Abo
  • IT-Karriere:

E-Mail-Marketing: Datenbank mit 800 Millionen E-Mail-Adressen online

Wozu sammelt ein völlig unbekanntes Unternehmen Hunderte Millionen E-Mail-Adressen und weitere Nutzerdaten? Dahinter steckt eine Dienstleistung, die für Spammer nützlich ist.

Artikel veröffentlicht am ,
Das Unternehmen wirbt mit kommerziellerer E-Mail-Validierung.
Das Unternehmen wirbt mit kommerziellerer E-Mail-Validierung. (Bild: Verifications.io/Screenshot: Golem.de)

Sicherheitsforscher haben im Netz eine frei zugängliche und ungeschützte MongoDB-Datenbank mit rund 800 Millionen gespeicherten E-Mail-Adressen entdeckt. Der 150 Gigabyte große Datensatz enthalte neben den Mail-Adressen noch weitere personenbezogene Daten, jedoch keine Passwörter, berichtete Bob Diachenko von der Sicherheitsfirma Security Discovery. Nutzer können auf Have I been pwned bereits überprüfen, ob sie von dem Datenleak betroffen sind. 35 Prozent der Adressen sollen noch nicht vorher in Datenleaks enthalten gewesen sein.

Stellenmarkt
  1. BavariaDirekt, München
  2. Systemhaus Scheuschner GmbH, Hannover

Laut einem Bericht von Wired.com enthalten die Datensätze neben den E-Mail-Adressen noch Namen, Telefonnummern und Anschriften. Vielfach sind außerdem Geschlecht, Geburtsdatum sowie Angaben zu Krediten und Social-Media-Profilen gespeichert. Kreditkartendaten und Sozialversicherungsnummern sind hingegen nicht gefunden worden.

Der Fund bringt nach Ansicht der Experten Licht in das Geschäft sogenannter E-Mail-Verifizierer. Die Datenbank gehört demnach dem Anbieter Verifications.io, dessen Webseite nach der Veröffentlichung des Fundes nicht mehr zu erreichen war (siehe wayback-machine). Das Unternehmen scheint zur pakistanischen Firma Datalytics zu gehören und wirbt dort mit E-Mail-Verifizierung und der Vermeidung von Spamfallen und unzustellbaren E-Mails, sogenannten Hard Bounces. Das heißt, Firmen oder auch Hacker senden eine Excel-Tabelle mit Adressen an den Anbieter, der anschließend E-Mails verschickt und überprüft, welche davon zugestellt werden könnten. Mit Hilfe eines solchen überprüften Bestandes ließen sich die Adressen dann besser verwenden.

Angeblich nur öffentliche Daten

Für die Kunden hat dies den Vorteil, dass sie nicht so leicht Gefahr laufen, auf Spam-Listen zu landen und geblockt zu werden. Die Sicherheitsexperten entdeckten in der Datenbank auch firmeninterne Tools, darunter Test-Konten, Hunderte SMTP-Server zum Mailversand, Mailtexte, eine Infrastruktur zur Umgehung von Anti-Spam-Maßnahmen, zu vermeidende Schlüsselwörter und eine schwarze Liste mit IP-Adressen.

Der Anbieter Verifications.io reagierte zwar auf einen ersten Hinweis der Sicherheitsforscher und nahm die Datenbank vom Netz, wollte aber keine weiteren Fragen beantworten. Laut Wired lässt sich nicht einmal sicher behaupten, wo die Firma überhaupt ihren Sitz hat. Wie Verifications.io an die 800 Millionen E-Mail-Adressen gekommen ist, bleibt unklar. In der ersten Antwort an Diachenko schrieb das Unternehmen, es handele sich nicht um Kundendaten, sondern um die firmeneigene Datenbank, die aus öffentlichen Informationen erstellt worden sei. Nach Informationen von Golem.de enthält die Datenbank auch E-Mail-Adressen, die derzeit nicht mehr öffentlich sind. Möglilcherweise hat das Unternehmen aber massenhaft Whois-Einträge abgefragt.

