E-Mail-Marketing: Datenbank mit 800 Millionen E-Mail-Adressen online

Wozu sammelt ein völlig unbekanntes Unternehmen Hunderte Millionen E-Mail-Adressen und weitere Nutzerdaten? Dahinter steckt eine Dienstleistung, die für Spammer nützlich ist.

Artikel veröffentlicht am ,
Das Unternehmen wirbt mit kommerziellerer E-Mail-Validierung.
Das Unternehmen wirbt mit kommerziellerer E-Mail-Validierung. (Bild: Verifications.io/Screenshot: Golem.de)

Sicherheitsforscher haben im Netz eine frei zugängliche und ungeschützte MongoDB-Datenbank mit rund 800 Millionen gespeicherten E-Mail-Adressen entdeckt. Der 150 Gigabyte große Datensatz enthalte neben den Mail-Adressen noch weitere personenbezogene Daten, jedoch keine Passwörter, berichtete Bob Diachenko von der Sicherheitsfirma Security Discovery. Nutzer können auf Have I been pwned bereits überprüfen, ob sie von dem Datenleak betroffen sind. 35 Prozent der Adressen sollen noch nicht vorher in Datenleaks enthalten gewesen sein.

Stellenmarkt
  1. IT-Systemadministrator (m/w/d) Server & Cloud Management - Backup & Archive
    HÜBNER GmbH & Co. KG, Kassel Waldau
  2. Systemadministrator (m/w/d) Customer Service
    Dürkopp Fördertechnik GmbH, Bielefeld
Detailsuche

Laut einem Bericht von Wired.com enthalten die Datensätze neben den E-Mail-Adressen noch Namen, Telefonnummern und Anschriften. Vielfach sind außerdem Geschlecht, Geburtsdatum sowie Angaben zu Krediten und Social-Media-Profilen gespeichert. Kreditkartendaten und Sozialversicherungsnummern sind hingegen nicht gefunden worden.

Der Fund bringt nach Ansicht der Experten Licht in das Geschäft sogenannter E-Mail-Verifizierer. Die Datenbank gehört demnach dem Anbieter Verifications.io, dessen Webseite nach der Veröffentlichung des Fundes nicht mehr zu erreichen war (siehe wayback-machine). Das Unternehmen scheint zur pakistanischen Firma Datalytics zu gehören und wirbt dort mit E-Mail-Verifizierung und der Vermeidung von Spamfallen und unzustellbaren E-Mails, sogenannten Hard Bounces. Das heißt, Firmen oder auch Hacker senden eine Excel-Tabelle mit Adressen an den Anbieter, der anschließend E-Mails verschickt und überprüft, welche davon zugestellt werden könnten. Mit Hilfe eines solchen überprüften Bestandes ließen sich die Adressen dann besser verwenden.

Angeblich nur öffentliche Daten

Für die Kunden hat dies den Vorteil, dass sie nicht so leicht Gefahr laufen, auf Spam-Listen zu landen und geblockt zu werden. Die Sicherheitsexperten entdeckten in der Datenbank auch firmeninterne Tools, darunter Test-Konten, Hunderte SMTP-Server zum Mailversand, Mailtexte, eine Infrastruktur zur Umgehung von Anti-Spam-Maßnahmen, zu vermeidende Schlüsselwörter und eine schwarze Liste mit IP-Adressen.

Golem Karrierewelt
  1. Adobe Premiere Pro Grundkurs: virtueller Zwei-Tage-Workshop
    19./20.01.2023, Virtuell
  2. Data Engineering mit Python und Spark: virtueller Zwei-Tage-Workshop
    18./19.01.2023, Virtuell
Weitere IT-Trainings

Der Anbieter Verifications.io reagierte zwar auf einen ersten Hinweis der Sicherheitsforscher und nahm die Datenbank vom Netz, wollte aber keine weiteren Fragen beantworten. Laut Wired lässt sich nicht einmal sicher behaupten, wo die Firma überhaupt ihren Sitz hat. Wie Verifications.io an die 800 Millionen E-Mail-Adressen gekommen ist, bleibt unklar. In der ersten Antwort an Diachenko schrieb das Unternehmen, es handele sich nicht um Kundendaten, sondern um die firmeneigene Datenbank, die aus öffentlichen Informationen erstellt worden sei. Nach Informationen von Golem.de enthält die Datenbank auch E-Mail-Adressen, die derzeit nicht mehr öffentlich sind. Möglilcherweise hat das Unternehmen aber massenhaft Whois-Einträge abgefragt.

