{"id":35,"date":"2013-01-31T15:30:29","date_gmt":"2013-01-31T14:30:29","guid":{"rendered":"http:\/\/www.jakoblell.com\/blog\/?p=35"},"modified":"2019-02-03T11:15:30","modified_gmt":"2019-02-03T10:15:30","slug":"informationsleak-bei-vielen-webseiten-und-online-bewerbungsportalen","status":"publish","type":"post","link":"https:\/\/www.jakoblell.com\/blog\/2013\/01\/31\/informationsleak-bei-vielen-webseiten-und-online-bewerbungsportalen\/","title":{"rendered":"Informationsleak bei vielen Webseiten und Online-Bewerbungsportalen"},"content":{"rendered":"

English version of this post<\/a><\/p>\n

1. Zusammenfassung<\/strong><\/p>\n

F\u00fcr die Nutzung vieler Webseiten wie z.B. Foren, Partnerb\u00f6rsen, Bewerbungsportalen, Newslettern oder sozialen Netzwerken muss man sich als Benutzer registrieren. F\u00fcr diese Registrierung ist in der Regel die Angabe einer Mailadresse sowie eines frei w\u00e4hlbaren Pseudonyms als Benutzername erforderlich. Die meisten Internetnutzer gehen dabei davon aus, dass lediglich das Pseudonym \u00f6ffentlich sichtbar ist und die Mailadresse vom Betreiber der Seite vertraulich behandelt wird. Je nach Art der Seite sollte bereits die Existenz eines Accounts zu einer bestimmten Person\/Mailadresse geheimgehalten werden, weil bereits die Existenz eines Accounts gewisse R\u00fcckschl\u00fcsse \u00fcber den Accountinhaber zul\u00e4sst. Eine Registrierung in einem Forum zu einer bestimmten Krankheit l\u00e4sst beispielsweise den Schluss zu, dass der Accountinhaber an dieser Krankheit leidet. Durch das hier vorgestellte Problem k\u00f6nnen unbefugte Dritte bei vielen Webseiten einfach feststellen, ob zu einer bestimmten Mailadresse ein Account existiert. Im Falle eines Bewerbungsportals bedeutet die Existenz eines Accounts in der Regel, dass der Accountinhaber sich bei der Firma beworben hat. Damit kann ein Arbeitgeber herausfinden, dass sich einer seiner Mitarbeiter bei einer anderen Firma bewirbt.<\/p>\n

2. Beschreibung des Problems<\/strong><\/p>\n

Das Problem besteht darin, dass man beim Registrieren eines Accounts eine entsprechende Fehlermeldung bekommt, wenn bereits ein Account mit der angegebenen Mailadresse oder dem gew\u00e4hlten Benutzernamen existiert. Ein unbefugter Dritter kann damit durch den Versuch einer Registrierung mit der Mailadresse oder dem Benutzernamen des potentiellen Accountinhabers feststellen, ob eine Mailadresse oder ein Benutzername bereits auf einer Seite registriert ist.<\/p>\n

Die Mailadresse ist fest einer Person zugeordnet und somit kann man aus der Existenz eines Accounts zu einer Mailadresse schlie\u00dfen, dass der Besitzer der Mailadresse sich auf der Seite registriert hat. Ein Arbeitgeber kennt in der Regel zumindest eine private Mailadresse des Mitarbeiters und kann somit feststellen, ob sich der Mitarbeiter mit dieser Mailadresse im Bewerbungsportal einer anderen Firma registriert hat. Man kann \u00fcber dieses Problem zwar keine Details \u00fcber den Account wie z.B. das verwendete Pseudonym zu einer Mailadresse oder das abgeschickte Bewerbungsschreiben herausfinden. Allerdings kann allein das Offenbaren der Existenz eines Accounts im Bewerbungsportal einer konkurrierenden Firma unerw\u00fcnschte Konsequenzen f\u00fcr das bestehende Arbeitsverh\u00e4ltnis des Bewerbers haben.<\/p>\n

F\u00fcr einige Seiten wie z.B. Bewerbungsportale kann der Benutzername in vielen F\u00e4llen ebenfalls fest einer bestimmten Person zugeordnet werden (insbesondere bei seltenen Namen und\/oder kleinen Branchen), da viele Nutzer dort einen vorhersehbaren Namen wie z.B. \"Vorname.Nachname\" oder ein dem bisherigen Arbeitgeber bekanntes Pseudonym w\u00e4hlen und auf eine vertrauliche Behandlung der Daten vertrauen.<\/p>\n

Manche Webseiten verzichten auf einen eigenen Benutzernamen und verwenden zum Einloggen statt dessen nur die Mailadresse und das Passwort. Bei anderen Seiten wird ein zuf\u00e4lliger Benutzername vom System vergeben. Bei den meisten dieser Seiten l\u00e4sst sich ebenfalls durch den Versuch einer Neuregistrierung feststellen, ob eine bestimmte Mailadresse bereits registriert ist.<\/p>\n

