zurück zum Artikel

Google-Panne: Inhaberdaten von 300.000 geschützten Domains einsehbar

Google leakt Whois-Records

Google bietet seinen Kunden die Möglichkeit, Domains zu registrieren, ohne dass dabei persönliche Daten in den Whois-Einträgen auftauchen. Durch einen Bug waren die Informationen trotzdem abrufbar.

Google hat versehentlich die Identitäten von fast 300.000 Google-Apps-Kunden offengelegt[1], wie Cisco bemerkt hat. Diese Kunden hatten ihre Domains bei dem Registrar eNom über Google registriert und dabei von der Option Gebrauch gemacht, ihre persönlichen Daten im Whois-Eintrag zu anonymisieren.

In den öffentlich zugänglichen Einträgen steht so statt des Namens und der Adresse des Kunden nur Herr oder Frau "Whois Agent" von der Firma "Whois Privacy Protection Service Inc." auf – so sollte es zumindest sein.

Durch einen Fehler bei Google standen in den Whois-Einträgen dennoch die echten Daten der Kunden, einschließlich Mail-Adresse und Telefonnummer. Laut Ciscso betraf der Fehler 282.867 Domains. Offenbar schlich sich der Bug Mitte 2013 ein. Nach diesem Zeitpunkt wurde die Anonymisierungsfunktion bei allen eNom-Domains nach und nach ausgeschaltet – unabhängig vom Wunsch des Kunden. Der Effekt trat erst ein Jahr nach der Domain-Registrierung auf, wenn Google die Domain für seinen Kunden verlängerte. Domains sind regelmäßig zu verlängern, um nicht wieder freigegeben werden. Darum kümmert sich im Regelfall der Registrar.

Nachdem Google von Cisco über das Datenschutzproblem unterrichtet wurde, beseitigte der Suchmaschinenriese den Fehler und entschuldigte sich bei seinen Kunden. Das hilft den Betroffenen allerdings nur wenig – Dienste wie Domaintools[2] archivieren regelmäßig die Whois-Einträge zahlloser Domains und machen sie Interessierten auch im Nachhinein zugänglich.

Google ist seit kurzem auch Registrar – und wirbt mit Privatsphäre.
Google ist seit kurzem auch Registrar – und wirbt mit Privatsphäre.

Bei den Google-Apps-Kunden ist der Privatsphärenschutz offenbar sehr beliebt: Die Option ist bei etwa 94 Prozent der über Google registrierten eNom-Domains aktiv. Anders als bei der DENIC, welche die Top-Level-Domain .de verwaltet, muss im Whois-Eintrag einer .com-Domain keine natürliche Person stehen. Daher können Registrare ganz offen damit werben, auf Wunsch die Identität ihrer Kunden zu verschleiern. Auch Google versucht sich seit kurzem selbst als Registrar und verspricht[3] dabei: "Private registration at no additional cost". (rei[4])


URL dieses Artikels:
http://www.heise.de/-2574423

Links in diesem Artikel:
[1] http://blogs.cisco.com/security/talos/whoisdisclosure
[2] https://www.domaintools.com/
[3] https://domains.google.com/about/features.html#domain-privacy
[4] mailto:rei@heise.de