Sysprofile - kompromitiert/Databreach?

[azereus]

Hallo zusammen,

habe soeben eine Spammail auf eine einmalig verwendete Mailadresse erhalten.
Anhand des Betreffs dürft ihr raten welche es ist.

Mein Denkansatz ist folgender: Jeder Dienst (Internetseite bei dem Anmeldedaten notwendig sind) erhält eine eigene Mailadresse um etwaige missbräuchliche Verwendung zuordnen zu können. Mit einer eigenen Domain lässt sich das ja recht einfach handhaben.
Mir persönlich ist das schon einmal bei einem namhaften Onlineshop passiert (C*K*). Diesem wurde der Umstand damals mitgeteilt und rausgekommen ist offiziell nichts.


Wer von den Sysprofile-Usern hier im Forum hat eventuell auch einen ähnlichen Ansatz bei Verwendung seiner Services und verwendeten Mailadressen? Und wer hat eventuell ebenfalls eine Spammail auf eine einmalig verwendete Mailadresse erhalten?

Anhand meiner Keepass-Doku ist der letzte Zeitstempel zu dem ich für Sysprofile eine Änderung gemacht habe vom 25.9.2019. Leider wird nicht dokumentiert was ich hier geändert habe bzw. hab ich die Versionierung ausgeschaltet (warum auch immer). OK Gefunden. Datenbank-Wartung lösche Vorgängerverion älter als X Tage.

Return-path: <ishii@wasara.jp>
Envelope-to: MEINE-ENVELOPBE@MAINDOMAINNAME.TLD
Delivery-date: Sun, 08 Mar 2020 06:46:25 +0000
Received: from oogw1513.ocn.ad.jp ([153.153.67.15])
by mx.easyname.com with esmtp (Exim 4.89)
(envelope-from <ishii@wasara.jp>)
id 1jAphd-0009tX-U6
for sysprofile@MEINDOMAINNAME.TLD; Sun, 08 Mar 2020 06:46:24 +0000
Received: from cmn-spm-mts-006c1.ocn.ad.jp (cmn-spm-mts-006c1.ocn.ad.jp [153.153.67.160])
by oogw1513.ocn.ad.jp (Postfix) with ESMTP id DB350440646
for <sysprofile@MEINDOMAINNAME.TLD>; Sun, 8 Mar 2020 15:45:45 +0900 (JST)
Received: from mwb-vc-mts-004c1.ocn.ad.jp ([153.153.67.75])
by cmn-spm-mts-006c1.ocn.ad.jp with ESMTP
id Apg0jG6eaxHPyAph3jLSLI; Sun, 08 Mar 2020 15:45:45 +0900
X-BIZ-RELAY: yes
Received: from sgs-vcgw115.ocn.ad.jp ([153.149.141.196])
by mwb-vc-mts-004c1.ocn.ad.jp with ESMTP
id Aph3jXGxRFMlDAph3jF1jx; Sun, 08 Mar 2020 15:45:45 +0900
Received: from wasara.jp (wasara.jp [122.28.61.225])
by sgs-vcgw115.ocn.ad.jp (Postfix) with ESMTP id B0F77A40275
for <sysprofile@MEINDOMAINNAME.TLD>; Sun, 8 Mar 2020 15:45:45 +0900 (JST)
Received: from wasara.jp (unknown [27.66.245.94])
by wasara.jp (Postfix) with ESMTPA id CDDD728700E8D
for <sysprofile@MEINDOMAINNAME.TLD>; Sun, 8 Mar 2020 15:45:41 +0900 (JST)
Message-ID: <053CEF137AFE6EF9C95631CAF54666AB@wasara.jp>
From: "Lise" <ishii@wasara.jp>
To: "sysprofile" <sysprofile@MEINDOMAINNAME.TLD>
Subject: =?ISO-8859-1?Q?Speziell_f=C3=BCr_sysprofile?=
Date: Sun, 8 Mar 2020 06:46:39 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_87B5_45940A19.3D116D45"
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Mailer: Microsoft Outlook 16.0
X-MIMEOLE: Produced By Microsoft MimeOLE V16.4.3522.110
X-Spam-Score: 11.1
X-Spam-Score: 7.8
X-Easy-Spam: Yes