3. Verbreitung des Problems bei Bewerbungsportalen<\/strong><\/p>\n

Ich habe durch den Versuch einer Doppeltregistrierung mit dem gleichen Benutzernamen bzw. der gleichen Mailadresse die Bewerbungsportalen von einigen gro\u00dfen Firmen getestet. Von den 30 Konzernen im DAX-Aktienindex sind 27 von dem Problem betroffen. Die \u00fcbrigen 3 Firmen betreiben entweder kein Bewerbungsportal oder erm\u00f6glichen nur direkte Bewerbungen ohne vorherige Registrierung eines Accounts. Daher gehe ich davon aus, dass die \u00fcberwiegende Mehrheit der Firmen, die ein Online-Bewerbungsportal betreiben, von dem Problem betroffen sind. Auch die Bewerbungsportale von vielen internationale Konzerne wie z.B. IBM oder Intel sind von dem Problem betroffen.<\/p>\n

4. Andere problematische Online-Accounts<\/strong><\/p>\n

Das Problem tritt nicht nur bei Bewerbungsportalen sondern auch bei diversen weiteren Webseiten wie z.B. Online-Shops, Foren, Newslettern, sozialen Netzwerken oder Partnerb\u00f6rsen auf. Allein die Existenz eines Accounts in einem Forum l\u00e4sst in einigen F\u00e4llen bereits problematische R\u00fcckschl\u00fcsse \u00fcber den Accountinhaber zu. Beispielsweise k\u00f6nnte ein Arbeitgeber anstelle der verbotenen Frage nach einer Schwangerschaft \u00fcberpr\u00fcfen, ob eine Bewerberin mit der f\u00fcr die Bewerbung verwendeten Mailadresse in einem Forum zum Thema Schwangerschaft registriert ist und gegebenenfalls unter einem Vorwand auf eine Einstellung verzichten. Auch eine Registrierung in einem Forum zu einem sensitiven Thema wie z.B. Arbeitnehmerrechte, Homosexualit\u00e4t, bestimmten politischen\/weltanschaulichen Ansichten\/Aktivit\u00e4ten, Krankheiten (z.B. HIV) oder psychischen Problemen sollte nicht f\u00fcr jeden sichtbar sein. Die meisten Nutzer gehen davon aus, dass die Mailadresse vom Betreiber des Forums vertraulich behandelt wird und nur ein frei w\u00e4hlbares Pseudonym \u00f6ffentlich sichtbar ist. Daher kann es h\u00f6chst problematisch sein, wenn jeder, der die Mailadresse kennt, eine Mitgliedschaft in einem derartigen Forum feststellen kann.<\/p>\n

5. M\u00f6glicher Missbrauch durch Cyberkriminelle<\/strong><\/p>\n

Die Existenz eines Accounts in einem Forum oder einem Supportportal zu bestimmten Hardware- oder Softwarekomponenten kann einem Angreifer verraten, dass ein Benutzer bestimmte Hardware\/Software benutzt. Damit kann ein Angreifer gezielt Sicherheitsl\u00fccken in diesen Komponenten ausnutzen.<\/p>\n

Cyberkriminelle k\u00f6nnten das Problem verwenden, um die Effektivit\u00e4t ihrer Angriffe zu steigern. Beispielsweise ist es m\u00f6glich, Phishing-Mails gezielt nur an die Mailadressen zu schicken, die auf der jeweiligen Seite tats\u00e4chlich registriert sind. Beim Versuch einer Account\u00fcbernahme durch Ausprobieren des Passworts (oder der Sicherheitsfrage zum Zur\u00fccksetzen des Passworts) kann es f\u00fcr einen Angreifer ebenfalls sinnvoll sein, vorher zu \u00fcberpr\u00fcfen, ob zu einem bestimmten Benutzernamen oder einer Mailadresse tats\u00e4chlich ein Account existiert.<\/p>\n

6. Best\u00e4tigungsmails<\/strong><\/p>\n

Manche Seiten schicken beim Versuch einer Registrierung eine Best\u00e4tigungsmail an die angegebene Mailadresse. \u00dcber diese Best\u00e4tigungsmail kann der Nutzer erkennen, dass jemand versucht hat, sich mit der Mailadresse des Nutzers zu registrieren.<\/p>\n

