Was ist Account-Harvesting?

Es gibt viele verschiedene Arten von Datenschutzverletzungen. Einige erfordern einen enormen Zeit-, Planungs- und Arbeitsaufwand seitens des Angreifers. Dies kann darin bestehen, dass Sie lernen, wie ein System funktioniert, bevor Sie eine überzeugende Phishing-Nachricht erstellen und diese an einen Mitarbeiter senden, der genügend Zugriff hat, damit der Angreifer sensible Details stehlen kann. Diese Art von Angriff kann zu einer großen Menge an verlorenen Daten führen. Quellcode und Unternehmensdaten sind häufige Angriffsziele. Andere Ziele sind Benutzerdaten wie Benutzernamen, Passwörter, Zahlungsdetails und PII wie Sozialversicherungsnummern und Telefonnummern.

Einige Angriffe sind jedoch nicht annähernd so kompliziert. Zugegebenermaßen haben sie auch nicht so große Auswirkungen auf alle Betroffenen. Das heißt aber nicht, dass sie kein Problem darstellen. Ein Beispiel dafür ist Account Harvesting oder Account Enumeration.

Kontoaufzählung

Haben Sie jemals versucht, sich bei einer Website anzumelden, nur um Ihnen mitzuteilen, dass Ihr Passwort falsch ist? Das ist doch eher eine konkrete Fehlermeldung, oder? Wenn Sie dann absichtlich einen Tippfehler in Ihren Benutzernamen oder Ihre E-Mail-Adresse machen, ist es möglich, dass die Website Ihnen mitteilt, dass ein „Konto mit dieser E-Mail-Adresse nicht existiert“ oder etwas Ähnliches. Sehen Sie den Unterschied zwischen diesen beiden Fehlermeldungen? Websites, die dies tun, sind anfällig für Account-Aufzählung oder Account-Harvesting. Einfach ausgedrückt: Durch die Bereitstellung von zwei verschiedenen Fehlermeldungen für die beiden verschiedenen Szenarien ist es möglich festzustellen, ob ein Benutzername oder eine E-Mail-Adresse ein gültiges Konto bei dem Dienst hat oder nicht.

Es gibt viele verschiedene Möglichkeiten, diese Art von Problem zu identifizieren. Das obige Szenario der zwei unterschiedlichen Fehlermeldungen ist ziemlich sichtbar. Es ist auch einfach zu beheben, geben Sie einfach eine allgemeine Fehlermeldung für beide Fälle an. So etwas wie „Der von Ihnen eingegebene Benutzername oder das eingegebene Passwort waren falsch“.

Andere Möglichkeiten, wie Konten geerntet werden können, sind Formulare zum Zurücksetzen von Passwörtern. Es ist praktisch, Ihr Konto wiederherstellen zu können, wenn Sie Ihr Passwort vergessen haben. Eine schlecht gesicherte Website kann jedoch wieder zwei verschiedene Meldungen anzeigen, je nachdem, ob der Benutzername, für den Sie versucht haben, ein Passwort zurückzusetzen, existiert. Stellen Sie sich vor: „Konto existiert nicht“ und „Passwort zurücksetzen gesendet, überprüfen Sie Ihre E-Mail“. Auch in diesem Szenario ist es möglich, durch Vergleichen der Antworten festzustellen, ob ein Konto vorhanden ist. Die Lösung ist auch die gleiche. Geben Sie eine allgemeine Antwort ein, etwa: „Eine E-Mail zum Zurücksetzen des Passworts wurde gesendet“, auch wenn es kein E-Mail-Konto gibt, an das Sie sie senden können.

Subtilität beim Account Harvesting

Beide der oben genannten Methoden sind in Bezug auf ihren Platzbedarf etwas laut. Wenn ein Angreifer versucht, einen der beiden Angriffe in großem Maßstab durchzuführen, wird er ziemlich leicht in praktisch jedem Protokollierungssystem auftauchen. Die Methode zum Zurücksetzen des Passworts sendet auch explizit eine E-Mail an jedes Konto, das tatsächlich existiert. Laut zu sein ist nicht die beste Idee, wenn du hinterhältig sein willst.

