Über den Schutz persönlicher Daten und wie manche damit umgehen, hatte ich neulich schon in meinem Weblog in einem Beitrag bemängelt. In einem kleinem Experiment konnte ich nun aufzeigen, wie schnell und einfach man bei Mitfahrgelegenheit.de an die Emailadressen der Mitglieder herankommt. Ein kurzerhand von mir durchgeführter Versuchsaufbau hatte mich dann letztlich selbst erschreckt, wie einfach und schnell man dort an die Emailadressen der Mitglieder herankommt.
Angefangen hatte es mit diesem Beitrag. Bereits im Sommer hatte ich die Verantwortlichen der Seite Mitfahrgelegenheit.de auf eine etwas unglücklich programmierte Funktion ihrer Internetseite hingewiesen, welche das Zusenden des Passwortes möglich macht. Die Funktion ist durchaus sinnvoll, jedoch wird jedem, der für einen frei wählbaren Benutzernamen ein Passwort anfordert, die Emailadresse, an welche das Passwort geschickt wurde, angezeigt. Als Antwort erhielt ich damals ein Email, in welchem man sich für das Email von mir mit dem Hinweis bedankte und man sprach davon, den Mangel abzustellen. Wie jedoch neulich geschrieben, hatte sich seit dem scheinbar nichts getan.

Nachdem ich in meinem Weblog darüber berichtet hatte, hat z.B: ein Mitglied von NetBiker.de auch die Leitung von Mitfahrgelegenheit.de angeschrieben und um Stellungnahme wegen des Problems gebeten. Auch das scheint nichts bewirkt zu haben.

Da ich heute ein paar Minuten Zeit hatte, habe ich ein kleines Experiment unternommen. Das erschreckende Ergebnis und den Versuchsaufbau will ich im folgenden Text kurz darstellen. Kurzum als Vorabinformationen: Mit extrem wenig Arbeitseinsatz wäre es wohl möglich gewesen, mehrere zehntausend Emailadressen der MItgliederdatenbanken von MItfahrgelegenheit.de zu extrahieren.

In meinem Weblog-Beitrag neulich schrieb ich davon, man könne automatisiert und sehr einfach alle möglichen Permutationen von a-z, 0-9 etc. versuchen und schauen, was am Ende dabei herauskommen würde. So würde man mit ziemlicher Sicherheit den größten Teil der Mitgliederdaten auslesen können. Bei näherer Betrachtung, wie viele mögliche Benutzernamen das wären (und wie hoch der damit verbundene Traffic alleine schon wäre, ganz abgesehen von der gigantischen Bearbeitungszeit) fällt diese Methode natürlich gleich heraus. Also musste eine andere Methode her. Wenn man sich wo anmeldet, was nimmt man dann als Benutzernamen? Ein Pseudonym? Wenn man keines hat seinen Vornamen? Richtig… Deswegen bin ich auf die Idee gekommen, eine Namensliste gängiger Vornamen aus dem Netz zu laden.

Fündig geworden bin ich auf der Internetseite http://www.vornamen-liste.de/ - dort kann man einfach alle Namen anzeigen lassen, in einen Editor kopieren und dann die Leerzeichen durch Zeilenumbrüche ersetzen. So hat man eine stattliche Liste von etwas über 13.000 Vornamen verfügbar. Es hätte noch umfangreichere, auch frei zugängliche Seiten gegeben, jedoch war diese für die schnelle Generierung einer eigenen Datenbank am besten geeignet, da sich die Vornamen sehr einfach per „Copy and Paste“ übernehmen und weiterverarbeiten liesen.

Nun muss ein Programm her, was automatisiert die Abfragen bei mitfahrgelegenheit.de nach der Emailadresse macht. Hier habe ich die Skriptsprache PHP gewählt. Das Script (nicht einmal 50 Zeilen!) testet für jeden Namen in der langen Liste einzeln, ob es eventuell einen Account mit diesem Namen bei mitfahrgelegenheit.de gibt und wenn ja, dann zählt es den Zähler der Emailadressen, die man hätte sammeln können und die am Bildschirm von MItfahrgelegenheit.de ja auch munter ausgegeben werden, eins hoch.

