Abo
  • Services:

Find-mich-Maschine

15 Millionen Googlemail-Adressen per Sitemap

Google macht es Spammern besonders leicht, E-Mail-Adressen von Googlemail-Konten zu sammeln. Dank etwa 7.000 Sitemaps à 5.000 Profilen und mit ein bisschen Spidermonkey-Scripting lassen sich rund 15 Millionen Adressen sammeln.

Artikel veröffentlicht am ,
Find-mich-Maschine: 15 Millionen Googlemail-Adressen per Sitemap
(Bild: Google)

Aus Google-Profilen lassen sich in vielen Fällen leicht die E-Mail-Adressen der jeweiligen Googlemail-Nutzer herauslesen. Alles, was ein Neugieriger braucht, ist die Profil-ID des Nutzers. Wie Matthijs R. Koot herausgefunden hat, macht es Google potenziellen Angreifern sehr leicht, an diese heranzukommen. Google hat schon vor Jahren begonnen, eine Sitemap der Profile anzulegen und E-Mail-Adressen damit zu verknüpfen. Auf der Webseite gstatic.com finden sich derzeit 7.103 Sitemaps in Textform. Stichprobenartig haben wir geschaut, ob zwischen der ersten und der 7.103. Sitemap weitere Sitemaps liegen. Eine Lücke konnten wir nicht entdecken.

Stellenmarkt
  1. Governikus GmbH & Co. KG, Bremen
  2. über experteer GmbH, Frankfurt am Main

In jeder Zeile dieser Sitemaps finden sich Texteinträge in der Form https://profiles.google.com/[Profil-ID] - insgesamt 5.000 Stück pro Datei. Zunächst hat also jeder Zugriff auf 35 Millionen Profil-IDs. Diese allein sind noch kein Problem. Werden diese URLs aber aufgerufen, werden bei einem Teil der IDs die Nutzernamen und damit auch die E-Mail-Adressen sichtbar, wie Koot schreibt. Wird also beispielsweise profiles.google.com/12345 eingegeben, wird der Surfer manchmal auf profiles.google.com/ichbineinnutzer/about umgeleitet. Aus ichbineinnutzer ist leicht die E-Mail-Adresse rekonstruierbar.

Damit eine derartige Umleitung funktioniert, muss ein Besitzer eines Google-Profils erst einmal eine Einstellung in seinen Profiloptionen festlegen. Google warnt dabei den Nutzer, dass mit der Einstellung die E-Mail-Adresse auch sichtbar wird.

Tatsächlich wählen zahlreiche Nutzer diese Option. Laut Koot konnte er auf einfache Art und Weise rund 15 Millionen E-Mail-Adressen sammeln, indem er automatisiert die 35 Millionen Profile durchsucht hat. Rund 40 Prozent der Nutzer sind also für Spammer einsammelbar, was wir in Stichproben auch verifizieren konnten. Ob die Nutzer tatsächlich die E-Mail-Adresse benutzen, ist dabei nicht so relevant. Allein die große Anzahl macht die Adressen schon interessant.

Mitunter verraten die Nutzer auch weitere Informationen, wie beispielsweise ihre Position, ihre Meinung oder ihre Picasa-Alben. Koot stört sich in einem weiteren Blogpost vor allem daran, dass es so einfach ist, sämtliche Profile zu indizieren. Es gibt seitens Google keinen Schutz vor dem massenhaften Zugriff auf Profile, so dass er einen Monat lang ungestört sammeln konnte. Er verstößt nicht einmal gegen Regeln, denn Googles Robot.txt erlaubt ein solches Vorgehen, wie Koot schreibt.

Google wurde von Koot informiert. Er sei jetzt neugierig, welche Maßnahmen Google ergreifen wird, die das Auslesen von Nutzerdaten nicht so einfach machen, schreibt Koot. Dass im Web veröffentlichte E-Mail-Adressen von Spammern eingesammelt werden können, sollte allerdings niemanden überraschen.



Anzeige
Top-Angebote
  1. 433,00€ (Bestpreis!)
  2. 481,00€ (Bestpreis!)
  3. 554,00€ (Bestpreis!)
  4. 59,99€ - Release 19.10.

windowsverabsch... 27. Mai 2011

Ihr Google-Jünger seid schon eine ganz besondere Schafherde ;-)

Trollfeeder 27. Mai 2011

Also mit 10Minute Mail gehts meist problemlos, ok man sollte nicht zu lange für die...

Pantoffel 26. Mai 2011

Als ich vor über 3 Jahren mit nem Crawler gespielt habe, is mir das auch schon...

elgooG 26. Mai 2011

Natürlich geht das völlig offensichtlich aus deinem Post hervor. Neben der umfangreichen...

Autor-Free 26. Mai 2011

Da hat sich jemand bei Google sehr beeilen müssen: Man beachte den 404-Title Drei...


Folgen Sie uns
       


Fahrt mit Alstoms Brennstoffzellenzug - Bericht

Wasserstoff statt Diesel: Der Nahverkehrszug der Zukunft soll sauber fahren. Der französische Konzern Alstom hat einen Zug mit einem Brennstoffzellenantrieb entwickelt, der ohne Oberleitung elektrisch fährt. Wir sind eingestiegen.

Fahrt mit Alstoms Brennstoffzellenzug - Bericht Video aufrufen
Highend-PC-Streaming: Man kann sogar die Grafikkarte deaktivieren
Highend-PC-Streaming
Man kann sogar die Grafikkarte deaktivieren

Geforce GTX 1080, 12 GByte RAM und ein Xeon-Prozessor: Ab 30 Euro im Monat bietet ein Startup einen vollwertigen Windows-10-Rechner im Stream. Der Zugriff auf Daten, Anwendungen und Games soll auch unterwegs mit dem Smartphone funktionieren.
Von Peter Steinlechner

  1. Golem.de-Livestream Halbgott oder Despot?
  2. Rundfunk Medienanstalten wollen Bild Livestreaming-Formate untersagen
  3. Illegale Kopien Deutsche Nutzer pfeifen weiter auf das Urheberrecht

Oneplus 6 im Test: Neues Design, gleich starkes Preis-Leistungs-Verhältnis
Oneplus 6 im Test
Neues Design, gleich starkes Preis-Leistungs-Verhältnis

Das Oneplus 6 hat einen schnellen Prozessor, eine Dualkamera und ein großes Display - mit einer Einbuchtung am oberen Rand. Der Preis liegt wieder unter dem der meisten Konkurrenzgeräte. Das macht das Smartphone trotz fehlender Innovationen zu einem der aktuell interessantesten am Markt.
Ein Test von Tobias Költzsch

  1. Android-Smartphone Neues Oneplus 6 kostet ab 520 Euro
  2. Oneplus 6 Oneplus verkauft sein neues Smartphone auch direkt in Berlin

Xbox Adaptive Controller ausprobiert: 19 x Klinke, 1 x Controller, 0 x Probleme
Xbox Adaptive Controller ausprobiert
19 x Klinke, 1 x Controller, 0 x Probleme

Microsoft steigt in den Markt der zugänglichen Geräte ein. Der Xbox Adaptive Controller ermöglicht es Menschen mit temporärer oder dauerhafter Bewegungseinschränkung zu spielen, ohne enorm viel Geld auszugeben. Wir haben es auf dem Microsoft Campus in Redmond ausprobiert.
Von Andreas Sebayang

  1. Firmware Xbox One erhält Option für 120-Hz-Bildfrequenz
  2. AMD Freesync Xbox One erhält variable Bildraten
  3. Xbox One Streamer können Gamepad mit Spieler teilen

    •  /