So verstehen Sie Account Harvesting
Der Umgang mit Datenlecks ist wie ein Cybersicherheits-Spiel. Manche Datenlecks sind groß, erfordern viel Planung, das Erlernen aller Details eines Systems und das Verfassen überzeugender Phishing-Nachrichten. Diese können zu schwerwiegenden Datenlecks führen – etwa Quellcode, vertrauliche Unternehmensdateien oder Benutzerinformationen wie Passwörter und Sozialversicherungsnummern. Doch nicht jedes Datenleck ist so kompliziert oder schädlich. Manchmal geht es nur um winzige Sicherheitslücken, wie z. B.Account Harvesting oder Account Enumeration. Das klingt zwar kompliziert, ist aber im Grunde die Methode des Hackers, heimlich herauszufinden, welche Benutzernamen oder E-Mails tatsächlich zu echten Konten gehören, ohne dass Alarm geschlagen wird.
So funktioniert die Kontoaufzählung
Wenn Sie schon einmal versucht haben, sich bei einer Website anzumelden und dabei eine andere Meldung angezeigt bekommen, wenn Ihr Passwort falsch ist, als wenn Ihre E-Mail-Adresse oder Ihr Benutzername nicht existiert, ist das ein klassisches Zeichen für Kontoaufzählung. Wenn die Website „Falsches Passwort“ anzeigt, obwohl der Benutzername richtig ist, aber „Konto existiert nicht“, erhalten Hacker eine klare Übersicht über gültige Konten. Warum ist das so schlimm? Weil sie so ohne großen Aufwand an echte Benutzerdaten gelangen. Bei manchen Systemen ist dies ganz offensichtlich – nur eine andere Fehlermeldung, und sie können eine ziemlich genaue Liste aktiver Benutzer erstellen.
Die Behebung dieses Problems ist jedoch kein Hexenwerk. Sie müssen lediglich einen allgemeinen Fehler wie „Der eingegebene Benutzername oder das eingegebene Passwort ist falsch“ anzeigen, unabhängig davon, ob das Konto existiert oder nicht. Klingt einfach, ist aber ein einfacher Schritt, um solche Informationslecks weniger offensichtlich zu machen.
Heimliches Account Harvesting
Okay, das ist aber nur die laute Version. Möchte ein Angreifer unauffällig bleiben, kann er auch subtiler vorgehen. Anstatt sich ausschließlich auf Fehlermeldungen zu verlassen, kann er die Website durchsuchen, Benutzerprofile einsehen oder sogar öffentlich zugängliche Informationen von LinkedIn, Facebook oder Twitter nutzen. Im Grunde genommen kann er durch das Sammeln von Benutzernamen oder E-Mail-Mustern eine Liste potenzieller Zielkonten erstellen, ohne die Anmeldeformulare direkt anzugreifen. Da dies keine Fehlermeldungen auslöst, ist es in Protokollen deutlich schwieriger zu erkennen.
Hacker nutzen außerdem manchmal die Namenskonventionen für E-Mail-Adressen von Unternehmen, beispielsweise [email protected]. Durch das Erraten der E-Mail-Formate können sie unzählige plausible Konten sammeln, ohne die Angriffsfläche direkt zu berühren. Das ist zwar etwas merkwürdig, macht den Angriff aber leiser – viel subtiler als Brute-Force-Anmeldeversuche oder massive Anmeldefluten.
Details, die das Spiel verraten
Manchmal sind es winzige Details, die verraten, ob Account-Ermittlung stattfindet. Webserver liefern Statuscodes wie 200 OKoder 501 Internal Server Error– die bei unsachgemäßer Handhabung Informationen preisgeben können. Wenn beispielsweise auf Ihrer Seite zum Zurücksetzen des Passworts „E-Mail zum Zurücksetzen des Passworts gesendet“ angezeigt wird, obwohl die E-Mail nicht in der Datenbank vorhanden ist, der Server aber dennoch mit dem Fehlercode 501 antwortet, kann ein Angreifer anhand des Netzwerkverkehrs feststellen, ob das Konto existiert oder nicht. Denn natürlich müssen Windows- und Webhosting-Systeme bei ihren Antworten *nervig* präzise sein.
Und wenn das Hashing von Passwörtern nicht richtig durchgeführt wird, ist das eine weitere Möglichkeit für Angreifer, anhand der Reaktionszeit herauszufinden, ob das Konto existiert. Wenn Ihr Server 100 ms braucht, um ein Passwort für ein gültiges Konto zu hashen, aber sofort antwortet, wenn das Konto nicht existiert, können Angreifer die benötigte Zeit messen und daraus schließen, ob das Konto echt oder gefälscht ist. Ich bin mir nicht sicher, warum das funktioniert, aber bei manchen Setups macht es einen spürbaren Unterschied. Timing-Angriffe gibt es also.
Alle Puzzleteile zusammenfügen
Was ist die wichtigste Erkenntnis? Sicherheit umfasst viele kleine Details. Es kann einen großen Unterschied machen, sicherzustellen, dass Fehlermeldungen immer generisch sind, HTTP-Statuscodes korrekt verarbeitet werden und keine zeitlichen Unterschiede in den Antworten offengelegt werden. Denn natürlich lieben Hacker diese kleinen Schwachstellen – sie sind leicht auszunutzen und können zu größeren Sicherheitslücken oder einfach nur zu einer netten kleinen Informationsbeschaffungstour führen.
In einem Setup funktionierte es, in einem anderen nicht so gut. Wenn Sie jedoch mit sensiblen Daten arbeiten, lohnt es sich, Ihre Anmelde- und Passwort-Reset-Abläufe auf diese subtilen Lecks zu überprüfen. Manchmal kann es später viel Ärger ersparen, wenn Sie einfach nur konsistente Antworten verwenden.
Warum dieses Zeug wichtig ist
Das Durchsickern von Informationen über die Existenz eines Kontos mag harmlos erscheinen, kann aber tatsächlich ziemlich sensible Informationen preisgeben. Stellen Sie sich vor, jemand findet heraus, dass Ihre E-Mail-Adresse auf einer Website zu Gesundheitsthemen oder politischen Ansichten registriert ist – das ist ziemlich unangenehm, oder? Außerdem werden diese wiederverwendeten Benutzernamen und Passwörter mit echten Personen verknüpft, was zukünftige Datendiebstähle erleichtert. Wenn jemand Ihre E-Mail-Adresse und Ihr Passwort durch einen Datendiebstahl an anderer Stelle in die Hände bekommt, könnte er diese Kombination auf anderen Websites ausprobieren – also Passwörter wiederverwenden? Nicht so toll.
All diese kleinen Lecks und Timing-Tricks scheinen für sich genommen vielleicht keine große Sache zu sein, aber Hacker sind clever. Sie können genügend Informationen zusammentragen, um Passwörter zu erraten, persönliche Daten zu identifizieren oder größere Angriffe zu planen.
Zusammenfassung
Die Kontoaufzählung ist eine heimtückische kleine Schwachstelle, die Kriminellen dabei helfen kann, herauszufinden, ob Sie irgendwo ein Konto haben. Es ist zwar nicht dasselbe wie das Hacken des Kontos selbst, aber es ist ein Sprungbrett, das später ausgenutzt werden kann. Die gute Nachricht? Das Problem lässt sich in der Regel recht einfach beheben – indem man Fehlermeldungen konsistent macht, auf Informationslecks in Antworten achtet und Zeitunterschiede minimiert. Denn je weniger sie wissen, desto besser.
Hoffentlich erspart dies jemandem Kopfschmerzen – diese kleinen Details sind wichtiger, als Sie denken.