Für den Sicherheitsexperten Troy Hunt, Gründer von Haveibeenpwned.com, ist das Datenleck "ein weiterer Fall, bei dem jemand meine Daten und die Hunderter Millionen anderer Personen hat, und ich absolut keine Ahnung habe, wie er sie bekommen hat." Er habe noch nie von der Firma gehört und er könne sich mit Sicherheit nicht erinnern, der Verwendung seiner Daten zugestimmt zu haben. "Natürlich ist es durchaus möglich, dass es die Nutzungsbedingungen anderer Dienste erlauben, meine Daten auf diese Weise weitergeben zu dürfen. Aber das stimmt nicht wirklich mit meinen Erwartungen überein, wie meine Daten verwendet werden dürfen", sagte er Wired.

In diesem Jahr sind bereits mehrfach Datensätze mit Hunderten Millionen Nutzerdaten im Netz aufgetaucht. So wurden Mitte Februar 620 Millionen Zugangsdaten im Darknet zum Verkauf angeboten. Mitte Januar hatte Hunt auf Havibeenpwnd eine Sammlung mit einer Milliarde Zugangsdaten zur Überprüfung bereitgestellt. Bei der Datenbank von Verifications.io ist unklar, ob sie noch von anderen Nutzern entdeckt und heruntergeladen wurde.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

Lanski 12. Mär 2019

Ja, soweit ich das verstanden habe ist das etwa so: Die einsehbaren sind nicht zuordbar...

Lanski 12. Mär 2019

@BennyBorn danke für die Info. An meinem Ende sind die meisten Mails interessanterweise...

Lanski 12. Mär 2019

Gleiches Prinzip bei mir. Sales gibt es nicht und gab es wohl auch nie, steht aber...

Lanski 12. Mär 2019

Nicht ganz korrekt, man konnte schon immer sagen, dass man dort nicht aufgeführt werden...

Konfuzius Peng 11. Mär 2019

Oh no pwned! This password has been seen 1.597 times before https...


Folgen Sie uns
       


Bose Frames im Test

Die Sonnenbrille Frames von Bose hat integrierte Lautsprecher, die den Träger mit Musik beschallen können. Besonders im Straßenverkehr ist das offene Konzept praktisch.

Bose Frames im Test Video aufrufen
Faire IT: Die grüne Challenge
Faire IT
Die grüne Challenge

Kann man IT-Produkte nachhaltig gestalten? Drei Startups zeigen, dass es nicht so einfach ist, die grüne Maus oder das faire Smartphone auf den Markt zu bringen.
Von Christiane Schulzki-Haddouti

  1. Smartphones Samsung und Xiaomi profitieren in Europa von Huawei-Boykott
  2. Smartphones Xiaomi ist kurz davor, Apple zu überholen
  3. Niederlande Notrufnummer fällt für mehrere Stunden aus

OKR statt Mitarbeitergespräch: Wir müssen reden
OKR statt Mitarbeitergespräch
Wir müssen reden

Das jährliche Mitarbeitergespräch ist eines der wichtigsten Instrumente für Führungskräfte, doch es ist gerade in der IT-Branche nicht mehr unbedingt zeitgemäß. Aus dem Silicon Valley kommt eine andere Methode: OKR. Sie erfüllt die veränderten Anforderungen an Agilität und Veränderungsbereitschaft.
Von Markus Kammermeier

  1. Arbeit Hilfe für frustrierte ITler
  2. IT-Arbeitsmarkt Jobgarantie gibt es nie
  3. IT-Fachkräftemangel Freie sind gefragt

Zephyrus G GA502 im Test: Das Gaming-Notebook, das auch zum Arbeiten taugt
Zephyrus G GA502 im Test
Das Gaming-Notebook, das auch zum Arbeiten taugt

Mit AMDs Ryzen 7 und Nvidia-GPU ist das Zephyrus G GA502 ein klares Gaming-Gerät. Überraschenderweise eignet es sich aber auch als mobiles Office-Notebook. Das liegt an der beeindruckenden Akkulaufzeit.
Ein Test von Oliver Nickel

  1. Vivobook (X403) Asus packt 72-Wh-Akku in günstigen 14-Zöller
  2. ROG Swift PG35VQ Asus' 35-Zoll-Display nutzt 200 Hz, HDR und G-Sync
  3. ROG Gaming Phone II Asus plant neue Version seines Gaming-Smartphones

    •  /