350 Millionen E-Mails wurden in einem Eimer gefunden, der seit 2018 möglicherweise freigelegt wurde

Wenn Sie Ihre E-Mail-Adresse in ein Registrierungsformular eingeben, sind Sie sich wirklich sicher, wo sie landen wird? Die Antwort lautet "Nein, bist du nicht." Sie könnten denken, dass nur der Dienstanbieter, bei dem Sie ein Konto erstellen, es sieht, aber die Wahrheit ist, dass dies häufig nicht der Fall ist.

Zusätzlich zu der Tatsache, dass einige Website-Betreiber Ihre Daten (mit oder ohne Ihre Zustimmung) an Dritte weitergeben, können Ihre persönlichen Daten auch gestohlen werden. Wenn Hacker sie nehmen, können sie sie für ihre eigenen böswilligen Kampagnen verwenden oder sie an andere Cyberkriminelle verkaufen. Sie können sie auch in einen falsch konfigurierten Amazon S3-Bucket legen und für 18 Monate vergessen.

Forscher finden eine vergessene Menge an E-Mail-Adressen in einem exponierten S3-Bucket

Anfang Juni stieß ein Forscherteam von CyberNews in einer sehr langen Reihe ungeschützter AWS S3-Buckets, die die persönlichen Informationen von Millionen ahnungsloser Benutzer enthalten, auf das nächste.

Ihre Untersuchung konnte den Besitzer des Eimers nicht bestimmen, weshalb sie Amazon direkt benachrichtigten, und am 10. Juni wurden die Daten offline gezogen. Bis dahin war es jedoch mindestens 18 Monate lang exponiert. Während dieser Zeit hätte jeder, der wusste, wo er suchen sollte, auf die darin enthaltenen Daten zugreifen können. Aber was hat der undichte Eimer genau freigelegt?

Die gute Nachricht ist, dass die Forscher keine Passwörter, Kreditkartendaten, Sozialversicherungsnummern oder andere Informationen gefunden haben, die direkt zu Identitätsdiebstahl führen könnten. Stattdessen enthielt der Eimer insgesamt 350 Millionen eindeutige E-Mail-Adressen, die laut CyberNews 2018 gestohlen wurden.

Obwohl dies bei weitem nicht das größte Datenleck ist, das wir je gesehen haben, ist die Anzahl definitiv signifikant. Die betroffenen Benutzer sind einem sehr realen Risiko ausgesetzt, eine Flut von Spam-E-Mails zu erhalten. Wenn die Angreifer ausreichend motiviert sind, könnten die Opfer auch durch unheimlichere Kampagnen angegriffen werden. CyberNews hat einen HaveIBeenPwned-ähnlichen Prüfer zusammengestellt, der Ihnen anzeigt, ob sich Ihre E-Mail-Adresse im exponierten Eimer befand.

Die Daten waren auf einer ziemlichen Reise

Die Offenlegung Ihrer E-Mail-Adresse ohne Ihre Zustimmung ist nicht angenehm, aber es muss gesagt werden, dass das Fehlen besonders sensibler Informationen den potenziellen Schaden minimiert, den das Leck verursachen könnte. Noch besorgniserregender ist die Anzahl der unbeantworteten Fragen zur Herkunft der Daten.

Es gab insgesamt 67 Dateien im S3-Bucket, aber die exponierten E-Mail-Daten befanden sich in 21 von ihnen. Sieben CSV-Tabellen enthielten die Adressen in Hash-Form. Weitere sieben CSVs enthielten dieselben Daten, die nur mit dem schwachen MD5-Algorithmus gehasht und gesalzen wurden. Die letzten sieben Tabellen enthielten die 350 Millionen E-Mail-Adressen im Klartext.

Die Zeitstempel der Dateien deuten darauf hin, dass die Daten anfangs mit einem Algorithmus gehasht wurden, den CyberNews nicht benannt hat. Die Cyberkriminellen haben es offenbar gebrochen und festgestellt, dass derjenige, der die Daten gesammelt hat, MD5 zusätzlichen Schutz gewährt hat. Nachdem sie es geschafft hatten, landeten die Hacker mit den Klartextdaten.

Natürlich bleibt der Ursprung der E-Mails unbekannt, was bedeutet, dass dies alles mehr oder weniger Spekulation ist. Zusätzlich zu den E-Mails enthielt der undichte Eimer auch Sprachaufzeichnungen von Verkaufsgesprächen über ein inzwischen nicht mehr existierendes Unternehmen namens RepWatch. RepWatch hat so gut wie keine Online-Spuren hinterlassen, aber anscheinend war es ein Reputationsüberwachungsdienst, der Online-Vermarktern dabei half, ihre Ziele leichter zu erreichen. Es funktionierte nicht mehr lange bevor die CSV-Dateien den Weg in den exponierten Amazon-Bucket fanden. Daher ist es wirklich schwierig zu sagen, ob eine Verbindung besteht.

Aus heutiger Sicht gibt es mehr Fragen als Antworten. Nach allem, was wir wissen, ist der Organisation, die die E-Mail-Adressen ursprünglich gesammelt hat, möglicherweise nicht einmal der Diebstahl bekannt. Der einzige Silberstreifen für die betroffenen Benutzer ist, dass keine anderen Daten von diesem bestimmten Bucket offengelegt wurden. Trotzdem sollten die Opfer die Augen nach möglichen Betrügereien offen halten.