Dienstag, 7. Februar 2017

1.000.000 E-Mail-Adressen in einer Stunde gesammelt


Aufgabe: Eine Million E-Mail-Adressen sammeln


Eines Abends habe ich mir selbst eine kleine Aufgabe gestellt und wollte beweisen, wie leichtfertig Internetnutzer mit ihren Daten umgehen. Das Ergebnis war teils erwartet, es hat mich aber trotzdem überrascht, wie einfach es ist, massenhaft an Login-Daten zu kommen.

Doch bevor ich die Ergebnisse mitteile, muss ich schreiben. dass dies keine Anleitung sein soll, wie man E-Mail-Adressen sammeln kann, sondern ich will zur Vorsicht aufrufen, die eigenen Daten leichtsinnig zu teilen und womöglich immer das gleiche Passwort einzusetzen.

Meine selbst gestellte Aufgabe ist nicht sehr komplex, klingt aber zunächst nach einer Herausforderung: Eine Million E-Mail-Adressen in einer Stunde sammeln. Um es kurz zu machen: Die Sammelaktion war erfolgreich und ich konnte nach exakt 60 Minuten 1.005.976 E-Mail-Adressen aufweisen. Dabei habe ich keine Crawler oder sonstige Suchprogramme eingesetzt, sondern lediglich per Hand die Google-Suche bedient.

Doch in den gefundenen Ergebnissen waren nicht nur E-Mail-Adressen enthalten, knapp die Hälfte davon war sogar mit einem unverschlüsselten Passwort notiert, sodass ich rein theoretisch Zugriff auf 500.000 E-Mail-Konten gehabt hätte. Knapp 300.000 Datensätze waren sogar mit Wohnort, Telefonnummer und Berufsbezeichnung versehen. Davon die Hälfte besaßen sogar Zahlungsinformationen, die für Online-Shops eingesetzt wurden. Nochmals zur Verdeutlichung: Das lieferte mir die Google-Suche!

An dieser Stelle muss ich anmerken, dass ich ein kleines Programm zur Hilfe genommen habe, das mir die E-Mail-Adressen aus allen anderen Daten herausgefiltert hat. Es liegt mir also kein Bezug mehr zwischen den Adressen, Passwörtern, Zahlungsinformationen und den E-Mail-Konten vor. Die Daten habe ich inzwischen wieder gelöscht, damit diese nicht in die falschen Hände geraten können.

Denn: Die rechtliche Situation ist da sehr verschärft. Unaufgefordert Werbung oder sonstigen Spam per E-Mail an Personen zu schicken, kann schwere Konsequenzen nach sich ziehen. Dass Spam lästig ist, ist nur das geringere Übel. Es können schnell Forderungen geltend gemacht werden, weil gegen Datenschutzbestimmungen verstoßen wurde. Falls mit dem Spam-Versand ein kommerzielles Ziel verfolgt wurde, sind die Strafen nochmals höher. Es gilt also äußerste Vorsicht bei der Nutzung von Massendaten.

Herkunft der Daten


Doch woher stammen die Datensätze? Das kann doch nicht so einfach sein, massenhaft Informationen zu finden? Doch, das ist es leider. Es war sehr erschreckend, wie teilweise auch sehr bekannte Webpages mit ihren Kundendaten umgehen. Dabei gehörte es schon zu den kleineren Delikten, dass oft die Empfänger von Newslettern im Klartext in Textdateien sichtbar waren. Diese Dateien sind von Google indiziert, also kein Problem zu finden.

Auch komplette Bestellvorgänge einzelner Nutzer inklusive deren Daten waren in einigen Onlineshops zu finden, oft als direkter SQL-Auszug aus der internen Datenbank des Webservers. Meist betraf diese Sicherheitslücke kleinere Shops, aber auch größere Anbieter haben da massive Lücken. Bei einzelnen Online-Shops waren zu den Bestellungen sogar die Anmeldedaten mit angegeben, inklusive des Passwortes - im Klartext!

Viele Online-Foren gehen ebenfalls nicht gerade sensibel mit den Kundendaten um. Auch da war es möglich, Textdateien abzugreifen, die alle oder einen Großteil der angemeldeten Nutzer enthielten. Vorsicht gilt auch bei der Anmeldung bei Online-Games. Auch da ist es ein leichtes Spiel, an die Daten zu kommen. Wohlgemerkt sind auch hier bekannte Anbieter kein Garant für Datensicherheit.
Weiterhin waren auch große Adress- und Datensammlungen von Universitäten und Hochschulen über E-Mail-Verteiler zu finden, außerdem auch Adresssammlungen bekannter Persönlichkeiten.

Selbst große und namhafte Firmen gehören zu den Opfern, deren Daten ohne Probleme abgegriffen werden konnten. Wie das? Einfach indem komplette Mitarbeiter-Verzeichnisse von dem Unternehmen selbst online gestellt wurden ohne zu prüfen, ob es sich um das interne Netzwerk handelt oder auch von außen einsehbar ist. Es war daher ein Leichtes, den kompletten E-Mail-Stamm der Firmen zu kopieren, inklusive kompletter E-Mail-Gesprächsverläufe.

