Massiver Leak von 800 Mio. E-Mail-Adressen und persönlichen Daten
von André Westphal | 23 Kommentare
Durch einen Leak bei einem E-Mail-Verfizierungsdienst sind rund 800 Mio. E-Mail-Adressen durchgesickert. Zusätzlich zu den E-Mail-Adressen an sich sind auch noch weitere private Daten Bestandteil des Leaks. Etwa liegen zu einigen Nutzern neben der E-Mail-Adresse auch noch Angaben zum Geschlecht, Wohnort und teilweise auch Telefonnummern vor.
Es handelt sich dabei um einen neuen Leak, also nicht etwa eine Datenbank, bei der bereits durchgesickerte Informationen zusammengepackt worden wären. Die geballten Angaben stammen von einem Unternehmen namens Verifications.io, dessen Dienstleistungen bereits per se etwas kontrovers sind. Laut eigenen Angaben biete man „Enterprise Email Validation“ an. Im Wesentlich verifiziert man aber für Kunden die Echtheit von erhaltenen E-Mail-Adressen. Das funktioniert, indem man einfach Mails an die jeweiligen Adressen schickt – Spam möchte man fast sagen.
Geht die E-Mail durch, gilt die Adresse als verifiziert. Klappt es nicht, hakt man die jeweilige Adresse als unnütz ab. Auch wenn man das Geschäftsmodell von Verifications.io sicher kritisieren kann, so hat der Sicherheitsforscher, welcher auf das Datenleck gestoßen ist, das Unternehmen im Sinne der Betroffenen informiert. Deswegen hat man die Lücke dort mittlerweile geschlossen. Offenbar zur Schadensbegrenzung gab man aber an, dass die Informationen ohnehin öffentlich gewesen seien – etwas merkwürdige Strategie.
Das Ergebnis ist jedenfalls, dass private Informationen zu 800 Mio. E-Mail-Konten nun im Netz kursieren – und den Konten teilweise auch zusätzliche Angaben zugeordnet werden können. Das reicht eben, wie eingangs angedeutet, vom Geschlecht über die Postleitzahl bis teilweise auch hin zu den echten Namen der Personen. Keine schöne Sache, die zeigt, dass man auf seine Daten mittlerweile wirklich achten muss.
Wird geladen ...
„…die zeigt, dass man auf seine Daten mittlerweile wirklich achten muss.“
wie soll das gehen, wenn ein Anbieter unbekannterweise diese Dienstleistung nutzt?
Der Autor hat nur husch husch den Wired-Artikel übersetzt, da blieb leider keine Zeit mehr für die Nennung korrekter Zahlen und eine inhaltliche Auseinandersetzung mit dem Thema. 🙂
Wired hab ich gar nicht gelesen, sondern die Originalquelle ;-).
Ein wenig kann man sich durchaus vor sowas schützen, denn irgendwoher müssen die ja erstmal die E-Mail-Adresse bekommen, um sie zu prüfen. Schützen kann man sich also durchaus mit den üblichen Methoden: Etwa seine private / berufliche E-Mail möglichst nur da anzugeben wo notwendig, keine Gewinnspiele mitzumachen oder dafür eine gesonderte Wegwerf-Mail zu nutzen, nicht jeden Newsletter zu abonnieren, seine E-Mail möglichst nicht öffentlich zu nennen, etc. Das senkt die Wahrscheinlichkeit dann insgesamt sehr, dass die E-Mail eben überhaupt erst bei einem derartigen Dienst vorliegt.
In der Quelle ist die Rede von fast 800 Millionen!
Jup. 800.000.000 werden genannt… Kann man den Leak sich irgendwo angucken bzw. wurde das Ganze in HaveIbeenpwned schon eingepflegt?
Laut Troy Hunt, Betreiber von HIBP, sind die Daten ab morgen dort abrufbar. Quelle: Sein Twitter Account
Danke dir für die Info! 🙂
Ich habe gestern eine Mail von HIBP bekommen, eine meiner Adressen ist betroffen. Die Daten sind also jetzt drin
Jupp, das war leider ein Fehler meinerseits! Ist korrigiert!
Was soll das denn bedeuten, daß man auf seine „Daten“ wirklich achten muß??
Ich habe es doch überhaupt nicht in der Hand, was ein x-beliebiger Email-Adressat mit meiner Email macht. Woher soll ich z.B. wissen, daß der solche Verifications machen läßt? Woher soll ich wissen, wie der mit meinen Daten umgeht? Wenn ich irgendwo z.B. was bestelle, dann muß man halt leider damit rechnen, daß die Hauptinfos, die ich dazu übermittele wie z.B. der Liefername und die Lieferadresse irgendwann auch in solch einer Internet-Datenbank auftaucht.
Natürlich hast du recht, dass man nie umfassend Kontrolle über die eigenen Daten hat, da man die Sicherheitsmaßnamen beim Anbieter nicht kennt.
