Sedo Account Erstellung durch Fremden

[Domster]

ich bekam die Email an nfo(at)domster/com, also eine Blödsinnsadresse. Ich nutze nebenbei auch die domster nicht bei Sedo. Passt also nicht wirklich zu Marcs Erklärung.Vorname und Nachname in der Email waren korrekt.

 

[vincenz]

Aber vielleicht hat der ungebetene Besucher nur den Emailversand losgelöst, der natürlich von SEDO personalisiert ist. Ob der Angreifer die Daten gesehen hat ist doch nur Glaskugel.

 

[Arithmos]

Aber vielleicht hat der ungebetene Besucher nur den Emailversand losgelöst, der natürlich von SEDO personalisiert ist. Ob der Angreifer die Daten gesehen hat ist doch nur Glaskugel.

Genau das vermute ich auch. Ich habe gerade mal testweise den Anmeldevorgang durchgespielt.
An dessen Ende findet man eine Seite, die unter einer wie folgt konstruierten URL aufgerufen werden kann (rot=Beispieldaten):

https://sedo.de/member/accountactivation.php?linkurl=/member/index.php3&reason=X&mid=1234567&email=[email protected]&userlanguage=20&tracked=0&partnerid=0&language=de

Die zugehörige html-Seite selbst enhält außer der e-Mail-Adresse (versteckt in diversen URLs im Quelltext zu finden) und der mid - zumindest inzwischen - keine weiteren Kundendaten.

Fehlerszenario:

Wenn nun vor Schließen der Lücke auch der Abruf der URL ohne oder mit falscher e-Mail-Adresse erfolgreich war - also z.B. so etwas wie

https://sedo.de/member/accountactivation.php?linkurl=/member/index.php3&reason=X&mid=1234567&userlanguage=20&tracked=0&partnerid=0&language=de

... dann konnte der Angreifer einfach durch bloßes durchiterieren der mid über die html-Antwort die zugehörigen e-Mail-Adressen auslesen. Gleichzeitig wurde dadurch der (erneute) Versand der Aktivierungs-e-Mail ausgelöst.

/Fehlerszenario

 

[Domster]

Ich habe die Emai an eine nie bei Sedo und überhaupt genutzte Emailadresse bekommen und dies ist nur passiert, weil ich da einen catchall draufhabe. Wie passt das?

Genau das vermute ich auch. Ich habe gerade mal testweise den Anmeldevorgang durchgespielt.
An dessen Ende findet man ...
Wenn nun vor Schließen der Lücke auch der Abruf der URL ohne oder mit falscher e-Mail-Adresse erfolgreich war - also z.B. so etwas wie

https://sedo.de/member/accountactivation.php?linkurl=/member/index.php3&reason=X&mid=1234567&userlanguage=20&tracked=0&partnerid=0&language=de

... dann konnte der Angreifer einfach durch bloßes durchiterieren der mid über die html-Antwort die zugehörigen e-Mail-Adressen auslesen. Gleichzeitig wurde dadurch der (erneute) Versand der Aktivierungs-e-Mail ausgelöst.

/Fehlerszenario

 

[Arithmos]

Ich habe die Emai an eine nie bei Sedo und überhaupt genutzte Emailadresse bekommen und dies ist nur passiert, weil ich da einen catchall draufhabe. Wie passt das?

Das passt, wenn ...

a) ...Dich Dein Gedächtnis im Stich lässt. Evtl. hast Du vor 10 Jahren mal eine Anmeldung gestartet und dann festgestellt, dass Du Dich bei der e-Mail-Adresse vertippt hast. (nfo@...). Die mid war da schon angelegt samt falscher e-Mail-Adresse (die durch catch-all dennoch ankommt) und Deinen sonstigen Daten

b) ... wenn jemand anders mit Deiner (nfo@..) Mail-Adresse einen Account eingerichtet hat. Kann jeder jederzeit machen. Deine zugehörigen Kontaktdaten stehen im whois dieser Domain. Deshalb gibt es ja auch diese Aktivierungs-e-Mail, damit der Account nicht ohne Zustimmung des tatsächlichen e-Mail-Inhabers in Betrieb genommen werden kann.

 

[STEPHAN]

Hacker-Angriff auf Domain-Handelsplatz Sedo | heise online

 

[webadressmiete]

Hier noch ein paar Antworten von Sedo:

https://sedo.de/d/news/3447/Zum-Thema-Datensicherheit-bei-Sedo/