Abo
  • Services:

Hashfunktionen: Datenbank über New Yorker Taxis deanonymisiert

Behörden in New York haben auf Anfrage eine riesige Datenbank mit Informationen über Taxirouten veröffentlicht. Wegen eines Fehlers lassen sich die Nummernschilder und mit deren Hilfe auch die Namen der Taxifahrer herausfinden. Der Grund ist die fehlerhafte Verwendung einer Hashfunktion.

Artikel veröffentlicht am , Hanno Böck
Informationen über New Yorker Taxifahrer wurden durch einen Fehler öffentlich.
Informationen über New Yorker Taxifahrer wurden durch einen Fehler öffentlich. (Bild: Henning 48 / Wikimedia Commons, CC by-sa)

Eine Datenbank über die Routen von Taxis in New York wurde offenbar fehlerhaft anonymisiert. Mit einigen Tricks ist es gelungen, sämtliche Datensätze den entsprechenden Nummernschildern und Zulassungslizenzen der einzelnen Taxifahrer zuzuordnen. Denn die Behörden hatten eine Hashfunktion nicht korrekt angewendet.

Stellenmarkt
  1. M-net Telekommunikations GmbH, München
  2. McService GmbH, München

Der Blogger Chris Whong wollte Daten über Taxifahrten in New York auswerten und hatte bei den zuständigen Behörden eine Anfrage nach dem Freedom of Information Act gestellt. Der Freedom of Information Act ist das US-amerikanische Informationsfreiheitsgesetz, das es Bürgern in vielen Fällen erlaubt, US-Behörden zur Herausgabe von Daten zu zwingen. Whong erhielt daraufhin eine 20 GByte große Datei im CSV-Format, die Details zu etwa 170 Millionen Taxifahrten beinhaltete.

Hashes aus MD5-Summen

Neben Datum, Uhrzeit und den GPS-Koordinaten von Start und Ziel einer Taxifahrt befanden sich in jedem Datensatz auch zwei offenbar anonymisierte Werte für das Nummernschild und die Lizenznummer. Dabei handelte es sich jeweils um eine 32-stellige Hexadezimalzahl. In einem Kommentar auf Reddit wies ein Nutzer darauf hin, dass offenbar ein bestimmter Taxifahrer auffällig viele Fahrten hinter sich hätte. Dem Programmierer Vijay Pandurangan fiel auf, dass es sich bei dem Wert "CFCD208495D565EF66E7DFF9F98764DA" allerdings lediglich um den MD5-Hash-Wert der Zahl 0 handelte. Damit war klar, dass offenbar MD5-Hashes zur Anonymisierung der Nummernschilder und Lizenznummern verwendet wurden.

Eine Hashfunktion wie MD5 weist jedem beliebigen Eingabewert einen festen Ausgabewert einer bestimmten Länge zu, bei MD5 sind dies 128 Bit. Eine wichtige Eigenschaft von Hashfunktionen ist, dass es sich um Einwegfunktionen handelt: Es soll mit realistischem Rechenaufwand unmöglich sein, aus einem Hashwert Rückschlüsse auf den Eingabewert zu ziehen. Dies gilt allerdings nur dann, wenn ein Angreifer keine Informationen über den Eingabewert hat.

Zurückrechnen möglich

Die Nummernschilder von New Yorker Taxis sind alle nach einem bestimmten Schema gestaltet, insgesamt gibt es lediglich zwei Millionen Varianten. Auf einem handelsüblichen Computer lassen sich diese Varianten innerhalb von Sekunden durchrechnen. Damit ist eine Deanonymisierung der Daten möglich. Ähnlich verhält es sich mit den Lizenznummern der Taxifahrer: Hier gibt es 22 Millionen verschiedene Varianten, auch die lassen sich innerhalb von Minuten alle berechnen. Die Zuordnung der Nummernschilder und Taxilizenznummern zu den Namen der einzelnen Taxifahrer ist mit Hilfe anderer Daten, die öffentlich im Internet verfügbar sind, ebenfalls möglich.

MD5 gilt aus heutiger Sicht als nicht mehr sicher. Allerdings sind die Schwächen von MD5 in diesem Fall nicht das Problem, sondern vielmehr, dass hier eine Hashfunktion völlig falsch verwendet wurde. Selbst eine sichere Hashfunktion wie SHA-2 hätte keine Abhilfe gebracht.

