Abo
  • Services:
Anzeige
Informationen über New Yorker Taxifahrer wurden durch einen Fehler öffentlich.
Informationen über New Yorker Taxifahrer wurden durch einen Fehler öffentlich. (Bild: Henning 48 / Wikimedia Commons, CC by-sa)

Hashfunktionen: Datenbank über New Yorker Taxis deanonymisiert

Behörden in New York haben auf Anfrage eine riesige Datenbank mit Informationen über Taxirouten veröffentlicht. Wegen eines Fehlers lassen sich die Nummernschilder und mit deren Hilfe auch die Namen der Taxifahrer herausfinden. Der Grund ist die fehlerhafte Verwendung einer Hashfunktion.

Anzeige

Eine Datenbank über die Routen von Taxis in New York wurde offenbar fehlerhaft anonymisiert. Mit einigen Tricks ist es gelungen, sämtliche Datensätze den entsprechenden Nummernschildern und Zulassungslizenzen der einzelnen Taxifahrer zuzuordnen. Denn die Behörden hatten eine Hashfunktion nicht korrekt angewendet.

Der Blogger Chris Whong wollte Daten über Taxifahrten in New York auswerten und hatte bei den zuständigen Behörden eine Anfrage nach dem Freedom of Information Act gestellt. Der Freedom of Information Act ist das US-amerikanische Informationsfreiheitsgesetz, das es Bürgern in vielen Fällen erlaubt, US-Behörden zur Herausgabe von Daten zu zwingen. Whong erhielt daraufhin eine 20 GByte große Datei im CSV-Format, die Details zu etwa 170 Millionen Taxifahrten beinhaltete.

Hashes aus MD5-Summen

Neben Datum, Uhrzeit und den GPS-Koordinaten von Start und Ziel einer Taxifahrt befanden sich in jedem Datensatz auch zwei offenbar anonymisierte Werte für das Nummernschild und die Lizenznummer. Dabei handelte es sich jeweils um eine 32-stellige Hexadezimalzahl. In einem Kommentar auf Reddit wies ein Nutzer darauf hin, dass offenbar ein bestimmter Taxifahrer auffällig viele Fahrten hinter sich hätte. Dem Programmierer Vijay Pandurangan fiel auf, dass es sich bei dem Wert "CFCD208495D565EF66E7DFF9F98764DA" allerdings lediglich um den MD5-Hash-Wert der Zahl 0 handelte. Damit war klar, dass offenbar MD5-Hashes zur Anonymisierung der Nummernschilder und Lizenznummern verwendet wurden.

Eine Hashfunktion wie MD5 weist jedem beliebigen Eingabewert einen festen Ausgabewert einer bestimmten Länge zu, bei MD5 sind dies 128 Bit. Eine wichtige Eigenschaft von Hashfunktionen ist, dass es sich um Einwegfunktionen handelt: Es soll mit realistischem Rechenaufwand unmöglich sein, aus einem Hashwert Rückschlüsse auf den Eingabewert zu ziehen. Dies gilt allerdings nur dann, wenn ein Angreifer keine Informationen über den Eingabewert hat.

Zurückrechnen möglich

Die Nummernschilder von New Yorker Taxis sind alle nach einem bestimmten Schema gestaltet, insgesamt gibt es lediglich zwei Millionen Varianten. Auf einem handelsüblichen Computer lassen sich diese Varianten innerhalb von Sekunden durchrechnen. Damit ist eine Deanonymisierung der Daten möglich. Ähnlich verhält es sich mit den Lizenznummern der Taxifahrer: Hier gibt es 22 Millionen verschiedene Varianten, auch die lassen sich innerhalb von Minuten alle berechnen. Die Zuordnung der Nummernschilder und Taxilizenznummern zu den Namen der einzelnen Taxifahrer ist mit Hilfe anderer Daten, die öffentlich im Internet verfügbar sind, ebenfalls möglich.

MD5 gilt aus heutiger Sicht als nicht mehr sicher. Allerdings sind die Schwächen von MD5 in diesem Fall nicht das Problem, sondern vielmehr, dass hier eine Hashfunktion völlig falsch verwendet wurde. Selbst eine sichere Hashfunktion wie SHA-2 hätte keine Abhilfe gebracht.