Einige Websites ermöglichen eine direkte Benutzerinteraktion oder Sichtbarkeit. In diesem Fall können Sie durch einfaches Surfen auf der Website die Bildschirmnamen aller Konten sammeln, auf die Sie stoßen. Der Bildschirmname kann oft der Benutzername sein. In vielen anderen Fällen kann es einen großen Hinweis darauf geben, welche Benutzernamen zu erraten sind, da die Leute häufig Variationen ihrer Namen in ihren E-Mail-Adressen verwenden. Diese Art des Account-Harvesting interagiert zwar mit dem Dienst, ist jedoch im Wesentlichen nicht von der Standardnutzung zu unterscheiden und daher viel subtiler.

Eine gute Möglichkeit, subtil vorzugehen, besteht darin, die angegriffene Website überhaupt nicht zu berühren. Wenn ein Angreifer versucht, sich Zugriff auf eine Unternehmenswebsite zu verschaffen, die nur Mitarbeitern vorbehalten ist, kann er möglicherweise genau das tun. Anstatt die Website selbst auf Probleme mit der Benutzeraufzählung zu überprüfen, können sie woanders hingehen. Durch das Durchsuchen von Websites wie Facebook, Twitter und insbesondere LinkedIn kann es möglich sein, eine ziemlich gute Liste von Mitarbeitern eines Unternehmens aufzubauen. Wenn der Angreifer dann das E-Mail-Format des Unternehmens ermitteln kann, z. B. [email protected], kann er tatsächlich eine große Anzahl von Konten stehlen, ohne sich jemals mit der Website zu verbinden, die er mit ihnen angreifen möchte.

Gegen beide Account-Harvesting-Techniken kann wenig unternommen werden. Sie sind weniger zuverlässig als die ersten Methoden, können aber verwendet werden, um aktivere Methoden der Kontoaufzählung zu informieren.

Der Teufel steckt im Detail

Eine allgemeine Fehlermeldung ist im Allgemeinen die Lösung, um eine aktive Kontoaufzählung zu verhindern. Manchmal sind es jedoch die kleinen Details, die das Spiel verraten. Standardmäßig liefern Webserver Statuscodes, wenn sie auf Anfragen antworten. 200 ist der Statuscode für „OK“, was Erfolg bedeutet, und 501 ist ein „interner Serverfehler“. Eine Website sollte eine allgemeine Nachricht enthalten, die anzeigt, dass ein Passwort zurückgesetzt wurde, auch wenn dies tatsächlich nicht der Fall war, weil es kein Konto mit dem angegebenen Benutzernamen oder der angegebenen E-Mail-Adresse gab. In einigen Fällen sendet der Server jedoch immer noch den Fehlercode 501, selbst wenn die Website eine Erfolgsmeldung anzeigt. Für einen Angreifer, der auf die Details achtet, reicht dies aus, um festzustellen, ob das Konto wirklich existiert oder nicht.

Wenn es um Benutzernamen und Passwörter geht, kann sogar die Zeit eine Rolle spielen. Eine Website muss Ihr Passwort speichern, aber um zu vermeiden, dass es preisgegeben wird, falls sie kompromittiert ist oder einen bösartigen Insider hat, besteht die Standardpraxis darin, das Passwort zu hashen. Ein kryptografischer Hash ist eine mathematische Einwegfunktion, die bei derselben Eingabe immer dieselbe Ausgabe liefert, aber wenn sich nur ein einziges Zeichen in der Eingabe ändert, ändert sich die gesamte Ausgabe vollständig. Indem Sie die Ausgabe des Hashs speichern, dann das von Ihnen übermittelte Passwort hashen und den gespeicherten Hash vergleichen, können Sie überprüfen, ob Sie das richtige Passwort übermittelt haben, ohne Ihr Passwort jemals wirklich zu kennen.

Details zusammenfügen

Gute Hashing-Algorithmen brauchen einige Zeit, um abgeschlossen zu werden, normalerweise weniger als eine Zehntelsekunde. Dies reicht aus, um Brute Force zu erschweren, aber nicht so lange unhandlich zu sein, wenn Sie nur einen einzigen Wert überprüfen. Es könnte für einen Website-Ingenieur verlockend sein, eine Ecke zu sparen und sich nicht die Mühe zu machen, das Passwort zu hashen, wenn der Benutzername nicht existiert. Ich meine, es gibt keinen wirklichen Punkt, da es nichts zu vergleichen gibt. Das Problem ist die Zeit.

