Abo
  • Services:

Find-mich-Maschine

15 Millionen Googlemail-Adressen per Sitemap

Google macht es Spammern besonders leicht, E-Mail-Adressen von Googlemail-Konten zu sammeln. Dank etwa 7.000 Sitemaps à 5.000 Profilen und mit ein bisschen Spidermonkey-Scripting lassen sich rund 15 Millionen Adressen sammeln.

Artikel veröffentlicht am ,
Find-mich-Maschine: 15 Millionen Googlemail-Adressen per Sitemap
(Bild: Google)

Aus Google-Profilen lassen sich in vielen Fällen leicht die E-Mail-Adressen der jeweiligen Googlemail-Nutzer herauslesen. Alles, was ein Neugieriger braucht, ist die Profil-ID des Nutzers. Wie Matthijs R. Koot herausgefunden hat, macht es Google potenziellen Angreifern sehr leicht, an diese heranzukommen. Google hat schon vor Jahren begonnen, eine Sitemap der Profile anzulegen und E-Mail-Adressen damit zu verknüpfen. Auf der Webseite gstatic.com finden sich derzeit 7.103 Sitemaps in Textform. Stichprobenartig haben wir geschaut, ob zwischen der ersten und der 7.103. Sitemap weitere Sitemaps liegen. Eine Lücke konnten wir nicht entdecken.

Stellenmarkt
  1. OEDIV KG, Bielefeld
  2. Mineralölraffinerie Oberrhein GmbH & Co. KG, Karlsruhe

In jeder Zeile dieser Sitemaps finden sich Texteinträge in der Form https://profiles.google.com/[Profil-ID] - insgesamt 5.000 Stück pro Datei. Zunächst hat also jeder Zugriff auf 35 Millionen Profil-IDs. Diese allein sind noch kein Problem. Werden diese URLs aber aufgerufen, werden bei einem Teil der IDs die Nutzernamen und damit auch die E-Mail-Adressen sichtbar, wie Koot schreibt. Wird also beispielsweise profiles.google.com/12345 eingegeben, wird der Surfer manchmal auf profiles.google.com/ichbineinnutzer/about umgeleitet. Aus ichbineinnutzer ist leicht die E-Mail-Adresse rekonstruierbar.

Damit eine derartige Umleitung funktioniert, muss ein Besitzer eines Google-Profils erst einmal eine Einstellung in seinen Profiloptionen festlegen. Google warnt dabei den Nutzer, dass mit der Einstellung die E-Mail-Adresse auch sichtbar wird.

Tatsächlich wählen zahlreiche Nutzer diese Option. Laut Koot konnte er auf einfache Art und Weise rund 15 Millionen E-Mail-Adressen sammeln, indem er automatisiert die 35 Millionen Profile durchsucht hat. Rund 40 Prozent der Nutzer sind also für Spammer einsammelbar, was wir in Stichproben auch verifizieren konnten. Ob die Nutzer tatsächlich die E-Mail-Adresse benutzen, ist dabei nicht so relevant. Allein die große Anzahl macht die Adressen schon interessant.

Mitunter verraten die Nutzer auch weitere Informationen, wie beispielsweise ihre Position, ihre Meinung oder ihre Picasa-Alben. Koot stört sich in einem weiteren Blogpost vor allem daran, dass es so einfach ist, sämtliche Profile zu indizieren. Es gibt seitens Google keinen Schutz vor dem massenhaften Zugriff auf Profile, so dass er einen Monat lang ungestört sammeln konnte. Er verstößt nicht einmal gegen Regeln, denn Googles Robot.txt erlaubt ein solches Vorgehen, wie Koot schreibt.

Google wurde von Koot informiert. Er sei jetzt neugierig, welche Maßnahmen Google ergreifen wird, die das Auslesen von Nutzerdaten nicht so einfach machen, schreibt Koot. Dass im Web veröffentlichte E-Mail-Adressen von Spammern eingesammelt werden können, sollte allerdings niemanden überraschen.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de
  3. 1.299,00€

windowsverabsch... 27. Mai 2011

Ihr Google-Jünger seid schon eine ganz besondere Schafherde ;-)

Trollfeeder 27. Mai 2011

Also mit 10Minute Mail gehts meist problemlos, ok man sollte nicht zu lange für die...

Pantoffel 26. Mai 2011

Als ich vor über 3 Jahren mit nem Crawler gespielt habe, is mir das auch schon...

elgooG 26. Mai 2011

Natürlich geht das völlig offensichtlich aus deinem Post hervor. Neben der umfangreichen...

Autor-Free 26. Mai 2011

Da hat sich jemand bei Google sehr beeilen müssen: Man beachte den 404-Title Drei...


Folgen Sie uns
       


Red Dead Redemption 2 auf der Xbox One X - Golem.de live

Wir zeigen auf zahlreich geäußerten Wunsch Red Dead Redemption 2 im Livestream auf der Xbox One X. In der Aufzeichung kommen die Details des zum Teil in 4K hereingezoomten Bildausschnittes gut zur Geltung.

Red Dead Redemption 2 auf der Xbox One X - Golem.de live Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
    Sony-Kopfhörer WH-1000XM3 im Test
    Eine Oase der Stille oder des puren Musikgenusses

    Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
    Ein Test von Ingo Pakalski


      IMHO: Valves Ka-Ching mit der Brechstange
      IMHO
      Valves "Ka-Ching" mit der Brechstange

      Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
      Ein IMHO von Michael Wieczorek

      1. Artifact im Test Zusammengewürfelt und potenziell teuer
      2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
      3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel

        •  /