6. März 2008

Ein wenig Vorsicht mit Wegwerfadressen bitte

Category: Datenschutz,Hacking,Internet — Christian @ 17:47

E-Mail Wegwerfadressen sind inzwischen ein sehr probates Mittel gegen die Spamflut und die Datensammelwut der diversen Webseitenanbieter geworden. Bei vielen Angeboten insbesondere aus dem amerikanischen Raum ist der Zugang nur nach Anmeldung möglich und hier müssen oft umfangreiche Daten wie Vorname, Nachname, E-Mail, Anschrift, etc. angegeben werden. Die Antwort des Gepeinigten ist daher gerne mal die Nutzung einer Wegwerfadresse sowie Angabe falscher Daten. Emaildienst.de ist beispielsweise ein bekannter Anbieter.

Man sollte allerdings mit diesen offenen Mailservern ein wenig aufpassen. Mit der simplen Eingabe eines Benutzernamens, z.B. Michael oder Andreas kommt man in die Mailbox dieses Users … was vom Prinzip ja auch so gedacht ist, aber ab und an interessante Einblicke enthält. Beispielsweise war anhand einer dieser Spam-Mails ersichtlich, dass john@emaildienst.de sich an der Webseite The Code Project angemeldet hat. Freundlicherweise erlaubt es diese Webseite, sich das „vergessene“ Passwort zuschicken zu lassen.

Also lassen wir das Passwort an john@emaildienst.de schicken, in dessen Postfach können wir ja freundlicherweise hineinsehen.

  • Login email: john@emaildienst.de
  • Password: frosch

Gut, das ist jetzt kein besonders gutes Passwort aber es funktioniert.

Mein Fazit: Wegwerfadressen sind ja ganz nett, aber man sollte bei der Nutzung doch bitte ein klein wenig aufpassen wofür man sie verwendet. Wenn der Account lediglich zum reinkucken oder Download verwendet wird ist es vermutlich egal ob jemand Zugang zum Passwort hat. Bei anderen Seiten die z.B. auch private E-Mail-Kommunikation erlauben kann die Verwendung solcher Adressen jedoch zum Sicherheitsrisiko werden. Man bleibt dann doch länger angemeldet als gedacht, tauscht private vertrauliche Infos aus und ein Fremder erhält jederzeit Zugriff auf die Kommunikation.

Sehr witzig finde ich in diesem Zusammenhang den Schluss der Mail: „If you received this email but did not yourself request the information, then rest assured that the person making the request did not gain access to any of your information“. Leider falsch.

Nachtrag:

Vielleicht bin ich ja paranoid aber ich stelle mir gerade vor, der Rollstuhlfahrer im Innenministerium hätte gerne Zugriff auf so einen Account von mir. Dann könnte er doch ganz einfach die Datenkommunikation zu meinem Mailserver abhören, mir mein Passwort zuschicken lassen und hat damit auch mein Passwort für den Account.

4 Comments

  1. Den Bedenken stimme ich zu, trotzdem installiere ich mir überall sofort Temporary Inbox (1). Dieses Firefox-Add-on und eine separate und gelegentlich getauschte Zwischenadresse für Newsletter und Foren, die ich öfter besuchen will, haben meine Mail-Adresse in den letzten Jahren weitgehend Spam-frei gehalten.

    (1) http://www.smokinggun.de/?p=292

    PS: Ist das eigentlich Absicht, dass in den drei Feldern über dem Kommentarkasten die Schrift weiß auf hellgrau ist?

    Comment by AndreasA — 7. März 2008 @ 11:19

  2. Vielleicht brauchen wir wirklich demnächst eine Möglichkeit, echte „Einmaladressen“ zu verwenden. Also Mailadressen, die zufällig generiert werden und nur ein einziges mal (oder eine bestimmte Zeit lang) verwendet werden können.

    So 2005 rum wollte mir die Firma Privacy Inc. (damals http://www.privacyinc.com, heute tot) ein Produkt namens Opaque verkaufen. Damit konnte sich jeder Nutzer eine temporäre E-Mail-Adresse vom Stil ECB87F8A05D68FB475153AA881865F91@example.com erzeugen und angeben wie lange und eventuell von wem er auf dieser Adresse E-Mails empfangen will. Die Privacy-Leute wollten allerdings rund 15 Euro pro Benutzer für die Funktion und das war in Deutschland natürlich nicht vermittelbar.

    Ich kenne aber auch Heise-User die Mailadressen im Stil von heise-feb08@example.com haben und jeden Monat die dort veröffentlichte Mailadresse ändern. Wenn man seinen Mailhost selbst kontrolliert kann man das leicht selbst einstellen.

    Comment by Christian — 7. März 2008 @ 19:25

  3. Ach ja, das weiß (oder gelb) auf hellgrau … das war so im Style drin und ich kenn mich mit CSS ja besonders gut aus. Ich habe das jetzt versucht zu ändern, hoffentlich ohne Nebenwirkungen.

    Comment by Christian — 7. März 2008 @ 19:44

  4. Kommentare gesperrt wegen Spam

    Comment by Christian — 7. Juni 2012 @ 11:32

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.