Als ob Sie nicht schon genug Angst vor dem Internet haben (und seinem Potenzial, Ihre persönlichen Daten zu zerstören), kommt etwas, das Sie noch paranoider macht. Fragen Sie einfach PlayStation-Benutzer oder diejenigen, die von Firesheep belauscht wurden. Die heutige Verwundbarkeit des Tages? Abgelaufene Domains. Die technischen Veteranen unter uns sind wahrscheinlich bereits damit vertraut, aber es scheint, dass das Ablaufen eines Domainnamens, insbesondere wenn er mit anderen Online-Konten verknüpft ist, Ihre persönlichen Daten preisgibt und Sie anfällig für möglichen Identitätsdiebstahl macht.

Heute der britische Entwickler und Hacker Ben Reyes hat einen Beitrag geschrieben, in dem es beschrieben wird wie er über eine abgelaufene Domain auf Gmail, Google-Kalender, Kontakte und mehr einer anderen Person zugreifen konnte, was ihm wiederum den Zugriff auf weitere Webkonten wie Amazon ermöglichte.

Es begann, als Reyes kürzlich versuchte, eine neu registrierte Domain mit Google Apps zu verknüpfen. Die Google Apps-Seite antwortete umgehend auf die Anfrage und teilte mit, dass die Domain bereits registriert sei. Vielen Dank, versuchen Sie es noch einmal. Der Grund dafür war, dass der Vorbesitzer des Domainnamens ihn an Google Apps gebunden hatte. Also durchlief Reyes den Domain-Rückgewinnungsprozess, bewies, dass er der neue Eigentümer war, und schwupps, ihm wurde Zugang gewährt.

Screen Shot 2011 05 18 At 6 46 42 Pm

Nachdem er sich angemeldet hatte, begann der Spaß. Bei Google Apps hatte er die Wahl zwischen zwei Administratorkonten, also wählte er zufällig eines aus, wählte ein neues Passwort und meldete sich an. Anschließend blickte er auf den gesamten E-Mail-Verlauf, die Kalender und die Kontakte einer Person, die er nicht kannte . Hätte Reyes böswillige Absichten gehegt, hätte er diese Informationen vermutlich nutzen können, um einen Angriff auf die Person und die von ihr unterstützten Organisationen zu starten.

Siehe auch  Nichelle Nichols, Uhura von Star Trek, starb im Alter von 89 Jahren

Er konnte schnell herausfinden, dass es sich bei der betreffenden Person um den Besitzer eines Amazon Web Services-Kontos handelte, also schickte er eine Anfrage zum Zurücksetzen des Passworts an Amazon, änderte das Passwort und erhielt schnell Zugriff. Wenn man bedenkt, dass Amazon und die meisten anderen Online-Dienste lediglich eine E-Mail-Adresse benötigen, um ein Konto wiederherzustellen, können Sie hier die Gefahr eines ernsthaften Identitätsdiebstahls erkennen. Darüber hinaus konnte Reyes mit dem Zugriff auf AWS problemlos den Namen, die Adresse und die letzten vier Ziffern der Kreditkarte der Person wiederherstellen. Huch.

Auch hier könnte jemand, der sich besser mit der dunklen Seite auskennt, die oben genannten Informationen leicht nutzen, um sich Zugang zum PayPal-Konto der Person zu verschaffen und weitere Finanzinformationen zu stehlen, ganz zu schweigen von Dateien und persönlichen Informationen, die auf Dropbox und Facebook gespeichert sind.

Reyes machte natürlich den Besitzer des AWS-Kontos, auf das er zugegriffen hatte, aufmerksam und machte ihn auf die Sicherheitslücke aufmerksam – und auf seinen Blog-Beitrag, den er anschließend auf Hacker News veröffentlicht hatte. Tatsächlich stellt sich heraus, dass es sich bei der betreffenden Person um den leitenden Angestellten eines gut finanzierten und ziemlich bekannten Startups handelt. Wenn das also jemandem mit technischem Know-how passieren kann, kann es jedem passieren.

