Als Leck gegenüber der Anonymisierung von Emailadressen hat ein findiger Unternehmer entdeckt, dass sich über die Hilfefunktion der Emailanbieter, wenn man etwa das Password vergessen hat, leicht Zugang zu allen Emailadressen schalten läßt. Und zwar läßt die hinter solchen Hilfeseiten installierte AJAX-Schnittstelle zu, dass man einfach willkürlich Emailadressen kreiert und diese dann über die Schnittstelle bestätigen bzw. ablehnen lassen. Bei z.Z. möglichen 5 Anfragen/Sekunde kann man da einen beträchtlichen Datenbestand filtern lassen. Der findige Mann hats ausprobiert und bei T-Online mit einem Rechner innerhalb von 24 Stunden 40.000 Adressen bestätigt bekommen. Die Telekom ist wegen der von ihr vorgegebenen Systematisierung der Emailadressen besonders leicht zu knacken. Die Sprecher der Email-Provider winken allerdings ab, da diese BruteForce-Angriffe bisher nicht nachweisbar seien und die Gefahr durch Trojaner wesentlich höher sei.
Heri
4 KOMMENTARE ZUM Artikel
War das der Unternehmer, der auch gewisse Erfahrungen im Erotik-Bereich hat und vor einigen Wochen die 14 Millionen (oder 17 Millionen) Adressen der telekom hatte?
Brute Force Angriffe sollten sich doch relativ leicht entdecken und blocken lassen, wer gibt schon tausende ungültiger E-Mail Adressen in kurzer Zeit hintereinander ein?
Nicht von Hand, sondern systematisch mit einer größeren Anzahl von Rechnern.