Kunden-E-Mail-Adressen bei deutschen Providern leicht erratbar

Dieses Thema im Forum "Netzwelt" wurde erstellt von zwa3hnn, 9. April 2009 .

Schlagworte:
  1. 9. April 2009
    Kunden-E-Mail-Adressen bei deutschen Providern leicht erratbar

    Der Mainzer Unternehmer Tobias Huch, der in der Erotik- und Musikbranche tätig ist und vergangenen Herbst mit dem Hinweis auf einen Datenskandal bei T-Mobile Aufmerksamkeit erregte, hat auf eine Angriffsfläche bei mehreren deutschen Internetprovidern hingewiesen. Nach seinen Angaben sollen sich viele gültige E-Mail-Adressen der Kunden teils im Handumdrehen erraten lassen. Spammer könnten auf diesem Weg im großen Stil an funktionierende Kennungen für die elektronische Post gelangen. Auch für gezielte Phishing-Attacken dürften die Adressen interessant sein, meint Huch. "Das Datenleck sollte umgehend geschlossen werden", zeigte sich auch ein Sprecher des Landesdatenschutzbeauftragten von Rheinland-Pfalz besorgt gegenüber heise online. Die für den Telekommunikationsbereich zuständigen Stellen seien informiert worden.

    Als konkrete Angriffspunkte will Huchs Resisto IT GmbH Hilfeseiten der Zugangs- und E-Mail-Anbieter ausgemacht haben, über die sich ein Kunde beim Vergessen seines Passwortes melden kann. Die dahinter liegenden AJAX-Schnittstellen ermöglichen es Huch zufolge auch, sich bestehende E-Mail-Adressen in kürzester Zeit massenweise bestätigen zu lassen und letztlich weite Teile des Gesamtbestands zu verifizieren. "Derzeit sind bis zu fünf Abfragen pro Sekunde gestattet", erläutert Huch.

    Innerhalb eines Tages könne man durch Probieren mit mehreren parallel arbeitenden Rechnern so die rund 14 Millionen Kennungen von T-Online-Kunden gewinnen. Mit einem einzelnen Rechner habe seine Firma rund 40.000 Adressen innerhalb von 24 Stunden erraten können. Daraufhin habe man den Datenschutzbeauftragten in Mainz informiert. Mit den Kennungen komme man "herrlich durch alle Spamfilter durch".

    Die Telekom ist laut Huch von der Lücke besonders betroffen, weil sie für die Stammadressen alphanumerische Zahlenfolgen mit einem festen Block am Anfang, einer neunstelligen Ziffernfolge in der Mitte und einer gleich bleibenden Endnummer vor dem Domainnamen verwendet. Diesen würden in Folge vom System zusätzliche Kennungen mit Nutzernamen oder Pseudonymen zugeordnet.

    Um den vollständigen möglichen Bereich durchzuforsten, ist man aber auch mit mehreren Systemen noch einige Wochen beschäftigt. Von einem echten Datenleck bei der T-Com kann bei dem beschriebenen Problem also nicht die Rede sein. Immerhin macht es die Telekom Spammern aber unnötig einfach.

    Bei den zur United Internet AG gehörenden Anbietern GMX und Web.de verhalte sich die Sache ähnlich. Da die E-Mail-Adressen dort frei wählbar seien, müsse man einen größeren zeitlichen Aufwand zur Abfrage betreiben. Mit einer "Wörterbuch-Attacke" oder "Brute-Force-Angriffen" würden sich aber auch bei den dort eingesetzten Systemen vorhandene Kennungen herausfinden lassen. Zumindest für professionelle Spam-Versender und Datendiebe seien die Hürden sehr gering. Die betroffenen Provider könnten Spammern die Arbeit erschweren, indem sie etwa für das Auslesen verwendete IP-Adressen schneller sperren oder die Reaktionszeit der Server bei der Datenausgabe verlängern.

    Entsprechende Angriffe mit Wortgeneratoren sind einem Telekom-Sprecher zufolge in der Szene längst bekannt. Es gebe aber keinen Bedarf zu handeln, da der Spamschutz im eigenen Hause funktioniere. Bei den 250 Millionen bei T-Online täglich eingehenden Mails handle es sich zu 90 Prozent um unerwünschte Werbung, die bereits vor dem Erreichen der Postfächer der Kunden ausgesondert werde. Zudem seien die Adresskombinationen der Telekom nicht einfacher abzufragen als die anderer Anbieter. Man gehe daher davon aus, "dass sich hier jemand ins Gespräch bringen will".

    Ein Sprecher von Web.de hielt das geschilderte Szenario zwar "grundsätzlich für möglich". Ein derartiges Vorgehen habe man aber bislang nicht beobachten können. Es sei davon auszugehen, dass Spam-Versender zum Einsammeln von Adressen auf aus ihrer Sicht wesentlich effektivere Methoden wie den Einsatz von Trojanern zurückgreifen würden. Es werde dennoch geprüft, "ob wir weitere Maßnahmen wie beispielsweise eine Frequenz-Messung implementieren, um derartige Brute-Force-Angriffe zu unterbinden".


    quelle: heise online
     
  2. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.