1. Testlauf: 218 Emailadressen – nicht wirklich viel?

So habe ich dann den ersten Testlauf gestartet. Bei einer Abfrage dieser etwas über 13.000 Namen kamen insgesamt jedoch nur exakt 218 Emailadressen heraus, die man hätte gewinnen können. Keine gute Ausbeute. Dann habe ich mir ein paar weitere Gedanken gemacht.

Wenn ein Name vergeben war, dann war es wohl meist ein Name, den mehrere Mitglieder gleichzeitig ihren eigenen nennen können. Ist ein Name bei der Anmeldung an Communities etc. belegt – was macht man dann oft? Die Jahreszahl oder das Geburtsjahr dahinter schreiben.

Also nicht Peter sondern Peter83 – um ein Beispiel zu nennen. Vielleicht hat man damit ja Erfolg?

2. Testlauf : 930 Emailadressen bis Abbruch

Gesagt getan. Ein kurzes weiteres PHP-Skript geschrieben, welches die vorhandene Namensdatenbank erweitert und zu jedem Namen alle Jahreszahlen von 70 – 89 sowie von 1970 – 1989 anhängt. Ich habe einfach einmal die Zielgruppe der Seite im jüngeren Bereich bis maximal 40 eingeschätzt.

Nach kurzer Zeit hatte ich so 535.681 Versionen der Namen in der Datenbank. Damit kann man sicher arbeiten, dachte ich mir, und hatte das Skript erneut gestartet. Ich war erstaunt, wie schnell der Zähler der Emailadressen nach oben schnellte. Nach einiger Zeit habe ich das Programm jedoch gestoppt. Es hätte einfach den Rahmen gesprengt, aber um verlässliche Werte zu gewinnen ist es auch lange genug gelaufen. Somit haben wir eine in meinen Augen verlässliche Anzahl, um auf die Gesamtheit hochzurechnen.

Ich hatte aufgehört beim Namen „Bernis1986“ – einer von vielen Varianten eines Namens. Also weit vorne, denn wir sind noch beim Buchstaben "B".

Zu diesem Zeitpunkt waren von der neuen, erweiterten Datenbank 22.313 Abfragen gemacht worden. Hätte man das Programm zu Ende laufen lassen, wären noch 513.368 Abfragen übrig geblieben. Technisch gesehen wäre es jedoch kein Problem gewesen, weitere Daten auszulesen. Ich denke nach wenigen Stunden wären alle Ergebnisse am Tisch gelegen. Hätte man den Versuchsaufbau geändert und mehrere Server parallel eingesetzt, hätte man dies um ein vielfaches Beschleunigen können.

Nach den besagten 22.313 Abfragen hatte ich 930 gezählte, von mitfahrgelegenheit ausgegebene Emailadressen vorliegen. 4,16799% aller Abfragen des zweiten Durchlaufs ergaben also eine gültige Emailadresse eines Mitglieds. Schon ein recht hoher Wert, wie ich finde. Wie viele Mitglieder die Internetseite insgesamt genau hat, ist mir nicht bekannt. Rechnet man mit diesem Wert weiter, so wären wir rechnerisch am Ende des zweiten Durchlaufs bei 535.681 Abfragen bei 22.327 Emailadressen. Schon eine gute Adresssammlung, die man sich so herstellen könnte.

Hochgerechnet: ca. 23.000 Emailadressen innerhalb weniger Stunden wären wohl möglich gewesen!

Überlegt man, dass die Emailadressen der Mitglieder „echte“ Emailadressen, teils sogar Firmenadressen sind, die wohl auch häufig abgerufen werden, so hätten viele Spam-Versender an solchen Emailadressen ihre wahre Freude. In Fachkreisen gilt es als unbestritten, dass bestätigte, also gültige Emailadressen ein Vielfaches an Wert als unbestätigte, wahllos herausgegriffene Emailadressen besitzen.

