E-Mail-Dienstleister Adressverzeichnisse nicht ausreichend geschützt

Durch einen Trick lassen sich E-Mail-Adressdaten der Telekom automatisch für den Aufbau von E-Mail-Verteilern einsammeln. Vor allem Spam-Versender könnten von dem Verfahren profitieren, für das man nicht einmal Hackertalent braucht. Auch bei den E-Mail-Anbietern GMX und Web.de gibt es Lücken.

Von


Hamburg - Die E-Mail-Datenbanken von Telekom/T-Online, GMX und Web.de lassen sich automatisch auf gültige Adressen prüfen, um Verzeichnisse für den Spam-Versand zu generieren. Besonders unsicher seien dabei vor allem die Adressdatenbanken der Telekom, behauptet die Mainzer Resisto IT GmbH - die Firma von Tobias Huch, der im vergangenen Jahr mit der Aufdeckung des Telekom-Datenskandals Schlagzeilen machte.

Spam-Postflut: Wenn Rechner in E-Mails versinken, handeln Spammer wohl mit der Adresse
Symantec

Spam-Postflut: Wenn Rechner in E-Mails versinken, handeln Spammer wohl mit der Adresse

Der Mainzer Jungunternehmer Tobias Huch ist in mancherlei Hinsicht eine schillernde Figur. Bekannt wurde er einer zunächst kleineren Öffentlichkeit, als er im Alter von 19 Jahren eine Sicherheitslücke auf den Servern des Bundesinnenministeriums offenlegte. Später - Huch arbeitete mit einer Firma für Altersverifikation im Dunstkreis der Web-Porno-Branche - erzwang er durch einen "Scheinprozess" gegen Arcor eine Grundsatzentscheidung darüber, ob und in welchem Maße Zugangsprovider für Web-Inhalte haftbar gemacht werden können.

Spätestens da wurde er für manche eine Art Robin Hood der Web-Welt - ein Ruf, den er im Herbst 2008 mit der Weitergabe von 17 Millionen Kundendaten der Telekom an den SPIEGEL zementierte. Dass ihm deswegen noch immer die Staatsanwaltschaft im Nacken sitzt, ist diesem Ruf nicht abträglich.

Und den will Huch augenscheinlich pflegen. Mit der Resisto IT GmbH inzwischen im Feld der IT-Sicherheit tätig, stochert er weiter nach Schwachstellen im Datenschutz großer Unternehmer - und offenbar gilt hier: Wer suchet, der findet.

Einfacher Missbrauch öffentlicher Schnittstellen

"Durch eine sehr simple Sicherheitslücke" macht die Resisto IT GmbH in einer aktuellen Pressemitteilung bekannt, "ist davon auszugehen, dass die gesamte Liste der Haupt-E-Mail-Adressen der T-Online-Kunden in die Hände von unbefugten Dritten (Spam-Versender und Datenhändler) gelangt ist."

Das ist eine steile Behauptung, für die es erst einmal keine Nachweise gibt - die aber trotzdem durchaus wahrscheinlich ist.

Denn was Huch und seine Mitarbeiter bei Telekom, GMX und Web.de unter die Lupe nahmen, waren die Web-Schnittstellen, über die man E-Mail-Adressen beantragen kann. Die kennt jeder Internet-Nutzer: Man gibt seinen Wunschnamen ein, klickt einmal - und bekommt sofort eine Rückmeldung darüber, ob die Adresse noch zu haben ist. "Genau das", sagt Huch zu SPIEGEL ONLINE, "nutzen wir aus."

Und zwar mit einer Maske, einem kleinen Skript, zu dem uns Huch zwecks Prüfung via Web Zugang gewährt. Besonders leicht fällt die Generierung zahlreicher verifizierter E-Mail-Adressen bei der Telekom. Deren Kunden sind nicht nur über die bekannten, auf Kundennamen basierenden E-Mail-Adressen erreichbar, sondern auch über Mailadressen, die nach dem Muster "T-Online-Kundenkennnummer@t-online.de" konstruiert sind. Weil T-Online noch Adressen aus numerischen Codes erzeugt, braucht man nur ein Skript, das die möglichen Zahlenkombinationen hochzählt, über die Antragsmaske laufen zu lassen, um sich völlig automatisch eine Liste verifizierter Adressen zusammenstellen zu lassen.

Die könnte man beispielsweise als Adresssatz zum Spamversand verkaufen. Uns gelingt es in einem Testlauf, innerhalb von fünf Minuten mehrere hundert potentielle E-Mail-Adressen zu überprüfen. Rund drei bis vier Prozent erweisen sich als echte, im Gebrauch befindliche Adressen. Besonders leicht ist die Verifikation der Telekom-E-Mail-Adressen, weil sie aus simplen Zahlencodes bestehen - eine Steilvorlage für den Missbrauch.

Huch behauptet, auf diese Weise rund 100.000 Telekom-E-Mail-Adressen verifiziert zu haben. Die Probe aufs Exempel machte er, indem er an eine Auswahl dieser Adressen Warnhinweise verschickte - angeblich mit Erfolg.

Kein Hack, aber ein gut erkanntes Sicherheitsleck

Bei GMX und Web.de ist das alles deutlich schwerer, doch auch hier lässt sich die Web-Schnittstelle zur Spam-Versandlisten-Erstellung nutzen. "Das geht über eine Brute-Force-Attacke", erklärt Huch.

Auch das ist plausibel, wenngleich erheblich aufwendiger. Im Brute-Force-Verfahren (engl.: "rohe Gewalt") werden einfach alle denkbaren Kombinationen eines Zeichensatzes in festgelegter Länge in einem Zufallsverfahren generiert und ausprobiert.

Das Verfahren, so Web.de-Sprecher Michael d'Aguiar in einer schriftlichen Replik auf eine Anfrage von SPIEGEL ONLINE, sei "zwar grundsätzlich möglich, ein derartiges Vorgehen konnte in der Vergangenheit in unserem Hause allerdings nicht beobachtet werden". Bei Web.de gehe man davon aus, "dass Spam-Versender aus mehreren Gründen beim 'Adress Harvesting' auf andere, aus deren Sicht wesentlich effektivere Methoden (Trojaner, Adressgenerierung mittels Telefonbuchlisten etc.) zurückgreifen".

Denn anders als Huch hält d'Aguiar die so generierten Listen gerade für nicht besonders gut geeignet für den Spamversand: "Die Qualität einer Liste, die sich über den Registrierungsprozess generiert, weist große Mängel auf. Die Adressen sind nicht allesamt valide, da auch gesperrte, inaktive und nach einer Löschung noch nicht wieder freigegebene Accounts als vermeintlich existierende Mail-Postfächer qualifiziert werden."

Ansonsten setze der E-Mail-Dienstleister auf eine kontinuierliche Beobachtung der Spammer-Szene und ihrer Methoden. Unter anderem betreibe und beobachte das Unternehmen einen Satz von als "Fallen" eingerichteten Adressen, um "Spam-Attacken zu melden". D'Aguiar weiter: "Überdies wird das Registrierungsverhalten von uns beobachtet, um das Anlegen von Spam-Accounts zu verhindern. Hierbei werden verschiedene Regelmäßigkeiten, die darauf schließen lassen, dass die Registrierung per Script erfolgt, gemeldet und verfolgt. Wir sind derzeit in der Prüfung, ob wir weitere Maßnahmen wie beispielsweise eine Frequenz-Messung implementieren, um derartige Brute-Force-Angriffe zu unterbinden."



© SPIEGEL ONLINE 2009
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.