qrios

IT ist kurios!

Heute im Angebot: 35 Millionen qualifizierte GMail-Adressen

5 Kommentare

Matthijs R. Koot von der Universität Amsterdam hat gestern einen Artikel gepostet der mich ungläubig mein Terminal aufmachen liess um zu überprüfen, was er da geschrieben hat. Die Liste aller GMail-Nutzer ist abrufbar und zwar ohne mit irgendeiner fiesen Brute-Force-Attacke zu arbeiten. Laut Koot hat er innerhalb eines Monats 35Mio Profile geladen.

Mein Google-Profil mit Location, Links zu Blog und tumblr und Buzz/twitter

Und tatsächlich erlaubt nach wie vor die robots.txt das automatische Durchforsten. Dank Sitemap-XML bekommt man sogar die komplette Liste frei Haus geliefert.

Die Sitemap enthält ca. 7000 URLs zu weiteren Listen von jeweils 5000 Profilen. Das macht tatsächlich 35.000.000 Profile. Eine Profil-URL enthält im Normalfall den Namen des Nutzers und die Nutzer-ID. Letztere ist offensichtlich identisch mit der GMail-Adresse. Hat der Nutzer – wie ich – weitere Angaben zu seiner Person gemacht sind diese auf dieser Seite verfügbar und können ausgelesen werden.

Bei mir ist zum Beispiel die Verknüpfung von twitter zu Buzz eingestellt, was meine Tweets verfügbar macht. Da ich manchmal auch Google Latitude verwende kann man mit minimalem Aufwand meinen Hauptaufenthaltsort aus der URL zu einer statischen Karte auslesen.

Ich bin mir doch ziemlich sicher, dass die meisten Nutzer von GMail kein gesteigertes Interesse daran haben, dass ihre Adressen mit Nutzernamen, Foto und möglicherweise weiteren Infos wie Picasa-Account in irgendwelchen Datenbanken von meist dubiosen Firmen oder Personen landen. Und ganz ehrlich: von den VZ-Netzwerken habe ich das Bewusstsein für den Schutz der Privatsphäre nicht erwartet. Von Google allerdings schon.


Written by qrios

May 25th, 2011 at 10:42 am

5 Responses to 'Heute im Angebot: 35 Millionen qualifizierte GMail-Adressen'

Subscribe to comments with RSS or TrackBack to 'Heute im Angebot: 35 Millionen qualifizierte GMail-Adressen'.

  1. Laut dem ersten Post von Koot sind nicht alle Profile mit einer GMail-Adresse verknüpft und daher sind *nur* 15 mio Adressen verfügbar. Nicht, dass das irgendeinen unterschied machen würde.

    Andreas

    26 May 11 at 11:22 am

  2. @Andreas: Ich habe versucht seine Aussage diesbezüglich zu verifizieren. Er hat insofern recht, dass bei einem Teil der User keine Weiterleitung von der URL mit der ID auf die URL mit dem Accountnamen stattfindet. Allerdings findet sich auch bei diesen Profilen im HTML-Code der Seite dann der tatsächliche Accountname. Insofern ist es bei denen, die in den Profileinstellungen die Einstellung geändert haben nur etwas aufwändiger. Aber auch nicht wirklich.

    qrios

    26 May 11 at 11:31 am

  3. Danke für die prompte Antwort! Bei mir scheint es sich aber doch noch etwas anders zu verhalten. Ich habe bei mir alles ausgeschaltet, was man ausschalten kann und finde meinen Account-Namen dann nicht im Code. Allerdings ist trotzdem der twitter feed (als json) mit meinem Alias drin. Das scheint ein einfach ein großer Haufen Scheisse Software zu sein.

    Andreas

    26 May 11 at 11:56 am

  4. Da sowohl Golem ( http://www.golem.de/1105/83744.html ) als auch Heise ( http://www.heise.de/security/meldung/Student-sammelt-15-Millionen-Googlemail-Adressen-1250971.html ) nicht in der Lage sind, die URLs in der sitemap.xml zu zählen: es sind 7104.

    qrios

    26 May 11 at 3:51 pm

  5. Was soll denn jetzt daran bitte problematisch sein? Die Leute legen sich einen Mailaccount zu und machen bei den Einstellungen offensichtlich Fehler oder zumindest übersehen sie irgendwelche Einstellungen. Ich bin mir sicher, dass in meinem Profil keine Informationen sind, die ich nicht der Öffentlichkeit preis geben will.

    ff

    26 May 11 at 10:45 pm

Leave a Reply