Abo
  • Services:
Anzeige
Find-mich-Maschine: 15 Millionen Googlemail-Adressen per Sitemap
(Bild: Google)

Find-mich-Maschine

15 Millionen Googlemail-Adressen per Sitemap

Find-mich-Maschine: 15 Millionen Googlemail-Adressen per Sitemap
(Bild: Google)

Google macht es Spammern besonders leicht, E-Mail-Adressen von Googlemail-Konten zu sammeln. Dank etwa 7.000 Sitemaps à 5.000 Profilen und mit ein bisschen Spidermonkey-Scripting lassen sich rund 15 Millionen Adressen sammeln.

Aus Google-Profilen lassen sich in vielen Fällen leicht die E-Mail-Adressen der jeweiligen Googlemail-Nutzer herauslesen. Alles, was ein Neugieriger braucht, ist die Profil-ID des Nutzers. Wie Matthijs R. Koot herausgefunden hat, macht es Google potenziellen Angreifern sehr leicht, an diese heranzukommen. Google hat schon vor Jahren begonnen, eine Sitemap der Profile anzulegen und E-Mail-Adressen damit zu verknüpfen. Auf der Webseite gstatic.com finden sich derzeit 7.103 Sitemaps in Textform. Stichprobenartig haben wir geschaut, ob zwischen der ersten und der 7.103. Sitemap weitere Sitemaps liegen. Eine Lücke konnten wir nicht entdecken.

Anzeige

In jeder Zeile dieser Sitemaps finden sich Texteinträge in der Form https://profiles.google.com/[Profil-ID] - insgesamt 5.000 Stück pro Datei. Zunächst hat also jeder Zugriff auf 35 Millionen Profil-IDs. Diese allein sind noch kein Problem. Werden diese URLs aber aufgerufen, werden bei einem Teil der IDs die Nutzernamen und damit auch die E-Mail-Adressen sichtbar, wie Koot schreibt. Wird also beispielsweise profiles.google.com/12345 eingegeben, wird der Surfer manchmal auf profiles.google.com/ichbineinnutzer/about umgeleitet. Aus ichbineinnutzer ist leicht die E-Mail-Adresse rekonstruierbar.

Damit eine derartige Umleitung funktioniert, muss ein Besitzer eines Google-Profils erst einmal eine Einstellung in seinen Profiloptionen festlegen. Google warnt dabei den Nutzer, dass mit der Einstellung die E-Mail-Adresse auch sichtbar wird.

Tatsächlich wählen zahlreiche Nutzer diese Option. Laut Koot konnte er auf einfache Art und Weise rund 15 Millionen E-Mail-Adressen sammeln, indem er automatisiert die 35 Millionen Profile durchsucht hat. Rund 40 Prozent der Nutzer sind also für Spammer einsammelbar, was wir in Stichproben auch verifizieren konnten. Ob die Nutzer tatsächlich die E-Mail-Adresse benutzen, ist dabei nicht so relevant. Allein die große Anzahl macht die Adressen schon interessant.

Mitunter verraten die Nutzer auch weitere Informationen, wie beispielsweise ihre Position, ihre Meinung oder ihre Picasa-Alben. Koot stört sich in einem weiteren Blogpost vor allem daran, dass es so einfach ist, sämtliche Profile zu indizieren. Es gibt seitens Google keinen Schutz vor dem massenhaften Zugriff auf Profile, so dass er einen Monat lang ungestört sammeln konnte. Er verstößt nicht einmal gegen Regeln, denn Googles Robot.txt erlaubt ein solches Vorgehen, wie Koot schreibt.

Google wurde von Koot informiert. Er sei jetzt neugierig, welche Maßnahmen Google ergreifen wird, die das Auslesen von Nutzerdaten nicht so einfach machen, schreibt Koot. Dass im Web veröffentlichte E-Mail-Adressen von Spammern eingesammelt werden können, sollte allerdings niemanden überraschen.


eye home zur Startseite
windowsverabsch... 27. Mai 2011

Ihr Google-Jünger seid schon eine ganz besondere Schafherde ;-)

Trollfeeder 27. Mai 2011

Also mit 10Minute Mail gehts meist problemlos, ok man sollte nicht zu lange für die...

Pantoffel 26. Mai 2011

Als ich vor über 3 Jahren mit nem Crawler gespielt habe, is mir das auch schon...

elgooG 26. Mai 2011

Natürlich geht das völlig offensichtlich aus deinem Post hervor. Neben der umfangreichen...

Autor-Free 26. Mai 2011

Da hat sich jemand bei Google sehr beeilen müssen: Man beachte den 404-Title Drei...




Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. HB-Feinmechanik GmbH & Co. KG, Metten
  3. Landeshauptstadt München, München
  4. Baden-Württembergischer Genossenschaftsverband e.V., Stuttgart


Anzeige
Blu-ray-Angebote
  1. (u. a. Hacksaw Ridge, Deadpool, Blade Runner, Kingsman, Arrival)
  2. (u. a. Game of Thrones, Big Bang Theory, The Vampire Diaries, Supernatural)
  3. (u. a. Logan Blu-ray 9,97€, Deadpool Blu-ray 8,97€, Fifty Shades of Grey Blu-ray 11,97€)

Folgen Sie uns
       


  1. Honorbuddy

    Bossland muss keine Millionen an Blizzard zahlen

  2. Soziale Netzwerke

    Twitter sperrt Tausende verdächtige Accounts

  3. Qualcomm

    802.11ax-WLAN kann bald in Smartphones kommen

  4. Synthesizer IIIp

    Moog legt Synthie-Klassiker für 35.000 US-Dollar wieder auf

  5. My Playstation

    Sony überarbeitet sein soziales PS-Ökosystem

  6. Android

    Samsung fehlt bei Googles Empfehlungen für Unternehmen

  7. Cat S61 im Hands on

    Smartphone kann Luftreinheit und Entfernungen messen

  8. Fusion TB3 PCIe Flash Drive

    Sonnets externe SSD schafft 2,6 GByte/s

  9. Qualcomm

    Bluetooth-Sound wird stromsparender und reaktionsschneller

  10. Quartalsbericht

    Telekom macht 3,5 Milliarden Euro Gewinn



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Entdeckertour angespielt: Assassin's Creed Origins und die Spur der Geschichte
Entdeckertour angespielt
Assassin's Creed Origins und die Spur der Geschichte
  1. Assassin's Creed Denuvo und VM Protect bei Origins ausgehebelt
  2. Sea of Thieves angespielt Zwischen bärbeißig und böse
  3. Rogue Remastered Assassin's Creed segelt noch mal zum Nordpol

Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  2. Fake News Murdoch fordert von Facebook Sendegebühr für Medien
  3. EU-Urheberrechtsreform Abmahnungen treffen "nur die Dummen"

Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

  1. Und wie sieht es mit den echten Bot-usern aus?

    FreierLukas | 11:53

  2. trololol

    Cystasy | 11:53

  3. Re: 900¤ kann mehr als ein 1.149¤ Phone

    Zuryan | 11:53

  4. Re: Selbst im Iran besseres Netz

    Shred | 11:46

  5. Re: Ach die haben einen Double Fine gemacht.

    Trockenobst | 11:44


  1. 11:50

  2. 11:44

  3. 11:29

  4. 11:14

  5. 10:59

  6. 10:44

  7. 10:30

  8. 10:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel