Adresslisten, Datenleck, E Mail Adressen PGP KeyserverDatenleck: Hundertausende E-Mail-Adressen mitsamt Namen auf PGP-Keyserver zugänglich für Spammer » Adresslisten, Datenleck, E Mail Adressen PGP Keyserver » Interview Blog

Datenleck: Hunderttausende E-Mail-Adressen mitsamt Namen des Besitzers kursieren im Internet

Und schon wieder ein Datenleck:
Nach den jüngsten Datenlecks bei SchülerVZ und Postbank erreicht das Interview-Blog heute eine Mitteilung über hunderttausende frei zugänglicher E-Mail-Adresslisten mitsamt Namen des Postfach-Inhabers. Mit Hilfe dieser Listen können Spammer inzwischen  personalisierte Werbe-Mails verschicken , in denen der E-Mail-Empfänger  mit Namen angesprochen wird, so dass sich aus Sicht des Spammers die Chancen deutlich erhöht, dass der Empfänger tatsächlich die Spam-Nachricht liest und vielleicht ein winzig kleiner Teil der Leser die angebotenen Produkte (meist aus dem Pharma-Bereich) sogar bestellt.

Die Quelle dieses Datenlecks sind eine Reihe weltweit verteilter PGP Keyserver: Gut gemeintes Ziel dieser Server ist es die verschlüsselte E-Mail-Kommunikation übers Internet zu erleichtern. Dabei schiesst man allerdings weit übers Ziel hinaus: Denn sämtliche Adressbestände sind ohne Zugriffsschutz frei abrufbar. Das folgende Bild zeigt einen Auszug aus einer solchen Liste:

Die Adresslisten sind inzwischen so stark im Umlauf und in den Foren der Spammer verteilt, dass sie sogar  im Index der Suchmaschine Google gelistet werden wie die folgende Suchanfrage zeigt:
http://www.google.de/search?q=site:pgpkeys.mit.edu:11371/pks/lookup%3F&hl=de


Allein auf dem diesem zentralen PGP Keyserver am renommierten MIT Institut kennt Google ca. 150000 solcher Listen. Jede Liste schwankt zwischen ca. einem Dutzend bis zu mehreren hundert Adress-Datensätzen aus den Jahren 1996 bis 2009, so dass davon auszugehen ist, dass mehrere Millionen E-Mail-Adressen kursieren von denen immerhin noch hunterttausende aktuell sein könnten.

Das heikle an der ganzen Sache: Die Betreiber der PGP-Server sind sich der Problematik voll bewusst - und das seit geraumer Zeit. Beim deutschen PGP Keyserver-Betreiber, dem DFN-CERT, erfährt man unter https://www.dfn-cert.de/informationen/themen/verschluesselung_und_pki/pgp-key-server-faq.html sogar:

“Die in Ihren Schlüsseln enthaltenen Email-Adressen werden mit veröffentlicht, und sind im weltweiten PGP-Keyserver-Verbund von jedermann einsehbar. Es ist nicht auszuschließen, dass die PGP-Schlüssel und die enthaltenen Benutzer-IDs von Email-Adress-Sammlern z.B. für Spamzwecke mißbraucht werden.”

Und auch das MIT bestätigt diesen Verdacht unter http://pgp.mit.edu/faq.html :
“Yes, there have been reports of spammers harvesting addresses from PGP keyservers. Unfortunately, there is not much that either we or you can do about this. Our best suggestion is you take advantage of any spam filtering technology offered by your ISP.”

Der Datenzugriff für die Spammer lässt sich demnach gar nicht so ohne weiteres stoppen, ohne das gesamte System der PGP-Server auszuhebeln: Gerade die Internet-User, die auf Sicherheit bedacht sind, und mit verschlüsselten E-Mails kommunizieren wollen, geraten so in eine von der Systemarchitektur unsichere Anwendung, die jedermann die Einsicht in Adresslisten gestattet.

Im Selbstversuch hat sich schnell rausgestellt, dass das Datenleck aktiv genutzt wird: Eine vor ca. einer Woche frisch angelegte E-Mail-Adresse mit einer 10 Buchstaben langen Zufallszeichenfolge wurde bei einem PGP-Keyserver bekanntgegeben und schon am Folgetag traf die erste Spam-Mail ein, in den nächsten Tagen täglich bis zu fünf weitere Mails, die uns allerlei Pillen und Hilfsmittel bei eingeschränkten Körperfunktionen ans Herz legten.

Stichworte:

Kommentar / Antwort verfassen



<

Google


Add to Technorati Favorites

» Datenleck: Hunderttausende E-Mail-Adressen mitsamt Namen des Besitzers kursieren im Internet Adresslisten, Datenleck, E Mail Adressen PGP Keyserver