Sedo Account Erstellung durch Fremden

Domster · 15. Apr. 2014

ich bekam die Email an nfo(at)domster/com, also eine Blödsinnsadresse. Ich nutze nebenbei auch die domster nicht bei Sedo. Passt also nicht wirklich zu Marcs Erklärung.Vorname und Nachname in der Email waren korrekt.

vincenz · 15. Apr. 2014

Aber vielleicht hat der ungebetene Besucher nur den Emailversand losgelöst, der natürlich von SEDO personalisiert ist. Ob der Angreifer die Daten gesehen hat ist doch nur Glaskugel.

Arithmos · 15. Apr. 2014

vincenz schrieb:
Aber vielleicht hat der ungebetene Besucher nur den Emailversand losgelöst, der natürlich von SEDO personalisiert ist. Ob der Angreifer die Daten gesehen hat ist doch nur Glaskugel.

Genau das vermute ich auch. Ich habe gerade mal testweise den Anmeldevorgang durchgespielt.
An dessen Ende findet man eine Seite, die unter einer wie folgt konstruierten URL aufgerufen werden kann (rot=Beispieldaten):

https://sedo.de/member/accountactivation.php?linkurl=/member/index.php3&reason=X&mid=1234567&email=[email protected]&userlanguage=20&tracked=0&partnerid=0&language=de

Die zugehörige html-Seite selbst enhält außer der e-Mail-Adresse (versteckt in diversen URLs im Quelltext zu finden) und der mid - zumindest inzwischen - keine weiteren Kundendaten.

Fehlerszenario:

Wenn nun vor Schließen der Lücke auch der Abruf der URL ohne oder mit falscher e-Mail-Adresse erfolgreich war - also z.B. so etwas wie

https://sedo.de/member/accountactivation.php?linkurl=/member/index.php3&reason=X&mid=1234567&userlanguage=20&tracked=0&partnerid=0&language=de

... dann konnte der Angreifer einfach durch bloßes durchiterieren der mid über die html-Antwort die zugehörigen e-Mail-Adressen auslesen. Gleichzeitig wurde dadurch der (erneute) Versand der Aktivierungs-e-Mail ausgelöst.

/Fehlerszenario

Domster · 15. Apr. 2014

Ich habe die Emai an eine nie bei Sedo und überhaupt genutzte Emailadresse bekommen und dies ist nur passiert, weil ich da einen catchall draufhabe. Wie passt das?

Arithmos schrieb:
Genau das vermute ich auch. Ich habe gerade mal testweise den Anmeldevorgang durchgespielt.
An dessen Ende findet man ...
Wenn nun vor Schließen der Lücke auch der Abruf der URL ohne oder mit falscher e-Mail-Adresse erfolgreich war - also z.B. so etwas wie

https://sedo.de/member/accountactivation.php?linkurl=/member/index.php3&reason=X&mid=1234567&userlanguage=20&tracked=0&partnerid=0&language=de

... dann konnte der Angreifer einfach durch bloßes durchiterieren der mid über die html-Antwort die zugehörigen e-Mail-Adressen auslesen. Gleichzeitig wurde dadurch der (erneute) Versand der Aktivierungs-e-Mail ausgelöst.

/Fehlerszenario

Arithmos · 15. Apr. 2014

Domster schrieb:
Ich habe die Emai an eine nie bei Sedo und überhaupt genutzte Emailadresse bekommen und dies ist nur passiert, weil ich da einen catchall draufhabe. Wie passt das?

Das passt, wenn ...

a) ...Dich Dein Gedächtnis im Stich lässt. Evtl. hast Du vor 10 Jahren mal eine Anmeldung gestartet und dann festgestellt, dass Du Dich bei der e-Mail-Adresse vertippt hast. (nfo@...). Die mid war da schon angelegt samt falscher e-Mail-Adresse (die durch catch-all dennoch ankommt) und Deinen sonstigen Daten

b) ... wenn jemand anders mit Deiner (nfo@..) Mail-Adresse einen Account eingerichtet hat. Kann jeder jederzeit machen. Deine zugehörigen Kontaktdaten stehen im whois dieser Domain. Deshalb gibt es ja auch diese Aktivierungs-e-Mail, damit der Account nicht ohne Zustimmung des tatsächlichen e-Mail-Inhabers in Betrieb genommen werden kann.

STEPHAN · 15. Apr. 2014

Hacker-Angriff auf Domain-Handelsplatz Sedo | heise online

webadressmiete · 16. Apr. 2014

Hier noch ein paar Antworten von Sedo:

https://sedo.de/d/news/3447/Zum-Thema-Datensicherheit-bei-Sedo/

Welcome!

Sedo Account Erstellung durch Fremden

Domster

New member

vincenz

New member

Arithmos

Erfahrener Benutzer

Domster

New member

Arithmos

Erfahrener Benutzer

STEPHAN

Active member

webadressmiete

New member

Similar threads

Wir schützen deine Privatsphäre