Seit längerem sind Online-Umfragen in Medien beliebt. Obwohl naturgemäß „nicht repräsentativ“, so wird allgemein angenommen, dass Online-Umfragen die gesellschaftliche Relevanz eines Themas sowie die Resonanzfähigkeit einzelner Meinungen in sozialen Netzwerken zeigen.
Die PIRATEN haben jetzt jedoch eine Sicherheitslücke bei den Online-Umfragen der Sächsischen Zeitung entdeckt. Hier ist es möglich, durch einfaches Abschalten der Cookies [1] unbegrenzt abstimmen zu können. Es ist des Weiteren möglich, den Abstimmungsprozess mit einem einfachen Computerscript zu automatisieren. Als anschauliches Beispiel haben wir den Verlierer der Abstimmung zum Ausbau der Königsbrücker zum Gewinner gemacht.
So sah die Abstimmung vor dem Einsatz unseres Skriptes aus:
Das ist das Ergebnis der Abstimmung nachdem unsere Skripte kurze Zeit liefen:
Hierzu erklärt Knut Michael, Vorsitzender der Piratenpartei Dresden: „Die Allgemeinheit geht davon davon aus, dass die Ergebnisse von Umfragen von echten Menschen ‚geklickt‘ worden sind. Wenn Umfragen in seriösen Tageszeitungen aber mit solch einfachen Mitteln von Computern manipulierbar sind – dann machen wir uns potentiell zum Spielball von Menschen und Gruppen, die uns mit interessensgelenkten Ergebnissen zu manipulieren suchen.“
Die PIRATEN Dresden fordern alle Medien auf, bei Online-Umfragen wenigstens die grundlegendsten Sicherungsmechanismen zu verwenden, damit ein automatisiertes Abstimmen nicht ganz so einfach ist. Eine einfaches Abfragen der E-Mail-Adresse und die Prüfung auf deren Einzigartigkeit würde schon reichen, eine Manipulation dieser Art erheblich zu erschweren. Noch besser: Die Verwendung von sogenannten „CAPTCHAS„. Diese sorgen nicht nur dafür, dass Skripte und einfache Bots effektiv ausgesperrt werden, sondern sind dazu auch datensparsam.
Mit dieser Aktion wollen die PIRATEN Dresden einen Beitrag zur Versachlichung von politischen Debatten und zur allgemeinen Aufklärung der Prozesse im digitalen Zeitalter leisten.
[1] Verifiziert für: Browser Opera und Firefox, Betriebssystem Linux
Wo ist der Unterschied zwischen den beiden Abbildungen?
„Eine einfaches Abfragen der E-Mail-Adresse…“
Tolle Idee. Früher standen die Piraten mal für Datenschutz und -sparsamkeit. Für solche Umfragen gibt es Captchas, da braucht es keine persönlichen Daten.
Die Forderung nach einmaligen e-Mail Adressen halte ich wiederum aus Gründen des Datenschutzes für problematisch – wäre für mich ein Grund so eine Umfrage nicht mitzumachen.
Ich füttere doch nicht werbeüberladene Siten mit Keksen und Fremdskripten mit meinen richtigen e-Mailadressen.
Naja – den Unterschied zwischen den beiden Varianten kann man kaum erkennen ….
Für Komandozeilenliebhaber – hier ein kleines Bash-skript
#!/bin/bash
sleep 3
count=1
while true; do
lynx „http://www.sz-online.de/nachrichten/wer-kriegt-wie-viel-platz-auf-der-koenigsbruecker-3397777.html#Umfrage1“ -cmd_script=lynx.log
lynx „http://www.sz-online.de/nachrichten/wer-kriegt-wie-viel-platz-auf-der-koenigsbruecker-3397777.html#Umfrage1“ -cmd_script=lynx2.log
sleep $(shuf -i2-3 -n1)
echo $count
count=$(( $count + 1 ))
if [ $count == 1000 ]; then exit 0; fi
done
Die Datei lynx.log:
key v
key Down Arrow
key Down Arrow
key Right Arrow
key Down Arrow
key Right Arrow
key Left Arrow
key Right Arrow
key Left Arrow
key Right Arrow
key Left Arrow
key Right Arrow
key Left Arrow
key Right Arrow
key Left Arrow
key Right Arrow
key Left Arrow
key Right Arrow
key Left Arrow
key Right Arrow
key Left Arrow
key Right Arrow
key q
key y
damit kann man zB einen RaspPi beschäftigen …