Einige Seiten zeigen (beispielsweise durch eine entsprechende Ajax-Anfrage an den Server) bereits vor Abschicken des Registrierungsformulars an, ob eine Mailadresse oder ein Benutzername bereits registriert ist. In diesem Fall wird keine Best\u00e4tigungsmail an den Besitzer der Mailadresse geschickt. Andere Seiten weisen nach dem Abschicken des Registrierungsformulars auf die bereits vergebene Mailadresse hin, auch wenn die Registrierung bereits aus anderen Gr\u00fcnden wie z.B. einem fehlenden Passwort, einem bereits vergebenen Benutzernamen oder nicht ausgef\u00fcllten Pflichtfeldern scheitert. In diesem Fall wird ebenfalls keine Best\u00e4tigungsmail verchickt und ein Angreifer kann dennoch feststellen, ob eine Mailadresse auf der Seite registriert ist.<\/p>\n

Selbst wenn eine Best\u00e4tigungsmail verschickt wird, wird diese von den meisten Nutzern ignoriert, da sie sich nicht selbst registriert haben und kommen nicht auf die Idee, dass jemand versuchen k\u00f6nnte, mit der Mailadresse registrierte Online-Accounts zu finden. Und selbst wenn ein Benutzer das Problem kennt, kann es schwierig oder unm\u00f6glich sein, den Verantwortlichen f\u00fcr den Angriff zu finden.<\/p>\n

7. L\u00f6sungsm\u00f6glichkeiten f\u00fcr Seitenbetreiber<\/strong><\/p>\n

Technisch l\u00e4sst sich das Problem durch eine entsprechende Anpassung der betroffenen Webseiten l\u00f6sen. Je nach Art der Seite muss man dazu auf einen frei w\u00e4hlbaren Benutzernamen verzichten, weil dieser ja schon vergeben sein kann und dies zwangsl\u00e4ufig zu einer Fehlermeldung beim Versuch einer Neuregistrierung mit dem selben Benutzernamen f\u00fchrt. Bei Seiten, auf denen der gew\u00e4hlte Benutzername\/Nickname sowieso \u00f6ffentlich sichtbar ist (z.B. Foren oder Partnerb\u00f6rsen) und sich die meisten Nutzer mit einem Pseudonym registrieren, ist dies nat\u00fcrlich unproblematisch. Bei anderen Seiten wie z.B. Bewerbungsportalen, auf denen eine vertrauliche Behandlung der Daten allgemein erwartet wird und viele Benutzer sich nicht mit einem Pseudonym sondern mit dem richtigen Namen registrieren, ist wahrscheinlich ein Verzicht auf einen frei w\u00e4hlbaren Benutzernamen notwendig. Statt dessen kann man entweder einen zuf\u00e4lligen Namen vergeben oder ganz auf den Benutzernamen verzichten und die Mailadresse als Benutzername verwenden.<\/p>\n

Das selbe Problem tritt auch bei der Mailadresse auf. Wenn man versucht, sich mit einer bereits registrierten Mailadresse erneut zu registrieren, dann bekommt man bei den meisten Webseiten ebenfalls eine Fehlermeldung bzw. die Aufforderung, sich mit dem bestehenden Account einzuloggen. Als L\u00f6sung f\u00fcr dieses Problem k\u00f6nnte man eine Verifizierung der Mailadresse durch einen Best\u00e4tigungslink einf\u00fchren. Falls die Mailadresse bereits registriert ist, dann kann man auf eine Fehlermeldung gegen\u00fcber dem anfragenden Webbrowser verzichten und statt der Best\u00e4tigungsmail eine Erinnerung an den bestehenden Account verschicken. Auf diese Weise kann nur der Besitzer der Mailadresse feststellen, ob es zu der Mailadresse bereits einen Account gibt.<\/p>\n

Auch bei der \"Passwort Zur\u00fccksetzen\" Funktion sowie beim \u00c4ndern der Mailadresse zu einem bestehenden Account (den der Angreifer zu diesem Zweck leicht registrieren kann) muss sichergestellt werden, dass man aus dem Verhalten der Seite keine R\u00fcckschl\u00fcsse auf die Existenz einer bestimmten Mailadresse ziehen kann.<\/p>\n

Die hier vorgeschlagenen Ma\u00dfnahmen sind allerdings mit einem gewissen Zusatzaufwand verbunden und f\u00fchren unter Umst\u00e4nden zu Einbu\u00dfen beim Komfort (kein selbst gew\u00e4hlter Benutzername, Verifizierungslink f\u00fcr Mailadresse) sowie erh\u00f6htem Supportaufwand. Daher besteht nat\u00fcrlich ein gewisser Konflikt zwischen der Benutzerfreundlichkeit und dem Schutz der Privatsph\u00e4re. F\u00fcr einige Seiten wie z.B. Bewerbugsportale, Partnerb\u00f6rsen oder Foren \u00fcber bestimmte Themen ist jedoch offensichtlich, dass die Privatsph\u00e4re der Benutzer gesch\u00fctzt werden muss und die Seite nicht unbefugten Dritten die Existenz von Accounts verraten sollte.<\/p>\n