Als Fazit des kleinen Tests kann ich nur sagen, dass ich selbst unterschätzt hatte, was mit so einer einfachen Methode an Daten sich generieren lässt. Ich war erschrocken, wie reihenweise Emailadressen aus der Datenbank „gepurzelt“ sind und kam aus dem Kopfschütteln nicht mehr heraus. Gerade da die Verantwortlichen der Internetseite mehrfach informiert und zumindest von mir vor etlichen Wochen genau auf diese Methode der Datengewinnung hingewiesen wurden und darauf scheinbar in keinster Weise reagiert haben, macht mich schon etwas wütend, dass man scheinbar dem Schutz persönlichster Daten so einen kleinen Stellenwert einräumt.

Wie hätte man richtig reagieren können?

Ich sehe bei den Verantwortlichen der Internetseite mehrere Fehler:

1. Reaktion auf Hinweise zu Sicherheitslücken: Es wurde nicht auf Emails reagiert, welche explizit auf das Problem hingewiesen haben. Der Schutz persönlicher Daten hat bei Mitgliedern einer Community meist einen sehr hohen Stellenwert. Hier gilt es meiner Meinung nach schnell zu reagieren und mögliche Angriffspunkte aus dem Weg zu räumen.
   
2. Absichern der Anforderungsfunktion für verlorene Passwörter: Die Passwort-Anforderungsfunktion hätte grundsätzlich ein anderes Design haben müssen. Über die einfache Eingabe einer URL, welche den Benutzernamen enthält, hatte man Zugang zu der Emailadresse des Benutzers. Alleine die Umstellung auf die Verarbeitung von nur per "POST"-Methode übermittelten Daten hätte zumindest verhindern können, dass unversierte Benutzer in großem Stil Daten hätten gewinnen können.
3. Würde man zudem das Formular z.B. mit einem Schlüssel versehen, der als verstecktes Formularfeld bei der Anforderung mitgeschickt wird und der maximal für eine Abfrage / Anforderung Gültigkeit besitzt, wäre der Versuchsaufbau deutlich erschwert worden. Moderne Content-Management-Systeme und Application-Frameworks besitzen solche Absicherungen.
4. Begrenzung der Abfragen für einen User: Es scheint aktuell keine Begrenzung zu geben, wie oft für einen User das Passwort am Tag zugeschickt werden kann. Bedenkt man alleine, dass sich User durch das „Zuschicken“ belästigt fühlen könnten, wenn das 20 mal am Tag so passiert, ist das nicht gerade benutzerfreundlich und sicher.
5. Absicherung der Abfrage oder des Webservers über massive Abfragen: Es ist leicht möglich, der Software beizubringen, nach z.B. 10 Abfragen eines Passworts einer bestimmten IP-Adresse, keine weiteren Abfragen mehr zuzulassen. Oder nach 1.000 Abfragen am Webserver generell den Service zu blocken. Normale Benutzer legen schließlich ein anderes Verhalten an den Tag.

Ein paar Worte zum Schluss...

Ich hoffe, dass sich nach dieser „Aktion“ die Einstellung der Verantwortlichen dieser Seite ändert und man nun dort oder vielleicht auch auf andren Seiten mehr für das Thema Sicherheit und Datenschutz sensibilisiert wird.

Sollten die Verantwortlichen oder sonst jemand Interesse an Beratung in Bezug auf oben angesprochene Themen haben, stehe ich natürlich gerne zur Verfügung

Man muss bei der ganzen Sache bedenken: Es wurden weder technische Sperren überwunden, Passwörter geknackt oder was auch immer. Alles, was an Daten generiert werden konnte, war absolut frei zugänglich und absolut nicht geschützt..

Mal sehen wie lange es dauert, bis sich da nun was tut... Ich denke ich werde darüber später nochmal berichten.

Update (14.12.2007): Es hat sich etwas getan.. Bitte meinen neueren Artikel zu diesem Thema in meinem Weblog beachten!

Seitenaufrufe: 1686