Durch einen Software-Fehler wurden seit Mitte 2013 teils echte Kontaktdaten in der Whois-Datenbank - quasi dem Internet-Telefonbuch - veröffentlicht. Dabei sollte für die über Google Apps registrierten Domains eine Anonymisierung erfolgen, um ihre Inhaber vor potenziellem Datenmissbrauch wie Identitätsdiebstahl oder gezielten Phishing-Attacken zu schützen. Mittlerweile ist das Problem wieder behoben.
«Whois ist grundsätzlich wichtig, um festzustellen, wem eine Domain gehört», betont Richard Wein, Geschäftsführer von nic.at. «Es muss aber Schutzmechanismen geben, die einem Datenmissbrauch vorbeugen.» Bei länderspezifischen Domains kümmern sich darum schon die Registrys. Im Fall von generischen Domains wie .com sind kommerzielle Anonymisierungsdienste beliebt. Einen solchen hat die Google-Apps-Panne ausgehebelt.
Verlängerungs-Fehler mit Folgen
Von der Datenpanne betroffen waren laut Cisco Talos über Google Apps registrierte Domains, die Anonymisierungs-Dienst «ID Protect» des Google-Partners eNom nutzen und einmal verlängert wurden. Ein Software-Fehler hat dazu geführt, dass bei der Verlängerung die Anonymisierung deaktiviert wurde.
Mittlerweile ist das Problem behoben. /
Dadurch sind seit etwa Mitte 2013 immer mehr direkte Kontaktdaten von Domain-Inhabern im Whois-Register veröffentlicht wurden, die beispielsweise E-Mail-Adresse, Telefonnummer und auch realweltliche Adresse umfassen.
Potenziell problematisch ist die Panne, da die Daten aus Whois-Einträgen von Kriminellen missbraucht werden könnten. eNom verweist in seiner Werbung für ID Protect beispielsweise auf Spam und Identitätsdiebstahl. Cisco Talos nennt zudem das sogenannte «Spear Phishing», also sehr gezielte Phishing-Attacken. Da Domain-Besitzer oft Unternehmer und potenziell wohlhabend sind, erscheinen sie dafür als ideale Opfer. Obwohl Google das Software-Problem mittlerweile gelöst hat, sind betroffene Domain-Inhaber nicht sicher. Die einmal veröffentlichten Daten bleiben nämlich in älteren, gespeicherten Whois-Caches erhalten, warnt Cisco Talos.
Anonymisierung: problematisch, doch wichtig
Unter den betroffenen Domains haben die Cisco-Sicherheitsexperten etliche gefunden, die mit schädlichen Machenschaften in Verbindung gebracht werden. Zwar sind hier auch die exponierten Daten oft gefälscht, doch immerhin können die Informationen helfen, Cyber-Bedrohungen zuzuordnen. Cyber-Kriminelle verstecken sich auch deshalb gern hinter Whois-Anonymisierungs-Diensten, weil diese Domain-Inhaberdaten selbst bei legitimen Anfragen - etwa zur Strafverfolgung - nicht oder nur unwillig herausgeben.
