Die Abenteuer meiner kompromittierten E-Mail-Adresse

Während ich darüber las, was den Leuten widerfuhr, die 2015 von der Datenschutzverletzung bei Ashley Madison betroffen waren, beschloss ich, über meine eigenen Abenteuer mit einer (kompromittierten) E-Mail-Adresse zu schreiben. (Nein, ich war nicht von dem A-M-Verstoß betroffen!)

Ein paar Infos zum Hintergrund: Die E-Mail-Adresse, über die ich spreche, ist meine erste E-Mail-Adresse. Ich glaube, ich habe sie 1998/1999 erstellt. Es war eines der ersten Dinge, die ich unternahm, als in meinem Wohnort im indischen Chennai ein neues Internetcafé eröffnet wurde. Ich war damals in der 11. Klasse.

Die gute alte E-Mail-Adresse von Yahoo! war für viele Spielereien im IRC-/Yahoo!-Chat verantwortlich. Ich habe meine ersten digitalen Fotos auf diesem Konto erhalten (hey, pinkbutterflybaby!) und mich von dieser E-Mail-Adresse aus für meinen ersten Job beworben. Im Laufe der Jahre hat sich diese Adresse als diejenige herauskristallisiert, die ich verwende, wenn eine gültige E-Mail erforderlich ist und eine grrl.to-Adresse nicht ausreicht.

In Anbetracht dessen, wie alt sie ist und wie oft sie geteilt wurde, wird sie in einer Reihe von Verstößen angezeigt. Die nervig lange Liste von HIBP führt sie bei Disqus, Tumblr, Trillian (ja, ich bin so alt!), Zynga (verdammtes Farmville!) usw. auf – und das dürfte ungefähr stimmen. Wir konnten viele dieser Listen für die Barracuda WAF Credential Stuffing Detection Database beschaffen, und ich bin „angenehm“ überrascht und beruhigt darüber, wie komplex und einzigartig meine alten Passwörter waren.

Seit etwa Februar 2019 habe ich drei interessante Beispiele dafür, dass diese E-Mail-Adresse verwendet wurde, um sich für verschiedene Dinge anzumelden.

Das erste (und interessanteste) war die frühmorgendliche Erstellung eines Instagram-Kontos.

(In der ersten E-Mail in dieser Suche ist zwar von einem neuen Login die Rede, aber die Kontoerstellung wurde nicht von mir vorgenommen –ich konnte diese E-Mails nicht finden und habe das Y!-E-Mail-Passwort sofort geändert.)

Als ich aufwachte, wurde ich auf diesen Login-Versuch aufmerksam und versuchte, mit dem zurückgesetzten Passwort in das Konto zu gelangen. Das funktionierte und das Konto hatte keine Follower/Posts. Da es sich gewissermaßen wie mein Konto anfühlte, habe ich das Passwort in ein sicheres geändert. Im Anschluss daran bemerkte ich einen Versuch der anderen Person, sich an diesem Tag anzumelden, und in den folgenden Monaten noch einige weitere Versuche. Das hat Spaß gemacht (für mich), da ich jetzt zwei „begehrenswerte“ Insta-Handles habe.

(Mein anderes Insta-Handle ist übrigens bei einem Namensvetter sehr begehrt. Diese Person versucht alle paar Wochen, durch Zurücksetzen des Passworts in das Konto einzudringen. Nach dem Aussehen seiner Freunde, die mich in zufälligen Bildern und Kommentaren taggen, ist er ein genervter Teenager.)

Das zweite Beispiel war eine einfachere Kontoerstellung.

Dies geschah, als ich wach war und mich definitiv nicht für den Newsletter angemeldet hatte. Leider war das Schließen des Kontos nicht möglich.

Das dritte Beispiel fand vor zwei Tagen statt.

Royal Panda ist ein Online-Casino, für das sich jemand mit meiner E-Mail-Adresse angemeldet hat.

Abgesehen von der ersten Instanz waren die verbleibenden Kontoerstellungen eher harmlos – einfach mehr Spam, für den ich mich nicht angemeldet hatte. Es war jedoch interessant mitzuerleben, wie eine gültige E-Mail-Adresse kompromittiert wird. Ich habe das Glück, dass ich diese Adresse nicht für Konten bei großen Unternehmen verwende. Allerdings wurde sie wahrscheinlich über große Websites wie Disney+ getestet, um Account Takeover zu versuchen. In Anbetracht der Tatsache, dass viele beliebte Dienste öffentlich angegriffen werden – und viele wahrscheinlich angegriffen wurden, ohne dass Details bekanntgegeben werden – ist es eine gute Idee, Warnmeldungen für Ihre E-Mail-Adressen auf Diensten wie haveibeenpwned.com einzurichten. Wenn Sie Ihre Passwörter in starke Passwörter ändern und einen guten Passwort-Manager zur Sicherung und Verwaltung verwenden, wird Ihr digitales Leben lange Zeit abgesichert sein.