Reyes hat auch Google kontaktiert, um sie auf die Sicherheitslücke aufmerksam zu machen. Google hat noch keine konkreten Angaben dazu gemacht, ob das Problem behoben wurde oder nicht, aber dies verdeutlicht nur das größere Problem, um das es hier geht, nämlich dass er problemlos über eine Wildcard-E-Mail-Adresse auf das Amazon-Konto der Person hätte zugreifen können. Das bedeutet, dass es ziemlich einfach ist, Ihre persönlichen Daten über eine abgelaufene Domain zu stehlen, die mit Google Apps verknüpft ist.

Siehe auch  Picards Produktionsteam bei Enterprise-D Recreation

Entsprechend Stuckdomainses gibt mehr als 33 Millionen abgelaufene Domains im Web. Ich denke, viele von uns haben den einen oder anderen Domainnamen ablaufen lassen, aber es stellt offensichtlich ein großes Sicherheitsrisiko dar, dies zu tun, während noch andere Konten damit verbunden sind. Auch wenn eine abgelaufene Domain nicht mit Google Apps verknüpft ist, könnte man beispielsweise ein Amazon-Konto zum Sammeln persönlicher Daten verwenden.

Inbox Pixel Scaled1000Aber Google Apps bietet offensichtlich eine einfachere Möglichkeit, herauszufinden, welche Konten bereits mit der Domain verknüpft sind. Und das gilt auch für Nicht-Techniker. Sie müssen kein Hacker sein. Viele von uns verknüpfen Domains rechtmäßig mit Google Apps und könnten das Gleiche erleben.

Reyes und ich waren uns einig, dass dies dazu führen könnte, dass VCs und Investoren (ganz zu schweigen von Menschen auf der ganzen Linie) zu diesen vergessenen Domains zurückkehren, um sich erneut zu registrieren – um zu verhindern, dass ihre E-Mail-Adressen an eifrige junge Startups weitergegeben werden. (Gott bewahre es.) Und mehr.

Immerhin sagten einige Benutzer im Kommentarbereich des Beitrags auf Hacker News, dass sie bereits Skripte geschrieben hätten, um alle neu abgelaufenen Domain-Namen zu scannen, um zu überprüfen, ob sie mit Google Apps verbunden sind. Megamark16 mischte sich ein und sagte: „Ich habe ungefähr 10 Minuten gebraucht, um ein Python-Skript zu schreiben, das eine Liste kürzlich abgelaufener Domains abruft und jede Domain daraufhin überprüft, ob es sich um eine gültige Google Apps-Domain handelt. Das ist ein ziemlich ernstes Problem, wenn es überhaupt noch möglich ist, Konten zu übernehmen, wie es im Artikel heißt.“

Nach allem, was wir sagen können und nach dem, was Reyes von Google gelernt hat, besteht das Problem immer noch. „Es ist beängstigend, sich vorzustellen, dass Black-Hat-Hacker mit diesen Informationen möglicherweise über ihre alten Domains an die persönlichen Daten eines Benutzers gelangen könnten. Online-Programmierer diskutieren bereits über automatisierte Möglichkeiten, Domains zu finden, mit denen Informationsgoldminen verbunden sind. Diese Informationen können verhindern, dass Menschen mit heruntergelassenen Hosen erwischt werden.“

Ziehen Sie also Ihre Hosen hoch und überwachen Sie diese abgelaufenen Domains. Wenn Sie dies nicht tun, könnten Sie den bezahlten Urlaub eines anonymen Hackers auf Tahiti sponsern. Fragen Sie einfach Reyes, der dank der Freunde, die er über Google Apps gewonnen hat, wahrscheinlich jetzt Zeit an seinem neuen Kindle verbringt.

Siehe auch  Harley Quinn Staffel 3 startet am 28. Juli

Auch wenn meine Überschrift vielleicht etwas übereifrig ist, da dies wahrscheinlich auf einen faulen Webmaster zurückzuführen ist oder es sich um einen absichtlichen Designfehler handelt, handelt es sich offensichtlich um ein großes Problem.

Wir werden aktualisieren, sobald wir mehr erfahren. Hier ist der Link Als Referenz auch auf Reyes‘ Beitrag.

Anzeige

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein