Abo
  • Services:

E-Mail-Marketing: Datenbank mit 800 Millionen E-Mail-Adressen online

Wozu sammelt ein völlig unbekanntes Unternehmen Hunderte Millionen E-Mail-Adressen und weitere Nutzerdaten? Dahinter steckt eine Dienstleistung, die für Spammer nützlich ist.

Artikel veröffentlicht am ,
Das Unternehmen wirbt mit kommerziellerer E-Mail-Validierung.
Das Unternehmen wirbt mit kommerziellerer E-Mail-Validierung. (Bild: Verifications.io/Screenshot: Golem.de)

Sicherheitsforscher haben im Netz eine frei zugängliche und ungeschützte MongoDB-Datenbank mit rund 800 Millionen gespeicherten E-Mail-Adressen entdeckt. Der 150 Gigabyte große Datensatz enthalte neben den Mail-Adressen noch weitere personenbezogene Daten, jedoch keine Passwörter, berichtete Bob Diachenko von der Sicherheitsfirma Security Discovery. Nutzer können auf Have I been pwned bereits überprüfen, ob sie von dem Datenleak betroffen sind. 35 Prozent der Adressen sollen noch nicht vorher in Datenleaks enthalten gewesen sein.

Stellenmarkt
  1. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. BWI GmbH, Nürnberg, München, deutschlandweit

Laut einem Bericht von Wired.com enthalten die Datensätze neben den E-Mail-Adressen noch Namen, Telefonnummern und Anschriften. Vielfach sind außerdem Geschlecht, Geburtsdatum sowie Angaben zu Krediten und Social-Media-Profilen gespeichert. Kreditkartendaten und Sozialversicherungsnummern sind hingegen nicht gefunden worden.

Der Fund bringt nach Ansicht der Experten Licht in das Geschäft sogenannter E-Mail-Verifizierer. Die Datenbank gehört demnach dem Anbieter Verifications.io, dessen Webseite nach der Veröffentlichung des Fundes nicht mehr zu erreichen war (siehe wayback-machine). Das Unternehmen scheint zur pakistanischen Firma Datalytics zu gehören und wirbt dort mit E-Mail-Verifizierung und der Vermeidung von Spamfallen und unzustellbaren E-Mails, sogenannten Hard Bounces. Das heißt, Firmen oder auch Hacker senden eine Excel-Tabelle mit Adressen an den Anbieter, der anschließend E-Mails verschickt und überprüft, welche davon zugestellt werden könnten. Mit Hilfe eines solchen überprüften Bestandes ließen sich die Adressen dann besser verwenden.

Angeblich nur öffentliche Daten

Für die Kunden hat dies den Vorteil, dass sie nicht so leicht Gefahr laufen, auf Spam-Listen zu landen und geblockt zu werden. Die Sicherheitsexperten entdeckten in der Datenbank auch firmeninterne Tools, darunter Test-Konten, Hunderte SMTP-Server zum Mailversand, Mailtexte, eine Infrastruktur zur Umgehung von Anti-Spam-Maßnahmen, zu vermeidende Schlüsselwörter und eine schwarze Liste mit IP-Adressen.

Der Anbieter Verifications.io reagierte zwar auf einen ersten Hinweis der Sicherheitsforscher und nahm die Datenbank vom Netz, wollte aber keine weiteren Fragen beantworten. Laut Wired lässt sich nicht einmal sicher behaupten, wo die Firma überhaupt ihren Sitz hat. Wie Verifications.io an die 800 Millionen E-Mail-Adressen gekommen ist, bleibt unklar. In der ersten Antwort an Diachenko schrieb das Unternehmen, es handele sich nicht um Kundendaten, sondern um die firmeneigene Datenbank, die aus öffentlichen Informationen erstellt worden sei. Nach Informationen von Golem.de enthält die Datenbank auch E-Mail-Adressen, die derzeit nicht mehr öffentlich sind. Möglilcherweise hat das Unternehmen aber massenhaft Whois-Einträge abgefragt.

Für den Sicherheitsexperten Troy Hunt, Gründer von Haveibeenpwned.com, ist das Datenleck "ein weiterer Fall, bei dem jemand meine Daten und die Hunderter Millionen anderer Personen hat, und ich absolut keine Ahnung habe, wie er sie bekommen hat." Er habe noch nie von der Firma gehört und er könne sich mit Sicherheit nicht erinnern, der Verwendung seiner Daten zugestimmt zu haben. "Natürlich ist es durchaus möglich, dass es die Nutzungsbedingungen anderer Dienste erlauben, meine Daten auf diese Weise weitergeben zu dürfen. Aber das stimmt nicht wirklich mit meinen Erwartungen überein, wie meine Daten verwendet werden dürfen", sagte er Wired.

In diesem Jahr sind bereits mehrfach Datensätze mit Hunderten Millionen Nutzerdaten im Netz aufgetaucht. So wurden Mitte Februar 620 Millionen Zugangsdaten im Darknet zum Verkauf angeboten. Mitte Januar hatte Hunt auf Havibeenpwnd eine Sammlung mit einer Milliarde Zugangsdaten zur Überprüfung bereitgestellt. Bei der Datenbank von Verifications.io ist unklar, ob sie noch von anderen Nutzern entdeckt und heruntergeladen wurde.



Anzeige
Spiele-Angebote
  1. (-15%) 12,74€
  2. 44,99€
  3. 8,99€
  4. 4,99€

Lanski 12. Mär 2019 / Themenstart

Ja, soweit ich das verstanden habe ist das etwa so: Die einsehbaren sind nicht zuordbar...

Lanski 12. Mär 2019 / Themenstart

@BennyBorn danke für die Info. An meinem Ende sind die meisten Mails interessanterweise...

Lanski 12. Mär 2019 / Themenstart

Gleiches Prinzip bei mir. Sales gibt es nicht und gab es wohl auch nie, steht aber...

Lanski 12. Mär 2019 / Themenstart

Nicht ganz korrekt, man konnte schon immer sagen, dass man dort nicht aufgeführt werden...

Konfuzius Peng 11. Mär 2019 / Themenstart

Oh no pwned! This password has been seen 1.597 times before https...

Kommentieren


Folgen Sie uns
       


Sechs Bluetooth-Hörstöpsel im Test

Wir haben sechs neue Bluetooth-Hörstöpsel getestet. Mit dabei sind Modelle von Sennheiser, Audio Technica, Master & Dynamic sowie HMD Global. Aber auch zwei Modelle kleinerer Startups sind vertreten. Und eines davon hat uns bezüglich der Akkulaufzeit sehr überrascht. Kein anderer von uns getesteter Bluetooth-Hörstöpsel hat bisher eine vergleichbar lange Akkulaufzeit zu bieten - wir kamen auf Werte von bis zu 11,5 Stunden statt der sonst üblichen drei bis fünf Stunden.

Sechs Bluetooth-Hörstöpsel im Test Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Elektromobilität: Was hat ein Kanu mit Autos zu tun?
    Elektromobilität
    Was hat ein Kanu mit Autos zu tun?

    Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
    Ein Bericht von Dirk Kunde

    1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
    2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
    3. Ventomobil Mit dem Windrad auf Rekordjagd

    P30 Pro im Kameratest: Huawei baut die vielseitigste Smartphone-Kamera
    P30 Pro im Kameratest
    Huawei baut die vielseitigste Smartphone-Kamera

    Huawei will mit dem P30 Pro seinen Vorsprung vor den Smartphone-Kameras der Konkurrenez ausbauen - und schafft es mit einigen grundlegenden Veränderungen.
    Ein Test von Tobias Költzsch

    1. Huawei-Gründer "Warte auf Medikament von Google gegen Sterblichkeit"
    2. 5G-Ausbau Sicherheitskriterien führen nicht zu Ausschluss von Huawei
    3. Kritik an Eckpunkten Bitkom warnt vor deutschem Alleingang bei 5G-Sicherheit

      •  /