Auf Webanfragen wird normalerweise in einigen zehn oder sogar etwa hundert Millisekunden eine Antwort angezeigt. Wenn der Passwort-Hashing-Prozess 100 Millisekunden dauert und der Entwickler ihn überspringt, kann das auffallen. In diesem Fall würde eine Authentifizierungsanforderung für ein nicht vorhandenes Konto aufgrund der Kommunikationslatenz in etwa 50 ms eine Antwort erhalten. Eine Authentifizierungsanfrage für ein gültiges Konto mit einem ungültigen Passwort kann ungefähr 150 ms dauern, dies beinhaltet die Kommunikationslatenz sowie die 100 ms, während der Server das Passwort hasht. Indem er einfach prüft, wie lange es gedauert hat, bis eine Antwort zurückkommt, kann der Angreifer mit ziemlich zuverlässiger Genauigkeit feststellen, ob ein Konto existiert oder nicht.

Detailorientierte Aufzählungsmöglichkeiten wie diese beiden können genauso effektiv sein wie die offensichtlicheren Methoden zum Sammeln gültiger Benutzerkonten.

Auswirkungen des Account-Harvesting

Auf den ersten Blick scheint es kein allzu großes Problem zu sein, feststellen zu können, ob ein Konto auf einer Website existiert oder nicht existiert. Es ist nicht so, dass der Angreifer Zugriff auf das Konto oder irgendetwas erlangen konnte. Die Probleme sind in der Regel etwas umfassender. Benutzernamen sind in der Regel entweder E-Mail-Adressen oder Pseudonyme oder basieren auf echten Namen. Ein richtiger Name kann leicht an eine Person gebunden werden. Sowohl E-Mail-Adressen als auch Pseudonyme werden in der Regel auch von einer einzelnen Person wiederverwendet, sodass sie einer bestimmten Person zugeordnet werden können.

Stellen Sie sich also vor, ein Angreifer könnte feststellen, dass Ihre E-Mail-Adresse ein Konto auf der Website eines Scheidungsanwalts hat. Was ist auf einer Website über politische Nischenzugehörigkeiten oder bestimmte Gesundheitszustände? So etwas könnte tatsächlich sensible Informationen über Sie preisgeben. Informationen, die Sie dort draußen vielleicht nicht haben wollen.

Darüber hinaus verwenden viele Menschen immer noch Passwörter auf mehreren Websites. Dies, obwohl so ziemlich jeder den Sicherheitsratschlag kennt, für alles eindeutige Passwörter zu verwenden. Wenn Ihre E-Mail-Adresse in eine Big Data-Verletzung verwickelt ist, ist es möglich, dass der Hash Ihres Passworts bei dieser Verletzung enthalten ist. Wenn ein Angreifer Brute-Force anwenden kann, um Ihr Passwort aus dieser Datenpanne zu erraten, kann er versuchen, es an anderer Stelle zu verwenden. An diesem Punkt würde ein Angreifer Ihre E-Mail-Adresse und ein Passwort kennen, das Sie verwenden könnten. Wenn sie Konten auf einer Website aufzählen können, auf der Sie ein Konto haben, können sie dieses Passwort ausprobieren. Wenn Sie dieses Passwort auf dieser Website wiederverwendet haben, kann der Angreifer in Ihr Konto gelangen. Aus diesem Grund wird empfohlen, für alles eindeutige Passwörter zu verwenden.

Abschluss

Das Sammeln von Konten, auch als Kontoaufzählung bezeichnet, ist ein Sicherheitsproblem. Eine Schwachstelle bei der Kontoaufzählung ermöglicht es einem Angreifer festzustellen, ob ein Konto existiert oder nicht. Da es sich um eine Schwachstelle bezüglich der Offenlegung von Informationen handelt, sind ihre direkten Auswirkungen nicht unbedingt schwerwiegend. Das Problem ist, dass die Situation in Kombination mit anderen Informationen noch viel schlimmer werden kann. Dies kann dazu führen, dass sensible oder private Daten einer bestimmten Person zugeordnet werden können. Es kann auch in Kombination mit Datenschutzverletzungen von Drittanbietern verwendet werden, um Zugriff auf Konten zu erhalten.

Es gibt auch keinen legitimen Grund für eine Website, diese Informationen durchsickern zu lassen. Wenn ein Benutzer einen Fehler in seinem Benutzernamen oder Passwort macht, muss er nur zwei Dinge überprüfen, um zu sehen, wo er den Fehler gemacht hat. Das durch Kontoaufzählungsschwachstellen verursachte Risiko ist viel größer als der äußerst geringe Vorteil, den sie einem Benutzer bieten können, der einen Tippfehler im Benutzernamen oder Kennwort gemacht hat.