35 miljoen Google-profielen te grabbel
Nederlander indexeert
27 mei 2011 | Pieterjan Van Leemputten
Een Nederlandse universiteitsstudent is er probleemloos in geslaagd om 35 miljoen Google-profielen te indexeren. Een goudmijn voor identiteitsmisbruik.
Matthijs R. Koot omschrijft op zijn blog hoe hij de Google-profielen automatisch kon indexeren. Dit soort profielen is openbaar, maar een goede webdienst onderneemt wel actie om te voorkomen dat spammers of andere geïnteresseerden de lijst automatisch kunnen overnemen.
Geen captcha
Dat is bij Google niet het geval. Koot zegt dat hij in de maand februari 35 miljoen profielen in een SQL-database heeft gezet met behulp van Spidermonkey en zelfgeschreven Javascriptcode. Daarbij werd er niet om een captcha gevraagd en werd zijn automatische indexering niet tegengehouden. Het project is een onderdeel van zijn onderzoek rond anonimiteit en privacy, aan de Universiteit van Amsterdam.
Naar eigen zeggen gaat het om “twittergesprekken, namen, bijnamen, meerdere opleidingen, meerdere werkervaringen en links naar Picasa-fotoalbums.” Bij vijftien miljoen profielen werd ook de gebruikersnaam (en bijgevolg het Gmailadres) van de gebruiker teruggevonden.
Koot schrijft er meteen bij dat zijn project niet de bedoeling heeft om paniek te zaaien. Wel wil hij zo de privacy aankaarten. Omdat de profielen zo makkelijk te indexeren zijn, kunnen criminelen de informatie misbruiken om bijvoorbeeld spam of phishingmails op maat uit te sturen.
Google keurt goed
Wat de zaak nog opmerkelijker maakt, is dat de man in kwestie niets illegaals heeft gedaan. Zo staat er in het robots.txt-bestand, dat een server zegt of een zoekrobot mag indexeren, geen verbod aangegeven. “Strikt gesproken heb ik zelfs het beleid van Google niet geschonden bij het verkrijgen van de profielen”, schrijft Koot op zijn blog.
bron: ZDNet
Reacties
Reageer op dit artikel
2 reacties op dit artikel:
En waarom zou men nu panikeren, Zoiets noemde 20 jaar geleden een telefoonboek. Daar was het zelfs nog erger mee dat was niet een mailadres maar je volledige adres.
Kan zeker misbruikt worden door stalkers, geheime diensten enz. Grotendeels is dat strafbaar en veranderd dat niets door openbaarheid van eender wie. Integendeel het voorkomt mogelijk misbruiken van ’anonieme’ mailers. (niet volledig natuurlijk, het telefoonboek was meer betrouwbaar) Voor een degelijk gebruik van privacy moet men toch een onderscheid maken tussen misbruiken en nuttig gebruik. De grens is niet altijd duidelijk maar die is er wel en is niet dat er mogelijkheden tot misbruik zijn want dan moeten we het internet afsluiten en in een anonieme bunker gaan wonen. En zelfs dat volstond niet voor Bin Laden.