Auf die Daten achtgeben heißt z.B., dass man nur wirklich sehr vertrauenswürdigen Diensten wichtige Mailadressen gibt. Für alles andere hat man Neben- oder Wegwerfadressen. Je verdächtiger die Gegenseite, desto wertloser die Mailadresse die man raus gibt. Klar: das wird chaotisch. Ich habe inzwischen mindestens 50 Mailadressen.
Aufpassen heißt auch, dass man für wirklich wichtige Dienst exklusive Mailadressen nutzt. Das hat mir z.B. schon geholfen, als vor ein paar Jahren durch ein Leck bei einem Dropbox Mitarbeiter Mailadressen abhanden gekommen sind. Ich wusste sofort, wo das Leck für den plötzlich eintreffenden Spam war und konnte entsprechend handeln (Passwort ändern, Dropbox alarmieren etc).
Ich habe zwar auch schon lange mehrere Adressen (und entsprechende Alias dazu) und einige sind auch schon in den einschlägigen Datenbanken aufgetaucht, zum Teil schon lange Jahre her. Da waren auch erste Adressen drunter, an Adobe z.B. kann ich mich noch unrühmlich erinnern (und an Dropbox auch). Die Frage ist halt, was dieser Tage noch „wirklich vertrauenswürdig“ ist im Netz. Bleibt da eigentlich noch viel übrig. Ist PayPal vertrauenswürdiger als VISA, Magenta Cloud besser als Dropbox? Natürlich verwende ich mittlerweile auch eine Paßwortverwaltungssoftware und ändere zusätzlich wichtige Paßwörter auch ab und zu. Und lasse in die Datenbanken mit den veröffentlichten Accounts regelmäßig reinschauen. Aber ob es wirklich hilft, da noch mehr auf Geheimnistuerei zu machen, wage ich zu bezweifeln.
„Das reicht eben, wie eingangs angedeutet, vom Geschlecht über die Postleitzahl bis teilweise auch hin zu den echten Namen der Personen.“
Nicht besonders erschreckend, wenn die Adresse sowieso vorname.nachname@abc.de lautet
Oh, wow! Andere Menschen können sehen, daß ich eine Mail-Adresse habe, einen Namen trage und ein Mann bin. Voll gefährlich!
Emailrecords’ was structured to include zip / phone / address / gender / email / user IP / DOB
Schön für dich wenn dir es egal ist wenn deine Daten veröffentlicht werden. Dann kannst du sie doch auch selbst direkt hier veröffentlichen
Ja, jetzt kombiniert man das ganze noch mit den letzten beiden dicken Passwort-Leaks und schwupps hat man die Grundlage für täuschend echte Phishing-Mails oder Fake-Bestellungen ect.
Man merkt wieder wie sensibel die Leute sind… Oder Ü-50? Dann würds mich eh nicht wundern.
He, mal langsam 😉
Ich bin auch Ü50 und habe eher die Erfahrung gemacht, das U50 leichtsinnig mit Daten umgeht bzw. sich oft gar nicht mehr für Datenschutz interessiert („das ist so 90er“) 🙂
In meinem Umfeld sind die meisten sehr Datensensibel – die Ü50 Theorie finde ich aus meiner Erfahrung nicht zutreffen.
Bitte ändert doch den Text ab… es wurde ja schon mehrfach gesagt dass es nicht 800.000 Datensätze sind, sondern 800.000.000, was ja nun ein nicht geringfügiger Unterschied ist. Und in der von euch verlinkten Seite wird auch klar von „800 million“ gesprochen, also wenn der Autor dieses Artikels hier den verlinkten Text gelesen hätte, wäre der Patzer nicht passiert 😉
Sorry, aber die Qualität hier im Blog sinkt wirklich rapide… schade!
Und vielleicht fügt ihr das nächste Mal bei so einer Meldung auch den Hinweis bei, wie man herausfinden kann ob die eigenen Daten vom Leak betroffen sind.
https://haveibeenpwned.com/
Ist halt schon wieder Freitag 😉
Dort sind die Daten meines Wissens noch gar nicht eingepflegt und auch nicht genannt, deswegen wäre der Hinweis doch etwas irreführend dort danach zu suchen.
@André
Naja mit dem Hinweis, dass die geleakten Daten (laut Troy Hunt’s Twitter) dort ab vermutlich morgen abrufbar sein werden nicht mehr ganz so irreführend 🙂
Quelle: https://twitter.com/troyhunt/status/1103806257943592961
Na ja: Der Artikel wurde hier um 12.45 Uhr veröffentlicht. Im Ursprungs-tweet von Troy Hunt wurde nur von einem „Hinweis auf einen Vorfall“ gesprochen. Dass er die Daten in seine Datenbank übernimmt hat er erst 20 min NACH deinem Post geschrieben (15.54 Uhr)…
Man kann es auch übertreiben mit der Meckerei. Sicherlich hat André den ganzen Tag nix anderes zu tun, als seine Artikel zu aktualisieren für all die, die nicht selbst recherchieren wollen.
Ich erinnere mich, dass Google dasselbe mit Google Mail passiert ist. Stattdessen würde ich seriösen Leuten vertrauen, ich fand vor kurzem, dass diese Firma jemand von ihnen hörte – https://www.mailcheck.co/