Facebook- und Twitter-User aufgepasst: Was ist der Trick hinter umfrage-faq.com?

#1
Dringende Warnung für Nutzer von sozialen Netzwerken: Die Seite NICHT aufrufen!

Die Seite ist in der Ukraine registriert:

http://toolbar.netcraft.com/site_report?url=umfrage-faq.com

Der vordergründige Zweck ist Bezahlen für Umfragen. Das wird niemals passieren. Wer macht sich die Mühe für diese Tarnung für welchen Zweck?

Ich habe die Seite aufgerufen und mit SmartSniff den Netztraffik aufgezeichnet.

Die Seite baut unbemerkt Verbindungen zu Facebook und Twitter auf.

Wenn User dort aktiv angemeldet sind in anderen Sessions, ist fremder Zugriff auf persönliche Daten möglich.

Ich finde ein eigenes Lesezeichen aus Firefox als Cookie-Inhalt zur Seite umfrage-faq.com. Die Entführung lokal gespeicherter persönlicher Daten erscheint als möglich.

Einige Datenpaket aus meiner SmartSniff-Sitzung nachfolgend:
Code:
 ==================================================
Index             : 6
Protocol          : TCP
Local Address     : 192.168.238.110
Remote Address    : 2.19.63.139
Local Port        : 52092
Remote Port       : 80
Local Host        : i71w7
Remote Host       : 
Service Name      : http
Packets           : 4
Data Size         : 352 Bytes
Total Size        : 904 Bytes
Data Speed        : 0.0 KB/Sec
Capture Time      : 18.03.2012 09:08:37:428
Last Packet Time  : 18.03.2012 09:10:32:440
Local MAC Address : 
Remote MAC Address: 
Local IP Country  : 
Remote IP Country : 
==================================================

GET /en_US/all.js HTTP/1.1
Host: connect.facebook.net
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:11.0) Gecko/20100101 Firefox/11.0
Accept: */*
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive
Referer: http://umfrage-faq.com/
If-None-Match: "d14eeea3469ef4fa3dd92ffeb35463ac"
Code:
 ==================================================
Index             : 7
Protocol          : TCP
Local Address     : 192.168.238.110
Remote Address    : 2.16.97.55
Local Port        : 52093
Remote Port       : 80
Local Host        : i71w7
Remote Host       : 
Service Name      : http
Packets           : 5
Data Size         : 1.662 Bytes
Total Size        : 2.573 Bytes
Data Speed        : 0.0 KB/Sec
Capture Time      : 18.03.2012 09:08:37:449
Last Packet Time  : 18.03.2012 09:10:32:437
Local MAC Address : 
Remote MAC Address: 
Local IP Country  : 
Remote IP Country : 
==================================================

GET /widgets.js HTTP/1.1
Host: platform.twitter.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:11.0) Gecko/20100101 Firefox/11.0
Accept: */*
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive
Referer: http://umfrage-faq.com/
Cookie: guest_id=v1%3A131337994992115099; __utma=43838368.1527938916.1313508410.1321795106.1327021367.6; __utmz=43838368.1327021367.6.5.utmcsr=talwilkenfeld.com|utmccn=(referral)|utmcmd=referral|utmcct=/; pid=v1%3A1321082751770252306293; k=10.35.34.113.1331838874080913
If-Modified-Since: Wed, 14 Mar 2012 19:12:35 GMT
If-None-Match: "c012be0e220d3051fec64a4a9c8d70c3"

GET /widgets/images/t.gif?_=1332058117560&count=horizontal&id=twitter-widget-0&lang=en&original_referer=http%3A%2F%2Fumfrage-faq.com%2F&size=m&text=Umfrage-Faq.com%20-%20Ihre%20Meinung%20ist%20uns%20wichtig!&url=http%3A%2F%2Fumfrage-faq.com%2F&type=share&twttr_referrer=http%3A%2F%2Fumfrage-faq.com%2F&twttr_widget=1&twttr_li=0&twttr_pid=v1%3A1321082751770252306293 HTTP/1.1
Host: platform.twitter.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:11.0) Gecko/20100101 Firefox/11.0
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive
Referer: http://platform.twitter.com/widgets/tweet_button.1331751378.html
Cookie: guest_id=v1%3A131337994992115099; __utma=43838368.1527938916.1313508410.1321795106.1327021367.6; __utmz=43838368.1327021367.6.5.utmcsr=talwilkenfeld.com|utmccn=(referral)|utmcmd=referral|utmcct=/; pid=v1%3A1321082751770252306293; k=10.35.34.113.1331838874080913

