Abo
  • Services:

Find-mich-Maschine

15 Millionen Googlemail-Adressen per Sitemap

Google macht es Spammern besonders leicht, E-Mail-Adressen von Googlemail-Konten zu sammeln. Dank etwa 7.000 Sitemaps à 5.000 Profilen und mit ein bisschen Spidermonkey-Scripting lassen sich rund 15 Millionen Adressen sammeln.

Artikel veröffentlicht am ,
Find-mich-Maschine: 15 Millionen Googlemail-Adressen per Sitemap
(Bild: Google)

Aus Google-Profilen lassen sich in vielen Fällen leicht die E-Mail-Adressen der jeweiligen Googlemail-Nutzer herauslesen. Alles, was ein Neugieriger braucht, ist die Profil-ID des Nutzers. Wie Matthijs R. Koot herausgefunden hat, macht es Google potenziellen Angreifern sehr leicht, an diese heranzukommen. Google hat schon vor Jahren begonnen, eine Sitemap der Profile anzulegen und E-Mail-Adressen damit zu verknüpfen. Auf der Webseite gstatic.com finden sich derzeit 7.103 Sitemaps in Textform. Stichprobenartig haben wir geschaut, ob zwischen der ersten und der 7.103. Sitemap weitere Sitemaps liegen. Eine Lücke konnten wir nicht entdecken.

Stellenmarkt
  1. Fraunhofer-Institut für Produktionstechnik und Automatisierung IPA, Stuttgart
  2. UnternehmerTUM GmbH, Garching bei München

In jeder Zeile dieser Sitemaps finden sich Texteinträge in der Form https://profiles.google.com/[Profil-ID] - insgesamt 5.000 Stück pro Datei. Zunächst hat also jeder Zugriff auf 35 Millionen Profil-IDs. Diese allein sind noch kein Problem. Werden diese URLs aber aufgerufen, werden bei einem Teil der IDs die Nutzernamen und damit auch die E-Mail-Adressen sichtbar, wie Koot schreibt. Wird also beispielsweise profiles.google.com/12345 eingegeben, wird der Surfer manchmal auf profiles.google.com/ichbineinnutzer/about umgeleitet. Aus ichbineinnutzer ist leicht die E-Mail-Adresse rekonstruierbar.

Damit eine derartige Umleitung funktioniert, muss ein Besitzer eines Google-Profils erst einmal eine Einstellung in seinen Profiloptionen festlegen. Google warnt dabei den Nutzer, dass mit der Einstellung die E-Mail-Adresse auch sichtbar wird.

Tatsächlich wählen zahlreiche Nutzer diese Option. Laut Koot konnte er auf einfache Art und Weise rund 15 Millionen E-Mail-Adressen sammeln, indem er automatisiert die 35 Millionen Profile durchsucht hat. Rund 40 Prozent der Nutzer sind also für Spammer einsammelbar, was wir in Stichproben auch verifizieren konnten. Ob die Nutzer tatsächlich die E-Mail-Adresse benutzen, ist dabei nicht so relevant. Allein die große Anzahl macht die Adressen schon interessant.

Mitunter verraten die Nutzer auch weitere Informationen, wie beispielsweise ihre Position, ihre Meinung oder ihre Picasa-Alben. Koot stört sich in einem weiteren Blogpost vor allem daran, dass es so einfach ist, sämtliche Profile zu indizieren. Es gibt seitens Google keinen Schutz vor dem massenhaften Zugriff auf Profile, so dass er einen Monat lang ungestört sammeln konnte. Er verstößt nicht einmal gegen Regeln, denn Googles Robot.txt erlaubt ein solches Vorgehen, wie Koot schreibt.

Google wurde von Koot informiert. Er sei jetzt neugierig, welche Maßnahmen Google ergreifen wird, die das Auslesen von Nutzerdaten nicht so einfach machen, schreibt Koot. Dass im Web veröffentlichte E-Mail-Adressen von Spammern eingesammelt werden können, sollte allerdings niemanden überraschen.



Anzeige
Top-Angebote
  1. (u. a. HP OMEN 27 27 Zoll QHD Gaming Monitor 439,00€)
  2. (u. a. Onrush Day One Edition PS4/Xbox 10,00€, PUBG PS4 25,00€)
  3. ab 294,00€ lieferbar
  4. ab 304,90€ lieferbar

windowsverabsch... 27. Mai 2011

Ihr Google-Jünger seid schon eine ganz besondere Schafherde ;-)

Trollfeeder 27. Mai 2011

Also mit 10Minute Mail gehts meist problemlos, ok man sollte nicht zu lange für die...

Pantoffel 26. Mai 2011

Als ich vor über 3 Jahren mit nem Crawler gespielt habe, is mir das auch schon...

elgooG 26. Mai 2011

Natürlich geht das völlig offensichtlich aus deinem Post hervor. Neben der umfangreichen...

Autor-Free 26. Mai 2011

Da hat sich jemand bei Google sehr beeilen müssen: Man beachte den 404-Title Drei...


Folgen Sie uns
       


VR-Brille Varjo VR-1 ausprobiert

Das VR-Headset VR-1 von Varjo stellt den zentralen Bereich des Displays sehr scharf dar, wodurch auch feine Details erkennbar sind.

VR-Brille Varjo VR-1 ausprobiert Video aufrufen
WD Black SN750 ausprobiert: Direkt hinter Samsungs SSDs
WD Black SN750 ausprobiert
Direkt hinter Samsungs SSDs

Mit den WD Black SN750 liefert Western Digital technisch wie preislich attraktive NVMe-SSDs. Es sind die kleinen Details, welche die SN750 zwar sehr gut, aber eben nicht besser als die Samsung-Konkurrenz machen.
Ein Bericht von Marc Sauter

  1. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
  2. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte
  3. Western Digital My-Cloud-Lücke soll nach 1,5 Jahren geschlossen werden

Emotionen erkennen: Ein Lächeln macht noch keinen Frohsinn
Emotionen erkennen
Ein Lächeln macht noch keinen Frohsinn

Wer lächelt, ist froh - zumindest in der Interpretation eines Computers. Die gängigen Systeme zur Emotionserkennung interpretieren den Gesichtsausdruck als internes Gefühl. Die interne Gefühlswelt ist jedoch sehr viel komplexer. Ein Projekt des DFKI entwickelt ein System, das Gefühle besser erkennen soll.
Ein Bericht von Werner Pluta

  1. Ökostrom Wie Norddeutschland die Energiewende vormacht
  2. Magnetfeld Wenn der Nordpol wandern geht
  3. Computational Periscopy Forscher sehen mit einfacher Digitalkamera um die Ecke

Varjo VR-Headset im Hands on: Schärfer geht Virtual Reality kaum
Varjo VR-Headset im Hands on
Schärfer geht Virtual Reality kaum

Das VR-Headset mit dem scharfen Sichtfeld ist fertig: Das Varjo VR-1 hat ein hochauflösendes zweites Display, das ins Blickzentrum des Nutzers gespiegelt wird. Zwar sind nicht alle geplanten Funktionen rechtzeitig fertig geworden, die erreichte Bildschärfe und das Eyetracking sind aber beeindruckend - wie auch der Preis.
Ein Hands on von Tobias Költzsch

  1. Und täglich grüßt das Murmeltier Sony bringt VR-Spiel zu Kultfilm mit Bill Murray
  2. Steam Hardware Virtual Reality wächst langsam - aber stetig
  3. AntVR Stirnband soll Motion Sickness in VR verhindern

    •  /