNGLICHE Daten zu sammeln.

    Kein Mensch wird gezwungen da was anzugeben oder irgendwas zu veröffentlichen. Das ist alles freiwillig.

    Also was sagt diese Meldung aus? Meisterleistung? Nö, Sicherheitslücke? Nö, Spekatakulär? Erst recht nicht.

  2. von Stefan 25.05.2011 (13:54Uhr) 2.

    Naja, so spektakulär ist es wirklich nicht, frei zugängliche Daten zu sammeln. Dennoch ist es für unwissende Google Nutzer vielleicht ganz gut, zu erfahren, wie frei zugänglich ihre Daten wirklich sind.

  3. von Stefan Münz via facebook 25.05.2011 (14:11Uhr) 3.

    Aha. Ein Student sammelt frei verfügbare Daten. Allein mit einer Suche nach meinem Vornamen bekomme ich ebenfalls schon 494.000 Google-Profile ... http://www.google.com/search?hl=de&tbs=prfl:e&q=Stefan&authuser - also was will uns dieser Student sagen? Und welches Bewusstsein will er schärfen? Dass man, als man sein öffentliches Google-Profil erstellt hat, eine Seite mit öffentlich sichtbaren Inhalten erstellt hat? Ja, wenn ich aus dem Haus gehe, dann bin ich draußen. So in etwa der informationelle Wert dieser Geschichte.

  4. von Steve Brauer via facebook 25.05.2011 (14:13Uhr) 4.

    Gott wie spekatkulär öffentlich bereitstehende Daten abzuparsen...

  5. von Stefab 25.05.2011 (14:15Uhr) 5.

    Ich bin schockiert. Naja nicht wirklich!

    Die Daten die ich in meinem Profil angegeben habe, SOLLEN öffentlich sein! Twitter ist auch öffentlich.

  6. von David Odw via facebook 25.05.2011 (14:16Uhr) 6.

    nix besonderes

  7. von robbz 25.05.2011 (14:20Uhr) 7.

    Seh ich genauso. Alle Daten werden freiwillig eingegeben. Dort erscheint nichts, was nicht ohnehin sichtbar ist.
    Das ist doch genauso wie mit den gesammelten Daten aus den VZ Netzwerken von damals. Das waren auch nur die Daten, die öffentlich einsehbar waren (gut nicht wirklich öffentlich, man muss halt im VZ eingeloggt sein, um Zugriff auf diese Daten zu haben, aber man musste mit diesen Personen nicht befreundet sein).

    Mir persönlich gehen diese ganzen Diskussionen um Privatsphäre eigentlich mehr auf den Keks, als Unternehmen, die dagegen verstoßen. Es wäre ganz einfach, wenn jeder User selbst entscheiden kann, was wer sehen darf, indem er es einträgt und dann per Klick freischalten oder sperren kann oder wie auch immer. Sogar in Facebook funktioniert das inzwischen ganz gut ;-)

  8. von GeckoGermany Germany via facebook 25.05.2011 (14:20Uhr) 8.

    An sich ist es ja bekannt, dass die Profile öffentlich sind. Erschreckend ist in diesem Zusammenhang ist nicht die Zugänglichkeit der Daten sondern die barrierefrei Aggregierung einer solchen Datenbank.... Mal sehen, ob Google hier zukünftig den Massendownload verhindert?!

  9. von Thomas Hodek 25.05.2011 (14:21Uhr) 9.

    Da hat doch dieser gewitzte Doktorand doch tatsächlich meinen Twitterstream abgreifen können und in einer Datenbank speichern... Wo soll das noch hinführen wenn jeder x-beliebige Informatik-Doktorand meine absichtlich _öffentlichen_ Daten sammeln kann... Ich weiss nicht obs nur mir so geht, aber mir kommts so vor als würde die Welt in der wir leben wird immer verrückter

  10. von lifeofguenter 25.05.2011 (14:25Uhr) 10.

    aha da hat sich einer die Sitemaps gezogen die öffentlich und ungeschützt sind: https://profiles.google.com/robots.txt

    krieg ich jetzt ein Keks?

  11. von robbz 25.05.2011 (14:26Uhr) 11.

    @lifeofguenter Zu geil :-))

  12. von Fuchs 25.05.2011 (14:37Uhr) 12.

    Da ist ja meine Sammlung von Sicherheitslücke interessanter und selbst das mache ich in 20 Minuten, wenn mir langweilig ist. Die Aufnahme dauert länger als die Suche nach einer Lücke. http://www.einfach-fuchs.de/web-sicherheit-initiative-2011

  13. von Tom Starke via facebook 25.05.2011 (14:38Uhr) 13.

    Nach Web 2.0 wird es Zeit für Datenschutz 2.0!

  14. von Jonathan Weiß via facebook 25.05.2011 (14:41Uhr) 14.

    Naja, die Daten in einem "Google Profile" sind doch alle öffentlich zugänglich und werden sogar als 1. Treffer angezeigt, wenn sie mit dem Suchbegriff übereinstimmen. Das war genau Sinn der Sache.

  15. von Kun den 25.05.2011 (15:03Uhr) 15.

    Wenn man plötzlich konservative Kunden hat, sollten die Links auf Energie-Spar-Picasa-Alben verschwinden... .
    Man kann auch über gephishte Bot-PCs die Profile einzeln abgreifen und auf Bot-Master-Servern sammeln. Spannend für Epresser-Mafia sind nicht die Daten sondern die Veränderungen wie z.b. Löschungen.