Doch um dem Ganzen noch den Todesstoß zu verpassen, habe ich mir die Krone und das Beste bis zum Schluss aufgehoben. Alle(!) Politiker des deutschen Bundestages sowie alle(!) Abgeordneten der Länder sind mit deren beruflichen sowie teils privaten E-Mail-Adressen als Sammlung in diversen Foren und Usergruppen zu finden. Eine genauere Recherche brachte sogar komplette E-Mail-Verläufe ans Tageslicht, wie innerhalb der Politiker-Kollegen miteinander geschrieben wurde. Eine Fundgrube für die gierige Presse!

Hier muss ich nochmal darauf hinweisen, dass ich mich an keiner Stelle in irgend einer Form strafbar gemacht habe. Es fand keine Speicherung sensibler Daten statt und alle Daten waren frei zugänglich. Für die Suche wurden keine externen Hilfsmittel eingesetzt, mögliche Referenzen zu sensiblen Seiten wurden gelöscht.

Mögliche Nutzung der Daten


Doch wofür könnten die gesammelten Daten genutzt werden? Das kommt auf die Art der Daten an. Selbst die reine E-Mail-Adresse ohne zusätzliche Daten wie Passwort oder Wohnadresse ist schon reines Geld wert, wenn auch erst in einer größeren Menge. E-Mail-Adressen werden von den Sammlern gebündelt verkauft, sei es in 1.000er, 10.000er oder sogar 100.000er-Paketen. Fortgeschrittene Hacker (ich nenne sie nun einfach mal Hacker, auch wenn in meinem Fall kein Hacker-Merkmal festzustellen war) prüfen die E-Mails zur Wertsteigerung auf Gültigkeit und vergeben dann beim Verkauf eine Garantie, dass die E-Mail-Adresse noch im Einsatz ist. Auch dafür gibt es Programme, die auf die Adresse eine Art Ping senden und eine Antwort bekommen, falls die Adresse aktiv ist. Diese Prüfung habe ich bei meinem Datensatz nicht durchgeführt, ich gehe davon aus, dass die Hälfte der von mir gefundenen Adressen noch aktiv ist.

Zu den Käufern gehören Unternehmen, die solche E-Mail-Bündel zu Marketing-Zwecken einsetzen. Oft sind die Bündel auch nach Interessen der Adressen-Besitzer geordnet, wenn die Information vorlag. Es werden dann schlicht und einfach Massen-E-Mails zu Werbezwecken versendet.
Allerdings können auch weniger seriöse Parteien die Sammlungen erwerben und versenden nicht nur Spam, sondern auch Phishing-E-Mails, Viren und Trojaner. Diese sollen dann in den Besitz von Kontoinformationen und Login-Daten gelangen.

Doch wozu können Login-Daten eines E-Mail-Kontos genutzt werden? Das war die zweite Art an Datensätzen, die ich abgreifen konnte, E-Mail-Adressen mit zugehörigem Passwort. Besonders einfach wird es Hackern gemacht, wenn das E-Mail-Passwort auch an anderer Stelle eingesetzt wird, beispielsweise beim Online-Banking. Dafür laufen im Hintergrund Programme durch und versuchen, sich mit der E-Mail-Adresse als Benutzerkennung und dem zugehörigen Passwort bei anderen Online-Diensten anzumelden, wie beispielsweise Amazon, eBay, Paypal, Comdirekt, Sparkasse, Efiliale, Postbank oder Bonprix. Also überall, wo man mit Geld zu tun hat oder Bestellungen tätigen kann. Die Branche ist da ganz egal, Betrug ist bei allen diesen Seiten möglich. Erfolgreiche Treffer werden automatisch gesammelt, die dann wieder verkauft werden können. Der neue Datensatz ist nun um ein Vielfaches wertvoller und somit teurer geworden.

Die Nutzung der Daten wird nun detaillierter. Sofern nur die E-Mail-Adresse mit zugehörigem Passwort zur Verfügung steht, werden von diesem Konto aus Massen-E-Mails versendet, um von anderen weitere Daten abzugreifen und die eigene Herkunft zu verschleiern. Das Schlimmste, was den Hackern passieren kann, ist dass das Konto gesperrt wird. Die Nutzung des Adressbuchs des Opfers ist da außerdem sehr vorteilhaft, da bei den Empfängern ein Vertrauensvorteil gegenüber dieser Adresse besteht. Daten werden also umso leichtfertiger ausgehändigt.

