Pseudonyme geknackt

Die Informatiker Arvind Narayanan und Vitaly Shmatikov von der University of Texas in Austin haben einen Algorithmus entwickelt, mit dem sie aus den Pseudonymen von Nutzern auf deren Klarnamen schliessen konnten. Wie die Forscher mitteilten, gelang ihnen dies in 30,8 Prozent der 150 Versuche.

Narayanan und Shmatikov nahmen sich dabei Accounts von Twitter als Opfer und Flickr als Hilfsdatenquelle vor. «Vereinfacht gesagt, sucht das Verfahren nach Übereinstimmungen zwischen den beiden Social Graphs, also den Beziehungsgeflechten in beiden Diensten. Als Informationsquelle greift der Algorithmus dabei auf die jeweiligen Kontaktlisten der einzelnen Nutzer zurück», erläutert Andreas Poller vom Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt im Gespräch mit 20 Minuten Online. Um den richtigen Namen eines Nutzers auszuspähen, müssen diese natürlich in beiden, dem Hilfs- und dem Opfer-Netzwerk, angemeldet sein. «Mithilfe auffälliger Übereinstimmungen in den Strukturen beider Beziehungsgeflechte kann die Methode den anonymen Nutzern in Twitter die echten Personen in Flickr zuordnen. Der Algorithmus ersetzt im letzten Schritt die Pseudonyme durch Klartextnamen - die Personen sind damit in Twitter identifiziert», erklärt Poller.

Laut Angaben der Informatiker brauchten sie ausserdem Informationen über einige Dutzend User des zu attackierenden Netzwerkes. Diese könne man sich aber leicht beschaffen - beispielsweise durch Fake-Accounts. Weitere Details wollen sie auf einer Sicherheitskonferenz im Mai vorstellen. Einen kurzen Einblick geben Sie in einem pdf, das auf ihrer Seite zum Download bereit steht.

Narayanan und Shmatikov sagten der BBC, Betreiber von Netzwerken, die anonymisierte Daten beispielsweise an Marktforscher weiter gäben, sollten diese Praxis überdenken. Ausserdem sollte es Nutzern gestattet werden, auch das Herausgeben der kodierten Informationen zu untersagen.

(hst)