Ausgerechnet ein Anbieter von Software zum Schutz vor Identitätsdiebstahl ging im Internet nachlässig mit Kundendaten um.

Über eine Schwachstelle in einer Webseite des Unternehmens LifeLock war es laut Security-Blogger Brian Krebs bis vor kurzem möglich, durch Aufrufe bestimmter URLs die E-Mail-Adressen von LifeLock-Kunden abzurufen. Besonders peinlich ist dies vor allem deshalb, weil das Unternehmen Sicherheitssoftware entwickelt, die vor Identitätsdiebstahl durch Hacker schützen soll. LifeLock gehört seit Ende 2016 zu Symantec und musste in der Vergangenheit bereits zwei Millionenstrafen wegen nicht gehaltener Werbeversprechen zahlen.

Wie aus einem Statement von Symantec hervorgeht, das Krebs in seinem Blogeintrag zum Datenleck veröffentlichte, wurde die Schwachstelle auf der Webseite mittlerweile behoben. Mit Ausnahme von 70 E-Mail-Adressen, die der Entdecker der Lücke testweise abgerufen hat, sollen keinerlei Zugriffe auf die Daten erfolgt sein. Zudem habe es sich sich bei der verwundbaren Seite nicht um die offizielle Internetpräsenz des Unternehmens, sondern lediglich um eine Marketing-Seite gehandelt, die von einem Drittanbieter verwaltet worden sei.

Steilvorlage für Spear Phishing

Verriet ein bisschen zu viel: die URL der "Unsubscribe"-Seite von LifeLock. (Bild: krebsonsecurity.com)

Krebs hat das Sicherheitsproblem mit einem Screenshot dokumentiert. Demnach enthielt die URL der "Unsubscribe"-Site, auf der LifeLock-Kunden ihre Newsletter-Einstellungen verwalten konnten, den Parameter "subscriberkey", gefolgt von der jeweiligen Nutzer-ID. Und diese IDs waren auch noch fortlaufend: Mit Hilfe eines Scripts hätte der Entdecker der Lücke innerhalb kürzester Zeit nicht nur auf 70, sondern im Grunde auf sämtliche in der entsprechenden Datenbank hinterlegten E-Mail-Adressen zugreifen können. Krebs weist in diesem Zusammenhang darauf hin, dass im Jahr 2017 rund 4.5 Millionen Menschen LifeLock nutzten.

Der Entdecker der Lücke – selbst ehemaliger LifeLock-Kunde – war über einen Link in einer Werbe-Mail des Unternehmens auf der "Unsubscribe"-Seite gelandet, weil er keine weitere Werbung erhalten wollte. Wäre er selbst kriminell, so zitiert ihn Krebs sinngemäß, dann würde er einen gezielten Phishing-Angriff durchführen -- basierend auf der Kenntnis der E-Mail-Adressen in Kombination mit dem Wissen, dass sie LifeLock-Kunden gehören. Für besonders erfolgversprechend hält er solch ein Spear-Phishing-Szenario vor allem auch deshalb, weil die LifeLock-Zielgruppe sich nach seiner Einschätzung besonders leicht durch Cybercrime-Szenarien erschrecken lässt.

Wie ein Leser von Krebs' Blog bemerkte, stimmte aber auch mit der SSL-Verschlüsselung auf der "Unsubscribe"-Seite etwas nicht: Das Schloss mit gelbem Warndreieck in der Browser-Adresszeile im Screenshot weist auf eine nicht abhörsichere Verbindung hin. (ovw)