Ehemalige E-Mailadressen interessant für Hacker
E-Mailadressen gehören heute zur digitalen Identität jeden Internetnutzers. Sie sind Mittel zur Autorisierung in Online-Shops, bei Banken und Webdiensten. Über Mailadressen korrespondieren Nutzer weltweit miteinander, mit Geschäftspartnern und Services. Bei vergessenem Passwort für einen Login wird dieses in der Regel an die hinterlegte E-Mailadresse gesendet.
Die IT Experten vom Fraunhofer Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) mit Sitz in Bonn warnen jetzt in einem Forschungsbericht vor einer Sicherheitslücke, die durch sogenannte „abgelegte“ E-Mailadressen entstehen kann.
Identitätsdiebstahl mit „alten“ E-Mailadressen
Im Laufe des digitalen Lebens „sammeln“ Nutzer oftmals E-Mailadressen, die von Providern meist kostenfrei angeboten werden. Oft geben Nutzer einige Adressen nach einem gewissen Zeitraum wieder zurück. Bei vielen Providern ist es Gang und Gäbe, alte Mailadressen nach einer Zeit der Nichtnutzung wieder freizugeben und an andere Nutzer zu vergeben. Genau in diesem Gebaren liegt ein großes Gefahrenpotential, denn kaum ein Nutzer weiß genau, welche Daten er unter den Mailadressen gespeichert hat und wo er genau mit dieser Adresse angemeldet ist bzw. war. Und eine Übersicht, welche Mailadressen, die in Nutzung waren und abgemeldet wurden, hat sowieso niemand.
Im Jahr 2017 haben sich IT Experten auf einer Tagung in Graz zu dem Phänomen „Use after free mail“ verständigt und und ein gemeinsames Forschungsprojekt zum Thema begonnen, dessen Ergebnisse jetzt vorgestellt wurden.
In dem Bericht ist von einem Gefahrenpotential durch abgelegte Mailadressen die Rede. Hacker könnten so einen groß angelegten Identitätsdiebstahl betreiben. Der Bericht stellt dar, dass von mehr als 600 Millionen kostenlosen E-Mail-Adressen, rund 33,5 Prozent nicht mehr gültig sind. Ein sogenannter „Testangriff“ der Experten vom FKIE auf nicht genutzte Mailadressen hatte eine Erfolgsquote von 18%. Die IT-Forscher weisen darauf hin, dass diese Sicherheitslücke auch auf abgelegte Mobilfunknummern oder KFZ Kennzeichen übertragbar sein könnte.
Die Studienergebnisse wurden Free-Mail-Providern vorgelegt. Die Experten gaben dazu Empfehlungen, wie Mailadressen und Kundendaten in Zukunft besser geschützt werden könnten. Ein Vorreiter in Bezug auf Mail-Sicherheit ist Google, der eine E-Mailadresse jeweils nur einmal vergibt und sie nach Rückgabe bzw. Ablauf der Zeit unbrauchbar macht.