6. März 2008

Ein wenig Vorsicht mit Wegwerfadressen bitte

Category: Datenschutz,Hacking,Internet — Christian @ 17:47

E-Mail Wegwerfadressen sind inzwischen ein sehr probates Mittel gegen die Spamflut und die Datensammelwut der diversen Webseitenanbieter geworden. Bei vielen Angeboten insbesondere aus dem amerikanischen Raum ist der Zugang nur nach Anmeldung möglich und hier müssen oft umfangreiche Daten wie Vorname, Nachname, E-Mail, Anschrift, etc. angegeben werden. Die Antwort des Gepeinigten ist daher gerne mal die Nutzung einer Wegwerfadresse sowie Angabe falscher Daten. Emaildienst.de ist beispielsweise ein bekannter Anbieter.

Man sollte allerdings mit diesen offenen Mailservern ein wenig aufpassen. Mit der simplen Eingabe eines Benutzernamens, z.B. Michael oder Andreas kommt man in die Mailbox dieses Users … was vom Prinzip ja auch so gedacht ist, aber ab und an interessante Einblicke enthält. Beispielsweise war anhand einer dieser Spam-Mails ersichtlich, dass john@emaildienst.de sich an der Webseite The Code Project angemeldet hat. Freundlicherweise erlaubt es diese Webseite, sich das „vergessene“ Passwort zuschicken zu lassen.

Also lassen wir das Passwort an john@emaildienst.de schicken, in dessen Postfach können wir ja freundlicherweise hineinsehen.

  • Login email: john@emaildienst.de
  • Password: frosch

Gut, das ist jetzt kein besonders gutes Passwort aber es funktioniert.

Mein Fazit: Wegwerfadressen sind ja ganz nett, aber man sollte bei der Nutzung doch bitte ein klein wenig aufpassen wofür man sie verwendet. Wenn der Account lediglich zum reinkucken oder Download verwendet wird ist es vermutlich egal ob jemand Zugang zum Passwort hat. Bei anderen Seiten die z.B. auch private E-Mail-Kommunikation erlauben kann die Verwendung solcher Adressen jedoch zum Sicherheitsrisiko werden. Man bleibt dann doch länger angemeldet als gedacht, tauscht private vertrauliche Infos aus und ein Fremder erhält jederzeit Zugriff auf die Kommunikation.

Sehr witzig finde ich in diesem Zusammenhang den Schluss der Mail: „If you received this email but did not yourself request the information, then rest assured that the person making the request did not gain access to any of your information“. Leider falsch.

Nachtrag:

Vielleicht bin ich ja paranoid aber ich stelle mir gerade vor, der Rollstuhlfahrer im Innenministerium hätte gerne Zugriff auf so einen Account von mir. Dann könnte er doch ganz einfach die Datenkommunikation zu meinem Mailserver abhören, mir mein Passwort zuschicken lassen und hat damit auch mein Passwort für den Account.