8. Schutzm\u00f6glichkeiten f\u00fcr Benutzer<\/strong><\/p>\n

Benutzer k\u00f6nnen ebenfalls durch bestimmte Ma\u00dfnahmen ihre Privatsp\u00e4hre sch\u00fctzen. Beispielsweise kann man f\u00fcr die Registrierung sensitiver Accounts eine neue Mailadresse bei einem Freemail-Provider registrieren. Allerdings ist das Registrieren und Verwalten von vielen Mailaccounts problematisch, weil man sich alle Mailadressen und Passw\u00f6rter merken muss sowie regem\u00e4\u00dfig eingehende Mails von allen Accounts abrufen muss. Als Alternative kann man bei einigen Mailprovidern wie z.B. Hotmail eine begrenzte Zahl von Alias-Adressen f\u00fcr einen Account erzeugen und dadurch mit einem einzigen Account mehrere Mailadressen benutzen. Zus\u00e4tzlich erm\u00f6glichen es viele Provider, an die Mailadresse ein \"+\" und einen weiteren String anzuh\u00e4ngen. Beispielsweise kann man f\u00fcr die Registrierung eines Accounts die Adresse john.doe+someRandomString@email.provider anstelle von john.doe@email.provider verwenden. Da ein Angreifer nur die Basisadresse (john.doe@email.provider) und nicht den zuf\u00e4lligen String danach kennt, kann er nicht feststellen, ob der Benutzer einen Account registriert hat. Allerdings sollte man dann bereits beim Anlegen des Accounts ber\u00fccksichtigen, dass man f\u00fcr ein eventuell n\u00f6tiges Passwort-Reset die volle Mailadresse ben\u00f6tigt, mit der man sich registriert hat. Daher ist es sinnvoll, sich bei der Registrierung eines Accounts die verwendete Mailadresse aufzuschreiben.<\/p>\n

Wenn man bereits einen sensitiven Account mit einer nicht geheimen Mailadresse registriert hat, dann kann man bei vielen Seiten die Mailadresse in den Profileinstellungen nachtr\u00e4glich \u00e4ndern oder den Account l\u00f6schen und damit die Existenz des Accounts verschleiern. Allerdings blockieren manche Seiten auch nach einer \u00c4nderung der Mailadresse weiterhin die Neuregistrierung mit der alten Mailadresse und offenbaren somit die Tatsache, dass ein Account zu der Mailadresse existiert oder existiert hat.<\/p>\n

Au\u00dferdem kann man als Benutzer betroffene Seitenbetreiber informieren, wenn die Existenz eines Accounts aufgrund der Art bzw. des Themas der Seite unbedingt vertraulich bleiben sollte.<\/p>\n

Wenn man die Existenz eines Accounts verbergen will, dann sollte man nat\u00fcrlich einen Benutzernamen w\u00e4hlen, der (auch von Bekannten oder dem Arbeitgeber) nicht einfach erraten werden kann. Dies ist offensichtlich f\u00fcr Seiten mit \u00f6ffentlich sichtbaren Benutzernamen\/Nicks (z.B. Foren oder Partnerb\u00f6rsen). Aufgrund des hier beschriebenen Problems sollte man jedoch auch bei Seiten wie Bewerbungsportalen, auf denen man eine vertrauliche Behandlung der Daten erwartet, einen nichterratbaren Benutzernamen verwenden.<\/p>\n","protected":false},"excerpt":{"rendered":"

English version of this post 1. Zusammenfassung F\u00fcr die Nutzung vieler Webseiten wie z.B. Foren, Partnerb\u00f6rsen, Bewerbungsportalen, Newslettern oder sozialen Netzwerken muss man sich als Benutzer registrieren. F\u00fcr diese Registrierung ist in der Regel die Angabe einer Mailadresse sowie eines … Continue reading →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"_links":{"self":[{"href":"https:\/\/www.jakoblell.com\/blog\/wp-json\/wp\/v2\/posts\/35"}],"collection":[{"href":"https:\/\/www.jakoblell.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.jakoblell.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.jakoblell.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.jakoblell.com\/blog\/wp-json\/wp\/v2\/comments?post=35"}],"version-history":[{"count":13,"href":"https:\/\/www.jakoblell.com\/blog\/wp-json\/wp\/v2\/posts\/35\/revisions"}],"predecessor-version":[{"id":169,"href":"https:\/\/www.jakoblell.com\/blog\/wp-json\/wp\/v2\/posts\/35\/revisions\/169"}],"wp:attachment":[{"href":"https:\/\/www.jakoblell.com\/blog\/wp-json\/wp\/v2\/media?parent=35"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.jakoblell.com\/blog\/wp-json\/wp\/v2\/categories?post=35"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.jakoblell.com\/blog\/wp-json\/wp\/v2\/tags?post=35"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}