Es ist unglaublich, aber eigentlich traurig, wie viele große Newsportale diesem neuen „Skandal“ hinterherrennen: „Datenleck bei T-Com – Bis zu 14 Millionen Kunden betroffen“, „E-Mail-Dienstleister: Adressverzeichnisse nicht ausreichend geschützt“, „Schwachstelle auf Webseiten erlaubt Diebstahl von Kundendaten – E-Mail-Dienste: IT-Firma deckt Sicherheitslücke auf“ Doch was ist wirklich los?
Der in der Erotik- und Musikbranche tätige Mainzer Unternehmer Tobias Huch, bekannt durch seinen Hinweis auf ein Datenleck bei der Telekom letzten Herbst, hat wieder einmal eine Fährte gewittert. Huchs IT-Unternehmen hätten angeblich ein neues Datenleck gefunden, welch Telekom-Datenskandal. Aber auch andere Anbieter sollen davon betroffen sein. Dem Sicherheitsteam sei es nämlich gelungen eine Liste der Haupt-E-Mail-Adressen der Telekomkunden auszulesen und auch Spammer könnten im Besitz einer vollständigen Liste sein.
Wie haben sie das gemacht? Nun ganz einfach, man probiert schlichtweg alle möglichen Zeichenkombinationen (Brute-Force-Methode) vor dem Domainnamen (@t-online.de, @gmx.de/.net/.com/.org …) aus. Bei der Telekom sei das ganze besonders einfach, weil dort die Haupt-E-Mail durch die Zugangsnummer, einer neunstelligen Kennung besteht und man lediglich die Nummern hochzählen muss. Alle nicht alphanumerische Adressen seinen nur Aliase, die letztendlich wieder auf die Hauptadressen zeigen würden. So ließen sich dann in kürzester Zeit vergebene E-Mail-Adressen herausfinden und könnte so Werbung oder Phishing-Attacken direkt an gültige Adressen senden. Zur Verifizierung soll hierbei die typischen Hilfeseiten zum Zusenden eines neuen Passwortes („Passwort vergessen“) dienen.
Die ganze Meldung ist einfach nur lächerlich. Diese Möglichkeit gab es schon immer. Es ist ja auch gewünscht, dass man beispielsweise beim Registrierungsvorgang über die Verfügbarkeit der gewünschten Adresse informiert wird, oder? Genauso dass man beim Versenden an eine nicht existierenden E-Mail-Adresse eine Nachricht in Form einer „failure notice“ bekommt. Ist das eine Sicherheitslücke? Nein. Nur beim fehlerhaften Anmelden wird man nicht darauf hingewiesen, worin nun der Fehler in der Kombination Benutzer und Passwort liegt.
Nicht nur hier darf man sich von der unglaublichen Intelligenz Huchs überzeugen. Auch wenn man die Pressemitteilung liest, merkt man schnell, was für ein Schwachsinn das ganze ist:
„Bei GMX und Web.de bräuchten wir mit Sicherheit ein paar Tage oder Wochen länger, um einen großen und wertvollen Datenbestand zusammen zu haben, aber wir haben genügend Rechnerpower und eine 1000 MBit/s-Anbindung im Unternehmen, was für eine solche Unternehmung ausreichen dürfte. Professionelle Datendiebe und Spam-Versender haben nach unserem Stand der Erkenntnis sogar noch weit größere Ressourcen, um solch eine Lücke auszunutzen“, so Huch.
Es fällt natürlich kein bisschen auf, wenn man einfach mal mehrere Millionen E-Mail-Adressen innerhalb kürzester Zeit (mit 1000 MBit/s) abfragt. Da mag vielleicht noch so ein großes, dezentral Botnetz benützen, die anfallenden Datenmengen sind einfach nicht zu verschleiern. GMX beispielsweise verfolgt schon seit langem größere Anfragen, die durch Scripte verursacht werden.
Mal abgesehen davon, dass es bei den heutigen Ausmaßen den Spammern fast schon egal ist, ob sie erst eine Liste mit gültigen Adressen anlegen bzw. kaufen oder gleich an alle möglichen Adressen senden. Letztendlich zählt ja, wer auf die unerwünschten reagiert und dafür gibt es bestimmt schon seit Jahren entsprechende Listen.
Insgesamt wirkt Herr Huch wie ein Schuljunge, der gerade herausgefunden hat, dass man einfach jede erdenkliche Telefonnummer ausprobieren kann um herauszufinden, ob diese bereits vergeben ist und für Anrufe taugt. Heureka!
Ergänzung: Natürlich ist es durch das AJAX-Backend für Spammer unglaublich einfach zu überprüfen, ob eine E-mail-Adresse bereits vergeben ist. Doch kann man auch auf andere Wege, z.B. einfach durch gefälschte Registrierungen die Verfügbarkeit überprüfen. Dies ist doch elementar für jede Registrierung. Es ist eine Sache, die man vielleicht besser vor Scripten schützen soll, doch als kritische Lücke mit einer solchen Medienwirksamkeit würde ich es nicht einstufen.