Doch sollten weitere Login-Daten erfolgreich erlangt worden sein, kann es für den Besitzer der E-Mail-Adresse teuer und ärgerlich werden. Nun ist es möglich, Bestellungen zu tätigen und gezielt Betrug auszuüben. Sei es über tote Briefkästen oder die Annahme von Paketen als "freundlicher Nachbar", falls zusätzlich auch die Wohnadresse bekannt war. Auch Lastschriften können ohne Probleme erstellt werden, der Geldtransfer geschieht dann über Tageskonten dritter Personen, die davon nichts mitbekommen und deren Konto ebenfalls gekapert wurde. Durch diese "Zwischenstation" ist der Geldtransfer nur noch schwer nachvollziehbar und das Geld ist "sauber". Auch direkte Abbuchungen über ein Online-Konto sind möglich, dafür wird aber Zusatzsoftware benötigt, um die TAN-Abfrage zu umgehen. Mobile-TANs sind hingegen wirkungslos, falls die Mobilfunk-Rufnummer bekannt ist. Es ist ein leichtes Spiel, eine SMS abzufangen, das aber nur als Bemerkung am Rande.

Fazit


Ich könnte ewig so weitermachen. Es gilt auf jeden Fall die Regel: Je mehr Daten ein Angreifer hat, desto höher ist die Gefahr des (erfolgreichen) Missbrauchs. Wenn dann noch Privatadresse, Arbeitgeber, persönliche Vorlieben und fragwürdige Vergangenheit (Erpressungsgefahr) dazukommen, kann sich jeder selber ausmalen, was ein paar einfache Daten bewirken können. Zur Verdeutlichung: Ich habe per Hand und Google-Suche ca. 150.000 Datensätze mit Kontoinformationen gefunden, dazu gehören Name, Bank, IBAN, Loginname, Passwort und sogar getätigte Käufe.

Auch die Klartext-Passworte haben wieder mal bewiesen, wie einfach so manches Passwort gewählt wird. Zu den beliebtesten Zeichensätzen zählen 'Password' und '123456', aber auch sonst werden gerne Worte benutzt, die einem Wörterbuch entnommen werden können. Für ein einfaches Programm leichtes Spiel, das Passwort herauszufinden. Doch immer weniger Hacker nutzen diese Methode, da die Passwörter an anderer Stelle viel einfacher abgegriffen werden können. Dann ist es auch egal, ob das Passwort vier oder vierzig Zeichen besitzt.

Bei der Weitergabe seiner Daten gilt im Internet also äußerste Vorsicht, die Folgen können sehr weit reichen und viel Ärger bedeuten. An ausnahmslos jeder Stelle sollte ein anderes Passwort verwendet werden. Einige Nutzer gehen sogar schon so weit und nutzen für jeden Online-Dienst ein anderes E-Mail-Konto und lassen alle Adressen dann zentral von einem Konto automatisiert abrufen. Doch auch der gesunde Menschenverstand spielt eine große Rolle und man sollte mit offenen Augen durch das Netz surfen. Viel zu oft reicht schon ein Mausklick an der falschen Stelle, um eine Menge Ärger zu verursachen.

Mit offenen Augen surfen, ein gesunder Menschenverstand und unterschiedliche Passwörter sind wirkungsvolle und einfache Tipps, um Ärger aus dem Weg zu gehen. Technisch aufwändigere Lösungen wie Whitelisting, DHCP- und MAC-Filter sollen an dieser Stelle nicht behandelt werden, tragen aber zusätzlich zu erhöhter Sicherheit bei. Dieser Artikel soll wachrütteln, was allein schon mit einer einfachen E-Mail-Adresse gemacht werden kann - und ich habe über eine Million davon gefunden! Also: Aufpassen!

Über den Autor


Stephan Klimmeck ist seit seinen Kindheitstagen im World Wide Web unterwegs. Er verfolgt bereits seit der Geburtsstunde von Google den Aufstieg und die Entwicklung der Suchmaschine und setzte sich während seines vierjährigen Informatikstudiums auch mit den Suchalgorithmen auseinander. Nach seinem Studium fasste Klimmeck als Softwareentwickler in der Sicherheitsbranche Fuß, aktuell ist er als Entwickler und Agiler Coach bei einem weltweit agierenden Konzern für Personalabrechnung tätig.

Update 1: Inzwischen hat es mein Bericht auch in die Zeitung Rotenburger Rundschau geschafft!


Update 2: Nun ist mein Bericht über die Gefahr von leichtfertigem Umgang mit Daten und trügerischem Vertrauen in Online-Dienstleister auch auf www.rotenburger-rundschau.de zu lesen!

https://www.rotenburger-rundschau.de/lokales/landkreis-verden/oyten/software-entwickler-schlaegt-alarm-zugriff-auf-500-000-e-mail-konten-in-nur-einer-stunde-von-stephan-klimmeck-119042.html

Update 3: Ein neuer Sicherheitsleck ist aufgetreten und es wurde im Darknet eine Datenbank mit über 500 Millionen Datensätze (E-Mail-Adressen mit Passwörtern und Adressdaten) entdeckt. Auf dieser Seite kann geprüft werden, ob man betroffen ist:

HPI Identity Leak Checker

Keine Kommentare:

Kommentar posten