Googles Phishing-Blacklist enthielt persönliche Daten
Die Blacklist von Google, mit der etwa Firefox 2 Phishing-Seiten erkennt und blockiert, enthielt teilweise noch persönliche Daten von Anwendern.
Die Blacklist von Google, mit der etwa Firefox 2 oder Googles Anti-Phishing-Toolbar Phishing-Seiten erkennen und blockieren, enthielt teilweise noch persönliche Daten von Anwendern. Mit diesen Daten hätten Bösewichte etwa fremde Benutzerkonten bei Internetdiensten missbrauchen können, meldet der Sandbox-Spezialist Finjan. Google hat die Blacklist inzwischen bereinigt.
Das Unternehmen Finjan, an dem unter anderem Cisco und Microsoft Anteile halten, hat dem eigenen Bekunden nach am 3. Januar dieses Jahres die öffentlich zugreifbaren Daten entdeckt und Google darüber informiert, dass sie teilweise noch Nutzerdaten enthielten. Einen Tag zuvor erschien jedoch ein Posting auf der Sicherheitsmailingliste Full Disclosure, in dem die Adressen zum Zugriff auf die Listen erwähnt wurden.
Es handelt sich bei den Datensätzen um von Firefox-2- und Google-Anti-Phishing-Toolbar-Nutzern gemeldete Phishing-Seiten. Tatsächlich scheinen die Listen jetzt keine Zugangsdaten mehr zu enthalten. Einige der Adressen enthalten allerdings noch immer möglicherweise nutzerspezifische Daten.
Firefox-2-Nutzer übertragen die Daten besuchter Webseiten nicht automatisch an Google. Sie müssen dafür die Option erst aktivieren und eine Lizenzvereinbarung abnicken. Microsoft hat in den Internet Explorer 7 ebenfalls einen Phishing-Schutz integriert – auch hier muss der Anwender der Übertragung der Daten erst zustimmen.
Microsoft beteuerte vor der Fertigstellung des Browsers, dass bei der verschlüsselten Übertragung der Informationen der besuchten Webseiten persönliche Daten ausgefiltert würden. Bei einem Test des Internet Explorer 7 von heise Security (siehe auch c't 16/06, S. 160) waren die URLs der Webseiten um Aufrufparameter bereinigt. Allerdings enthält jede Übertragung ein von Microsoft gesetztes Cookie, mit dem ein Benutzer wiedererkennbar wäre.
Siehe dazu auch:
- Google’s Anti-Phishing BlackList Exposed Confidential User Information, Meldung von Finjan
- Blacklist der Phishing-Seiten von Google
(dmk)
