E-Mail-Adressen von Kunden abrufbar
Wie heise.de unter Berufung auf den Security Blogger Brian Krebs berichtete, war es bis vor kurzem möglich in einer Webseite des Unternehmens LifeLock, durch Aufrufe bestimmter URLs die E-Mail-Adressen von LifeLock-Kunden abzurufen.
Ausgerechnet ein Unternehmen, das Sicherheitssoftware entwickelt, die vor Identitätsdiebstahl durch Hacker schützen soll, schützt nun seine Kunden nicht ausreichend. Wie weiter dazu verlautete gehört LifeLock seit Ende 2016 zu Symantec. In der Vergangenheit musste das Unternehmen bereits zwei Millionenstrafen wegen nicht gehaltener Werbeversprechen zahlen.
Schwachstelle behoben
Laut einem Statement von Symantec, das Krebs in seinem Blogeintrag zum Datenleck veröffentlichte, wurde die Schwachstelle auf der Webseite mittlerweile behoben. Mit Ausnahme von 70 E-Mail-Adressen, die der Entdecker der Lücke testweise abgerufen hat, sollen keinerlei Zugriffe auf die Daten erfolgt sein.
Zudem habe es sich bei der verwundbaren Seite nicht um die offizielle Internetpräsenz des Unternehmens, sondern lediglich um eine Marketing-Seite gehandelt, die von einem Drittanbieter verwaltet worden sei.
Phishing leicht gemacht
Wie Krebs dokumentierte enthielt die LifeLock URL der "Unsubscribe"-Site, auf der LifeLock-Kunden ihre Newsletter-Einstellungen verwalten konnten, den Parameter "subscriberkey", gefolgt von der jeweiligen Nutzer-ID. Und diese IDs waren auch noch fortlaufend: Mit Hilfe eines Scripts hätte der Entdecker der Lücke innerhalb kürzester Zeit nicht nur auf 70, sondern im Grunde auf sämtliche in der entsprechenden Datenbank hinterlegten E-Mail-Adressen zugreifen können. Krebs weist in diesem Zusammenhang darauf hin, dass im Jahr 2017 rund 4.5 Millionen Menschen LifeLock nutzten.
Wie es weiter dazu heißt war der Entdecker der Lücke selbst ehemaliger LifeLock-Kunde. Dieser war über einen Link in einer Werbe-Mail des Unternehmens auf der "Unsubscribe"-Seite gelandet, weil er keine weitere Werbung erhalten wollte. Wäre er selbst kriminell, so zitiert ihn Krebs sinngemäß, dann würde er einen gezielten Phishing-Angriff durchführen -- basierend auf der Kenntnis der E-Mail-Adressen in Kombination mit dem Wissen, dass sie LifeLock-Kunden gehören. Für besonders erfolgversprechend hält er solch ein Spear-Phishing-Szenario vor allem auch deshalb, weil die LifeLock-Zielgruppe sich nach seiner Einschätzung besonders leicht durch Cybercrime-Szenarien erschrecken lässt.
Problematische SSL-Verschlüsselung
Wie ein Leser von Krebs' Blog bemerkte, stimmte aber auch mit der SSL-Verschlüsselung auf der "Unsubscribe"-Seite etwas nicht: Das Schloss mit gelbem Warndreieck in der Browser-Adresszeile im Screenshot weist auf eine nicht abhörsichere Verbindung hin.
Weiterführende Links:
krebsonsecurity.com: LifeLock Bug Exposed Millions of Customer Email Addresses
heise.de: "Datenklau? Ja bitte": LifeLock schlampte mit E-Mail-Adressen