Besser immer mit Salz

Hätte man für die Datensätze einen Salt-Wert verwendet, wäre der Angriff zwar erschwert worden, aber immer noch möglich. Ein Salt-Wert ist ein Zufallswert, der im Hashwert abgespeichert wird. In dem Fall hätte man die Berechnungen für jeden Datensatz einzeln vornehmen müssen.

Eine sinnvolle Möglichkeit zur Anonymisierung der Daten wäre es gewesen, alle Datensätze mit einem geheimen Schlüssel und einem symmetrischen Verschlüsselungsalgorithmus wie AES zu verschlüsseln. Vijay Pandurangan weist in seinem Blogbeitrag allerdings darauf hin, dass selbst dann unter bestimmten Umständen eine Deanonymisierung möglich gewesen wäre.



Anzeige
Spiele-Angebote
  1. 34,99€ (erscheint am 14.02.)
  2. 13,49€
  3. (-20%) 15,99€

JensTautenhahn 29. Jun 2014

Vergesst es. Die Informationen zur Lizenznummer in Wikipedia sind offensichtlich veraltet.

robinx999 27. Jun 2014

Im Prinzip im Text "Der Blogger Chris Whong wollte Daten über Taxifahrten in New York...

katzenpisse 26. Jun 2014

Oder er hat sich nicht lange genug Gedanken darüber gemacht. Auf den ersten Blick...


Folgen Sie uns
       


Azio Retro Classic Tastatur - Test

Die Azio Retro Classic sieht mehr nach Schreibmaschine als nach moderner Tastatur aus. Die von Azio mit Kaihua entwickelten Switches bieten eine angenehme Taktilität, für Vieltipper ist die Tastatur sehr gut geeignet.

Azio Retro Classic Tastatur - Test Video aufrufen
Eden ISS: Raumfahrt-Salat für Antarktis-Bewohner
Eden ISS
Raumfahrt-Salat für Antarktis-Bewohner

Wer in der Antarktis überwintert, träumt irgendwann von frischem Grün. Bei der Station Neumayer III hat das DLR vor einem Jahr ein Gewächshaus in einem Container aufgestellt, in dem ein Forscher Salat und Gemüse angebaut hat. Das Projekt war ein Test für künftige Raumfahrtmissionen. Der verlief erfolgreich, aber nicht reibungslos.
Ein Interview von Werner Pluta

  1. Eden ISS DLR will Gewächshaus-Container am Südpol aus Bremen steuern
  2. Eu-Cropis DLR züchtet Tomaten im Weltall
  3. NGT Cargo Der Güterzug der Zukunft fährt 400 km/h

Elektroauto: Eine Branche vor der Zerreißprobe
Elektroauto
Eine Branche vor der Zerreißprobe

2019 wird ein spannendes Jahr für die Elektromobilität. Politik und Autoindustrie stehen in diesem Jahr vor Entwicklungen, die über die Zukunft bestimmen. Doch noch ist die Richtung unklar.
Eine Analyse von Dirk Kunde

  1. Monowheel Z-One One Die Elektro-Vespa auf einem Rad
  2. 2nd Life Ausgemusterte Bus-Akkus speichern jetzt Solarenergie
  3. Weniger Aufwand Elektroautos sollen in Deutschland 114.000 Jobs kosten

CES 2019: Die Messe der unnützen Gaming-Hardware
CES 2019
Die Messe der unnützen Gaming-Hardware

CES 2019 Wer wollte schon immer dauerhaft auf einem kleinen 17-Zoll-Bildschirm spielen oder ein mehrere Kilogramm schweres Tablet mit sich herumtragen? Niemand! Das ficht die Hersteller aber nicht an - im Gegenteil, sie denken sich immer mehr Obskuritäten aus.
Ein IMHO von Oliver Nickel

  1. Slighter im Hands on Wenn das Feuerzeug smarter als der Raucher ist
  2. Sonos Keine Parallelnutzung von Alexa und Google Assistant geplant
  3. Hypersense-Prototypen ausprobiert Razers Rumpel-Peripherie sorgt für Immersion

    •  /