    Im Prinzip zeigt das Forum allerdings, das der Mehrwert dieser Aktion (falls vorhanden) vermutlich hätte klarer gemacht werden sollen.
    Ältere Leute haben sowas nicht gelernt und auch Omas unterhalten sich im Zug das sie mit ihren Enkel usw. per Skype chatten und Facebook (bzw. früher mal wer-kennt-wen usw.) usw. nutzen. Das man seine Tür abschliessen sollte, lernt man schnell. Die Sozialisierung von Internet-Publications-Verhalten fand aber nie statt. Bei My-Hammer die Sicherheits-Anlage aufzulisten oder den Ferrari im Bild von der Garage sichtbar zu haben oder für den Ebay-Verkauf die Blaue Mauritius, Patek Philippe-Uhr oder die Juwelen-Box nicht (wirksam!) aus dem Bild zu schwärzen, ist halt nicht schlau. Ebenso wenn man sich überall location-mäßig eincheckt damit Einbrecher wissen, wann man zuschlagen kann.
    Das liegt zum Teil natürlich mit an den entsprechenden Dienstleistern die keine Gruppen-Strukturen bzw. Privatheits-Defaults und Warnungen "Wollen sie wirklich das jeder Einbrecher weiss das sie jetzt Autogramme auf der Ifa an Stand 08/15 geben Herr Harald Schmidt ?" "Wollen sie wirklich das jeder Einbrecher weiss, das sie jetzt auf der Ifa an Stand 08/15 auf ein Harald-Schmidt-Autogramm warten Renter (Ferrari-Lamborghini-Prenzlau)-Willi Mustermann ?".

    Gewisses Bewusstsein könnten und sollten anständige Websites ständig "andressieren". Die Banken und Freemailer die jeder ständig nutzt, versagen dabei leider ständig. Facebook ist es egal.

  16. von deedoo 25.05.2011 (15:12Uhr) 16.

    Und? Der dt. Staat baut sich gerade eine Datenbank mit > 80.000.000 Einträgen. Nennt sich dann Volkszählung. :-)

  17. von David Gampe via facebook 25.05.2011 (15:26Uhr) 17.

    Hier liegen auch immer so dicke Bücher mit Namen und Telefon Nummern! Welcher Hacker veröffentlicht denn diese Daten?Ne an sich natürlich wieder die Devise - Augen auf!

  18. von passsy's Blog » DB mit 35 Mil… 25.05.2011 (16:42Uhr) 18.

    [...] t3n Hinterlasse eine Antwort Hier klicken, um die Antwort [...]

  19. von Sven 25.05.2011 (17:00Uhr) 19.

    Da würde ich mich aber kräftig bei Google beschweren, wenn die Sachen, die ich über mein _öffentliches_ Google-Profil ver_öffentliche_ nicht öffentlich auffindbar und abrufbar wären. (und wieso sollte sowas offensichtliches in den AGB stehen? Steht in den AGB von Schwimmbädern "Wasser ist nass. Wer hier schwimmt wird nass."?)

  20. von Peter Piksa via facebook 26.05.2011 (08:32Uhr) 20.

    @Stefan: Man muss schon etwas genauer hinsehen, um zu erkennen, welches Thema diese Aktion befeuert. Es handelt sich um eine Sache, auf die ich kürzlich in zwei Artikel zu sprechen kam - nämlich ein durch Informationsasymmetrie entstehendes Machtgefälle zwischen zwei Teilnehmern - einem Informationsbesitzenden und einem Informationslosen.Weil Frank Rieger und Constanze Kurz bei der Vorstellung ihres Buches "Die Datenfresser" genau dieses Phänomen unter der Bezeichnung der "Machtfrage" thematisierten, griff ich diesen Begriff auf und versuchte das ganze im Rahmen der Post-Privacy-Debatte mal zu bearbeiten: http://bit.ly/ma1Nyx und http://bit.ly/lKJ1UHLies Dir die beiden Artikel mal durch. Du musst ihnen nicht zustimmen, aber sie werden bestimmt verdeutlichen, worum es hier ebenfalls eigentlich geht.

  21. von Protokoll vom 28. Mai 2011beiTrackback 28.05.2011 (16:45Uhr) 21.

    [...] Student baut mühelos Datenbank mit 35 Mio Google Profilen [...]

  22. von Michael Lambertz 06.06.2011 (10:11Uhr) 22.

    Also mich wundert's, wie egal das hier allen ist. Ich finde es sehr wohl bedenklich.
    Und wer nur den 1. Absatz des Artikels gelesen hat, der findet dort das Wort "Mass-Downloading". Und darum geht's. Nicht, dass irgendein Profil öffentlich ist, sondern, dass jede beliebige Maschine Daten sammeln kann, so viel sie will und so schnell sie will. Und dann nur noch fein als Datensätze an einen Spam-Betreiber oder so 'ne nervige Telefonmarketing-Firma verkaufen. Und ich bin mir sicher, dass der ganz normale Google-Account-Nutzer nicht weiß, das das möglich ist. Ihr Informatik-Freaks hier natürlich schon. Und das mit der Volkszählung wird ja auch mächtig kritisiert, und auch teilweise zu Recht.

Deine Meinung


(wird nicht veröffentlicht)