Forscher entdeckt ungeschützte Datenbank mit über 763 Millionen E-Mail-Adressen
Eine riesige E-Mail-Adresssammlung lag öffentlich zugänglich auf dem Server eines "E-Mail-Verifizierers" – glücklicherweise ohne Passwörter.
(Bild: TheDigitalWay)
Ein Mitarbeiter der Sicherheitsfirma Security Discovery hat auf dem Server eines "E-Mail-Verifizierers" namens verifications.io eine rund 150 GByte große, öffentlich zugängliche MongoDB-Datenbank mit E-Mail-Adressen gefunden. Deren Gesamtzahl (ohne Dopplungen) beläuft sich laut dem Prüfdienst Have I been Pwned auf insgesamt 763.117.241.
Aus dem Blogeintrag von Bob Diachenko, dem Sicherheitsforscher von Security Discovery, geht hervor, dass den E-Mail-Adressen in der Datenbank teilweise auch weitere private Daten zugeordnet waren – darunter Vor- und Nachnamen, Geschlecht, Geburtsdaten, Telefonnummern und Wohnorte. Kreditkarten- oder ähnliche Bezahldaten sollen nicht enthalten gewesen sein. Anders als in früheren Datenlecks enthält dieses wohl auch keine Passwörter oder Passwort-Hashes, mit denen Angreifer die E-Mail-Accounts unmittelbar kompromittieren könnten.
Zweitgrößte E-Mail-Adresssammlung nach Collection #1
Prüfdienstbetreiber Troy Hunt ließ gegenüber der IT-News-Webseite Wired verlauten, dass 35 Prozent der E-Mail-Adressen nicht in früheren an Have I Been Pwned übermittelten Leaks enthalten waren. Im Hinblick auf die Anzahl der E-Mail-Adressen handele es sich um die zweitgrößte Datensammlung, die je zu Have I been Pwned hinzugefügt worden sei. Platz 1 belegt nach wie vor die Collection 1 mit rund 773 Millionen E-Mail-Adressen, denen allerdings auch Passwörter zugeordnet waren.
Laut Wired sagte Hunt, dass das Datenleck auf verifications.io sogar einige seiner eigenen Daten enthalte. Wer überprüfen möchte, ob seine E-Mail-Adresse Teil des Datenlecks ist, kann dies bei Have I Been Pwned tun.
Fragwürdiger Verifizierungs-Service
Im Zuge seiner Entdeckung hat sich Diachenko eingehender mit verifications.io befasst. Im Zuge einer Datenbank-Analyse will er gemeinsam mit einem Kollegen herausgefunden haben, dass der Dienstleister "auf Bestellung" und unter Verwendung von Listen, die er von Kunden erhielt, massenhaft (Spam-)E-Mails verschickte, um die Existenz von E-Mail-Adressen zu validieren.
Verifications.io bewarb diesen Service laut Diachenko als "Enterprise Email Validation". Der Forscher hält allerdings ein anderes Einsatzszenario für plausibler. Kriminelle Hacker, die ein bestimmtes Unternehmen angreifen wollen, könnten verifications.io genutzt haben, um (nicht-)existente Firmen-Mail-Adressen aus einer Liste herauszufiltern, ohne selbst Verdacht zu erregen. Die resultierende Liste mit validen Adressen bilde dann einen besseren Ausgangspunkt für gezielte Phishing-Kampagnen (Spear Phishing) oder Brute-Force-Angriffe.
Nebulöser Firmen-Background
Diachenko setzte verifications.io über das Datenleck in Kenntnis – und erhielt überraschenderweise tatsächlich eine Antwort. Es handele sich bei dem Datenleck nicht um "Kundendaten", sondern um eine "Unternehmensdatenbank" mit Informationen, die ohnehin öffentlich zugänglich seien. Dennoch war die Datenbank noch am selben Tag plötzlich offline – wie mittlerweile die gesamte Website.
(Bild: Internet-Archiv Wayback Machine )
Von Wired auf das Statement des E-Mail-Verifizierers angesprochen, sagte Troy Hunt, er habe nie von der Firma gehört und könne sich mit Bestimmtheit nicht daran erinnern, ihr seine Zustimmung zur Verwendung seiner Daten gegeben zu haben. Der Vorfall sei nur ein weiteres Beispiel dafür, wie jemand an seine Daten und die Hunderter Millionen anderer Personen gekommen sei, und bei dem er absolut keine Ahnung habe, wie dies geschehen sei. (ovw)
