Wij laten automatisering
voor u werken
radecom

Nederlander heeft Google-lek al leeggezogen

Het profielenlek van Google, bedoeld voor alleen zoekmachines, is in februari al uitgebreid 'benut' door een Nederlandse onderzoeker. Hij publiceert zijn code om de data uit te pluizen.
"Ik heb feitelijk alle 35 miljoen links uitgeprobeerd in de maand februari - mijn bevindingen zijn empirisch getoetst", vertelt Matthijs Koot aan Webwereld over het openlijk toegankelijke profielenbestand van Google. De Nederlandse security-onderzoeker heeft dit datalek een tijd terug al ontdekt en vervolgens uitgebreid onderzocht. Het bestaan van het profielenbestand is al sinds oktober 2008 bekend buiten Google, merkt Koot op.

Al geoogst

Zijn onderzoek bevestigt de 'oogstbaarheid' van de profielgegevens van gebruikers van Google-diensten, zoals Gmail, Picasa en ook Blogger. Op laatstgenoemde publiceert Koot zijn eigen bevindingen, die hij gisteren ook aan Webwereld heeft gemeld. Opvallend is dat de gebruikersnamen van Google-gebruikers al onthuld worden voordat het eigenlijke gebruikersprofiel wordt opgevraagd.

Google heeft gisteren in een reactie laten weten dat het gaat om de sitemap met gegevens over profielen, en dat die puur en alleen voor zoekmachines is bedoeld. Bovendien wordt daarlangs alleen informatie onthuld die al publiek beschikbaar is, verklaart de woordvoerder van Google Nederland. De profielfunctie van de internetreus laat gebruikers informatie over zichzelf opgeven. Google-diensten vragen naar onder meer beroep, woonplaats, opleiding en contactgegevens.

Onbeperkt downloaden

Koot heeft in februari dit jaar alle 35 miljoen links gecontroleerd. "Mijn verbinding werd daarbij niet geblokkeerd." Het volgen van de links in het openstaande sitemap-bestand en daarlangs opvragen van de vele miljoenen profielen wordt dus niet gecontroleerd of beperkt. Zoekmachines, maar ook security-onderzoekers en hackers kunnen onbeperkt profielen downloaden.

Volgens Koot geeft zo'n 40 procent van de Google Profiles de gebruikersnaam en dus het Gmail-adres van de eigenaar bloot. Dat komt neer op zo'n 15 miljoen gebruikersnamen en mailadressen, aldus Koot. Hij waarschuwt meteen voor grootschalige spear phishing-aanvallen. Via het profielenlek van Google is immers onbeperkt waardevolle data te oogsten, zoals beroep, werkgever, opleiding, locatie, en links naar Twitter-accounts, Picasa-fotoalbums (met eventueel nog locatiedata bij zo'n webalbum en in de foto's) en LinkedIn-accounts.

Massaal spear-phishing

Phishers kunnen die gegevens gebruiken om nepmails te versturen, die dan nog legitiemer kunnen lijken door het gebruik van persoonsgebonden gegevens, zoals bedrijfsnamen, opleidingsgegevens, bezochte plaatsen, enzovoorts. Die data is weliswaar openbaar, en door gebruikers zelf opgegeven - waarbij Google in het geval van profielnamen ook waarschuwt dat daarbij het e-mailadres openbaar gemaakt kan worden.

Het profielenlek maakt echter massale en geautomatiseerde vergaring van deze gegevens mogelijk. Wat de Nederlandse onderzoeker Koot in februari al heeft gedaan. Hij heeft het door hem gebruikte script gepubliceerd. Daarmee is de data uit te pluizen en om te zetten in SQL-statements om een database ermee te vullen.

Bron: webwereld.nl