 

[xammu]

Spam wird einfach schrotschussartig verteilt, ich bekomme Mails auf Adressen die nur dafür eingerichtet wurden. (zum Beispiel gajdiebf@xyz.de)

Die Methode, die du vorschlägst, kann man machen wenn man Datenhandel aufdecken will. Aber gegen Spam eher nicht.

Und dann gibts das Problem, ein Leck muss nicht bei dem Händler auftreten für den die Adresse gedacht ist. Dann könnte man dem Händler zwar auf die Finger klopfen, aber die Adresse ist halt schon verteilt.

 

[azereus]

Naja aber wie kommt der Absender an eine einmalig verwendete Mailadresse?
Darum geht's mir und nicht um die Spammail an sich die ja zweifelsfrei als Spammail erkennbar ist.

Es muss also entweder auf der Serverseite des Dienstanbieters passiert sein oder gezielt "erraten" werden.

/edit: btw. einmalige Dienst-Mailadresse bei sysprofile inkl. User-PW soeben aktualisiert

 

[xammu]

Das sind Scripts die einfach die Adressen generieren und dann Mails abschicken.
Entweder zufällig oder über Wortlisten.

Aktive Domains lassen sich auch leicht herausfinden.

Über Botrechner, gekaperte Emailaccounts usw.

Aber in deine Falle wird die Mailadresse vermutlich einfach verkauft worden sein.

 

[BFF]

Oder die Adresse stammt von Deinem Mailanbieter. @azereus

Abgesehen davon, ist das Versenden an durch Wortlisten generierte Adressen mit oeffentlich auslesbaren Domaenennamen so unueblich nicht. Mails dieser Art bekomme ich ab und zu in eines meiner CatchAll.

BFF

 

[azereus]

Hm... gut das mit einem Script, aktive Dienstanbieter-Domain und danach generieren lass ich mir einreden.

@BFF sind nur CatchAll-forwards und auf dem Mailserver meines Anbieters nicht existent. Hier gibt es genau eine tatsächliche Adresse.

/edit: hab ich mir gerade selbst wieder eine tolle aufgabe auferlegt die verwendeten Dienstanbieter-Mailadressen more-unique zu verbessern... dienstabieter.datum@domain.tld oder dienst.randomzeichen.nochwas@domain.tld

 

[xammu]

Mach sie doch komplett zufällig. 7 Buchstaben sollten reichen.

 

[azereus]

Würde natürlich auch funktionieren und zusätzlich ~5sek Zuordenbarkeit in Anspruch nehmen bei eintreffendem Problemfall. Ich denk mir mal etwas aus

 

[DNSFrage]

@xammu
Ich habe auch schon oft Spam auf zufällige Adressen erhalten. Also sowas gibt es schon.
Der Spam, welcher aber auf meine einmaligen Adressen kam, kommt meist aber auf Grund eines Datenlecks/Verkaufs beim Anbieter, wo ich die Adresse verwende. Habe da auch schon genug Fälle. Wenn Spammer wirklich so zufällig E-Mailadressen generieren, dass sie meine verwendeten treffen, müssten da deutlich mehr sein und auch von bekannten Unternehmen ala amazon@meinedomain.tld
Da dies aber nicht der Fall ist, gehe ich davon aus, dass meine einmaligen Adressen dem Anbieter abhanden gekommen sind und nicht zufällig getroffen wurde. Habe das System seit 15 Jahren laufen und dadurch denke ich eine gute Stichprobe.

 

[azereus]

und ob sysprofile kompromitiert ist
das 2te mal eine 1x verwendete adresse für spam missbraucht.

tja wem melden wir das nachdem sysprofile tot ist?