Besser immer mit Salz

Hätte man für die Datensätze einen Salt-Wert verwendet, wäre der Angriff zwar erschwert worden, aber immer noch möglich. Ein Salt-Wert ist ein Zufallswert, der im Hashwert abgespeichert wird. In dem Fall hätte man die Berechnungen für jeden Datensatz einzeln vornehmen müssen.

Eine sinnvolle Möglichkeit zur Anonymisierung der Daten wäre es gewesen, alle Datensätze mit einem geheimen Schlüssel und einem symmetrischen Verschlüsselungsalgorithmus wie AES zu verschlüsseln. Vijay Pandurangan weist in seinem Blogbeitrag allerdings darauf hin, dass selbst dann unter bestimmten Umständen eine Deanonymisierung möglich gewesen wäre.


eye home zur Startseite
JensTautenhahn 29. Jun 2014

Vergesst es. Die Informationen zur Lizenznummer in Wikipedia sind offensichtlich veraltet.

robinx999 27. Jun 2014

Im Prinzip im Text "Der Blogger Chris Whong wollte Daten über Taxifahrten in New York...

katzenpisse 26. Jun 2014

Oder er hat sich nicht lange genug Gedanken darüber gemacht. Auf den ersten Blick...



Anzeige

Stellenmarkt
  1. Garz & Fricke GmbH, Hamburg
  2. YASKAWA Europe GmbH, Eschborn bei Frankfurt am Main
  3. Gries Deco Company GmbH, Niedernberg
  4. PSD Bank Karlsruhe-Neustadt eG, Karlsruhe


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. inklusive Wonder Woman Comic

Folgen Sie uns
       


  1. Gaming-Bildschirme

    Freesync-Displays von Iiyama und Viewsonic

  2. Umfrage

    Frauen in Startups werden häufig sexuell belästigt

  3. Mobile-Games-Auslese

    Ninjas, Pyramiden und epische kleine Kämpfe

  4. APS-C

    Tamron stellt 18-400-mm-Objektiv vor

  5. Dateien

    iOS-Dateimanager erhält Zugriff auf weitere Clouddienste

  6. Lucidcam

    3D-Kamera mit 180-Grad-Sicht kommt in den Handel

  7. Zero-Rating

    StreamOn der Telekom bei 200.000 Kunden

  8. Beta Archive

    Microsoft bestätigt Leck des Windows-10-Quellcodes

  9. Deutschland-Chef der Telekom

    Bis 2018 flächendeckend Vectoring in Nordrhein-Westfalen

  10. Sipgate Satellite

    Deutsche Telekom blockiert mobile Nummer mit beliebiger SIM



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Risk: Kein normaler Mensch
Risk
Kein normaler Mensch

WD Black SSD im Test: Mehr Blau als Schwarz
WD Black SSD im Test
Mehr Blau als Schwarz
  1. NAND-Flash Toshiba legt sich beim Verkauf des Flashspeicher-Fab fest
  2. SSD WD Blue 3D ist sparsamer und kommt mit 2 TByte
  3. Western Digital Mini-SSD in externem Gehäuse schafft 512 MByte pro Sekunde

Oneplus Five im Test: Der Oneplus-Nimbus verblasst - ein bisschen
Oneplus Five im Test
Der Oneplus-Nimbus verblasst - ein bisschen

  1. Re: "Wir müssen winzige Volumentarife machen...

    AllDayPiano | 10:50

  2. Re: Nur für Cloud-Dienste?

    nightmar17 | 10:50

  3. Re: 22-facher Zoomfaktor

    david_rieger | 10:50

  4. Re: Nutzt irgendjemand hier wirklich noch google-mail

    Apfelbrot | 10:49

  5. Re: mit verkauf des kabelnetzes, am eigenen ast...

    nicoledos | 10:49


  1. 10:50

  2. 10:31

  3. 09:00

  4. 07:38

  5. 07:25

  6. 07:16

  7. 14:37

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel