Abo
  • Services:

Find-mich-Maschine

15 Millionen Googlemail-Adressen per Sitemap

Google macht es Spammern besonders leicht, E-Mail-Adressen von Googlemail-Konten zu sammeln. Dank etwa 7.000 Sitemaps à 5.000 Profilen und mit ein bisschen Spidermonkey-Scripting lassen sich rund 15 Millionen Adressen sammeln.

Artikel veröffentlicht am ,
Find-mich-Maschine: 15 Millionen Googlemail-Adressen per Sitemap
(Bild: Google)

Aus Google-Profilen lassen sich in vielen Fällen leicht die E-Mail-Adressen der jeweiligen Googlemail-Nutzer herauslesen. Alles, was ein Neugieriger braucht, ist die Profil-ID des Nutzers. Wie Matthijs R. Koot herausgefunden hat, macht es Google potenziellen Angreifern sehr leicht, an diese heranzukommen. Google hat schon vor Jahren begonnen, eine Sitemap der Profile anzulegen und E-Mail-Adressen damit zu verknüpfen. Auf der Webseite gstatic.com finden sich derzeit 7.103 Sitemaps in Textform. Stichprobenartig haben wir geschaut, ob zwischen der ersten und der 7.103. Sitemap weitere Sitemaps liegen. Eine Lücke konnten wir nicht entdecken.

Stellenmarkt
  1. Bosch Software Innovations GmbH, Waiblingen
  2. Bechtle Onsite Services GmbH, Weissach

In jeder Zeile dieser Sitemaps finden sich Texteinträge in der Form https://profiles.google.com/[Profil-ID] - insgesamt 5.000 Stück pro Datei. Zunächst hat also jeder Zugriff auf 35 Millionen Profil-IDs. Diese allein sind noch kein Problem. Werden diese URLs aber aufgerufen, werden bei einem Teil der IDs die Nutzernamen und damit auch die E-Mail-Adressen sichtbar, wie Koot schreibt. Wird also beispielsweise profiles.google.com/12345 eingegeben, wird der Surfer manchmal auf profiles.google.com/ichbineinnutzer/about umgeleitet. Aus ichbineinnutzer ist leicht die E-Mail-Adresse rekonstruierbar.

Damit eine derartige Umleitung funktioniert, muss ein Besitzer eines Google-Profils erst einmal eine Einstellung in seinen Profiloptionen festlegen. Google warnt dabei den Nutzer, dass mit der Einstellung die E-Mail-Adresse auch sichtbar wird.

Tatsächlich wählen zahlreiche Nutzer diese Option. Laut Koot konnte er auf einfache Art und Weise rund 15 Millionen E-Mail-Adressen sammeln, indem er automatisiert die 35 Millionen Profile durchsucht hat. Rund 40 Prozent der Nutzer sind also für Spammer einsammelbar, was wir in Stichproben auch verifizieren konnten. Ob die Nutzer tatsächlich die E-Mail-Adresse benutzen, ist dabei nicht so relevant. Allein die große Anzahl macht die Adressen schon interessant.

Mitunter verraten die Nutzer auch weitere Informationen, wie beispielsweise ihre Position, ihre Meinung oder ihre Picasa-Alben. Koot stört sich in einem weiteren Blogpost vor allem daran, dass es so einfach ist, sämtliche Profile zu indizieren. Es gibt seitens Google keinen Schutz vor dem massenhaften Zugriff auf Profile, so dass er einen Monat lang ungestört sammeln konnte. Er verstößt nicht einmal gegen Regeln, denn Googles Robot.txt erlaubt ein solches Vorgehen, wie Koot schreibt.

Google wurde von Koot informiert. Er sei jetzt neugierig, welche Maßnahmen Google ergreifen wird, die das Auslesen von Nutzerdaten nicht so einfach machen, schreibt Koot. Dass im Web veröffentlichte E-Mail-Adressen von Spammern eingesammelt werden können, sollte allerdings niemanden überraschen.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. ab je 2,49€ kaufen
  3. 9,99€

windowsverabsch... 27. Mai 2011

Ihr Google-Jünger seid schon eine ganz besondere Schafherde ;-)

Trollfeeder 27. Mai 2011

Also mit 10Minute Mail gehts meist problemlos, ok man sollte nicht zu lange für die...

Pantoffel 26. Mai 2011

Als ich vor über 3 Jahren mit nem Crawler gespielt habe, is mir das auch schon...

elgooG 26. Mai 2011

Natürlich geht das völlig offensichtlich aus deinem Post hervor. Neben der umfangreichen...

Autor-Free 26. Mai 2011

Da hat sich jemand bei Google sehr beeilen müssen: Man beachte den 404-Title Drei...


Folgen Sie uns
       


Gamescom 2018 - Vorbesprechung (Golem.de Live)

Die Golem.de-Redakteure Peter Steinlechner und Michael Wieczorek besprechen, was uns auf der Gamescom 2018 in Köln erwartet.

Gamescom 2018 - Vorbesprechung (Golem.de Live) Video aufrufen
Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Spezial Unabhängige Riesen und Ritter für Nintendo Switch
  2. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  3. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht

    •  /