35 miljoen Google-profielen te grabbel

Een Nederlandse universiteitsstudent is er probleemloos in geslaagd om 35 miljoen Google-profielen te indexeren. Een goudmijn voor identiteitsmisbruik.

Matthijs R. Koot omschrijft op zijn blog hoe hij de Google-profielen automatisch kon indexeren. Dit soort profielen is openbaar, maar een goede webdienst onderneemt wel actie om te voorkomen dat spammers of andere geïnteresseerden de lijst automatisch kunnen overnemen.

Geen captcha
Dat is bij Google niet het geval. Koot zegt dat hij in de maand februari 35 miljoen profielen in een SQL-database heeft gezet met behulp van Spidermonkey en zelfgeschreven Javascriptcode. Daarbij werd er niet om een captcha gevraagd en werd zijn automatische indexering niet tegengehouden. Het project is een onderdeel van zijn onderzoek rond anonimiteit en privacy, aan de Universiteit van Amsterdam.

Naar eigen zeggen gaat het om “twittergesprekken, namen, bijnamen, meerdere opleidingen, meerdere werkervaringen en links naar Picasa-fotoalbums.” Bij vijftien miljoen profielen werd ook de gebruikersnaam (en bijgevolg het Gmailadres) van de gebruiker teruggevonden.

Koot schrijft er meteen bij dat zijn project niet de bedoeling heeft om paniek te zaaien. Wel wil hij zo de privacy aankaarten. Omdat de profielen zo makkelijk te indexeren zijn, kunnen criminelen de informatie misbruiken om bijvoorbeeld spam of phishingmails op maat uit te sturen.

Google keurt goed
Wat de zaak nog opmerkelijker maakt, is dat de man in kwestie niets illegaals heeft gedaan. Zo staat er in het robots.txt-bestand, dat een server zegt of een zoekrobot mag indexeren, geen verbod aangegeven. “Strikt gesproken heb ik zelfs het beleid van Google niet geschonden bij het verkrijgen van de profielen”, schrijft Koot op zijn blog.