Code:
==================================================
Index             : 11
Protocol          : TCP
Local Address     : 192.168.238.110
Remote Address    : 2.16.97.55
Local Port        : 52095
Remote Port       : 80
Local Host        : i71w7
Remote Host       : 
Service Name      : http
Packets           : 4
Data Size         : 731 Bytes
Total Size        : 1.662 Bytes
Data Speed        : 0.0 KB/Sec
Capture Time      : 18.03.2012 09:08:37:780
Last Packet Time  : 18.03.2012 09:10:32:435
Local MAC Address : 
Remote MAC Address: 
Local IP Country  : 
Remote IP Country : 
==================================================

GET /1/urls/count.json?url=http%3A%2F%2Fumfrage-faq.com%2F&callback=twttr.receiveCount HTTP/1.1
Host: cdn.api.twitter.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:11.0) Gecko/20100101 Firefox/11.0
Accept: */*
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive
Referer: http://platform.twitter.com/widgets/tweet_button.1331751378.html
Cookie: guest_id=v1%3A131337994992115099; __utma=43838368.1527938916.1313508410.1321795106.1327021367.6; __utmz=43838368.1327021367.6.5.utmcsr=talwilkenfeld.com|utmccn=(referral)|utmcmd=referral|utmcct=/; pid=v1%3A1321082751770252306293; k=10.35.34.113.1331838874080913
If-Modified-Since: Sun, 18 Mar 2012 06:54:28 GMT
 
C

couchpilot

#4
Hallo,

ich hab vom Interpretieren von Datenpaketen überhaupt keine Ahnung, und vielleicht wäre es ganz gut auch für alle anderen unbedarften Leser mal zu erklären was "ist fremder Zugriff auf persönliche Daten möglich" und "Die Entführung lokal gespeicherter persönlicher Daten erscheint als möglich." nun konkret bedeutet ?

Welche persönlichen Daten sind hiervon konkret betroffen ?

Auch Passwörter von FB und Twitter ect. ?

Oder "nur" Facebook und Twitter Anmeldedaten (Name, Adresse) ?

Und was heißt dann später "Die Entführung lokal gespeicherter persönlicher Daten erscheint als möglich." ? Ist es nun möglich wie im ersten Absatz geschrieben, oder erscheint das nur möglich, oder beziehen sich beide Formulierungen auf verschiedene Situationen (einmal Daten von FB & Twitter, und einmal Cookie Inhalte) ?

Sorry wenn meine Fragen vielleicht blöd erscheinen, aber ich finde das für normal Sterbliche nicht ganz so super erklärt.Wäre schön wenn Ihr da noch mal ins Detail gehen könntet.

Ich wünsch Euch mal ein schönes WE

Andi
 

Reducal

Forenveteran
#5
C

couchpilot

#6
Hi,

ich bezog mich mit meinen Fragen auf den ersten Post von "dvill":

Wenn User dort aktiv angemeldet sind in anderen Sessions, ist fremder Zugriff auf persönliche Daten möglich.

Ich finde ein eigenes Lesezeichen aus Firefox als Cookie-Inhalt zur Seite umfrage-faq.com. Die Entführung lokal gespeicherter persönlicher Daten erscheint als möglich.
...verstehe jetzt die Links zu fremden Seiten nicht ganz.Das wurde doch hier im Forum geschrieben.Dann müßte man doch auch hier von "dvill" nähere Infos bekommen können wie oder was er damit genau meint (siehe meine Fragen im vorherigen Post).
 
Oben