Für den Sicherheitsexperten Troy Hunt, Gründer von Haveibeenpwned.com, ist das Datenleck "ein weiterer Fall, bei dem jemand meine Daten und die Hunderter Millionen anderer Personen hat, und ich absolut keine Ahnung habe, wie er sie bekommen hat." Er habe noch nie von der Firma gehört und er könne sich mit Sicherheit nicht erinnern, der Verwendung seiner Daten zugestimmt zu haben. "Natürlich ist es durchaus möglich, dass es die Nutzungsbedingungen anderer Dienste erlauben, meine Daten auf diese Weise weitergeben zu dürfen. Aber das stimmt nicht wirklich mit meinen Erwartungen überein, wie meine Daten verwendet werden dürfen", sagte er Wired.

In diesem Jahr sind bereits mehrfach Datensätze mit Hunderten Millionen Nutzerdaten im Netz aufgetaucht. So wurden Mitte Februar 620 Millionen Zugangsdaten im Darknet zum Verkauf angeboten. Mitte Januar hatte Hunt auf Havibeenpwnd eine Sammlung mit einer Milliarde Zugangsdaten zur Überprüfung bereitgestellt. Bei der Datenbank von Verifications.io ist unklar, ob sie noch von anderen Nutzern entdeckt und heruntergeladen wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Lanski 12. Mär 2019

Ja, soweit ich das verstanden habe ist das etwa so: Die einsehbaren sind nicht zuordbar...

Lanski 12. Mär 2019

@BennyBorn danke für die Info. An meinem Ende sind die meisten Mails interessanterweise...

Lanski 12. Mär 2019

Gleiches Prinzip bei mir. Sales gibt es nicht und gab es wohl auch nie, steht aber...

Lanski 12. Mär 2019

Nicht ganz korrekt, man konnte schon immer sagen, dass man dort nicht aufgeführt werden...



Aktuell auf der Startseite von Golem.de
Metaverse
EU blamiert sich mit interaktiver Onlineparty

Rund 387.000 Euro an Kosten, fünf Besucher auf der Onlineparty: Ein EU-Projekt wollte junge Menschen als Büroklammer tanzen lassen.

Metaverse: EU blamiert sich mit interaktiver Onlineparty
Artikel
  1. Elektromobilität: Hyundai zeigt Elektrosportwagen Ioniq 5 N
    Elektromobilität
    Hyundai zeigt Elektrosportwagen Ioniq 5 N

    Hyundai hat erstmals ein Video mit dem Ioniq 5 N veröffentlicht. Das besonders sportliche Fahrzeug soll die N-Marke beleben.

  2. High Purity in der Produktion: Unter Druck reinigen
    High Purity in der Produktion
    Unter Druck reinigen

    Ob Autos, Elektronik, Medizin oder Halbleiter: Die Reinhaltung bis in den Nanobereich wird immer wichtiger. Das stellt hohe Anforderung an Monitoring und Prozesslenkung.
    Ein Bericht von Detlev Prutz

  3. Patches: Anti-Ruckel-Updates für Pokémon und Callisto zeigen Wirkung
    Patches
    Anti-Ruckel-Updates für Pokémon und Callisto zeigen Wirkung

    Warum nicht gleich so? Für die von Bugs geplagten Computerspiele Pokémon Karmesin/Purpur und The Callisto Protocol gibt es Updates.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis -53% • Mindstar: AMD-Ryzen-CPUs zu Bestpreisen • Alternate: Kingston FURY Beast RGB 32GB DDR5-4800 146,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. SanDisk Ultra microSDXC 512GB 39€ • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /