OkCupid’s fragwürdige E-Mail-Praktiken: Ein Warnsignal für die gesamte Internetgemeinschaft
Dieser Blogartikel wurde automatisch erstellt (und übersetzt). Er basiert auf dem folgenden Original, das ich für die Veröffentlichung auf diesem Blog ausgewählt habe:
Not OK, Cupid | Fastmail.
OkCupid's fragwürdige E-Mail-Praktiken: Ein Warnsignal für die gesamte Internetgemeinschaft
Es kommt vor, dass Unternehmen aufgrund ihres Verhaltens kritisiert werden müssen. Ein aktuelles Beispiel ist OkCupid, deren Umgang mit E-Mail-Validierung Anlass zur Sorge gibt.
Es begann mit einer Flut von "Willkommen bei OkCupid"-E-Mails, die an verschiedene Fastmail-Adressen gesendet wurden, darunter auch solche, die nie zuvor für E-Mails verwendet wurden und lediglich in einem Blogartikel von Fastmail erwähnt wurden. Es liegt nahe, dass jemand die Website gescraped und diese Adressen für Anmeldungen missbraucht hat.
Doch damit nicht genug: Es folgten Benachrichtigungen über Likes, Nachrichten und sogar eine E-Mail, die die Entfernung eines Fotos aufgrund unangemessener Inhalte meldete. Diese Entwicklung wirft ernste Fragen auf.
Die realen Konsequenzen mangelhafter E-Mail-Validierung
Dies ist mehr als nur eine Unannehmlichkeit. Websites, die E-Mail-Adressen nicht ordnungsgemäß validieren, können für böswillige Zwecke missbraucht werden. Angreifer können unbestätigte Anmeldungen nutzen, um Posteingänge zu überfluten und wichtige E-Mails in der Masse zu verstecken. Etablierte Best Practices für den verantwortungsvollen Umgang mit E-Mail-Anmeldungen werden von OkCupid offenbar ignoriert.
Der Versuch, sich über den "One-Click-Unsubscribe"-Button abzumelden, scheiterte mit einer Fehlermeldung. Der Versuch, das Passwort für eines der Konten wiederherzustellen, war hingegen erfolgreich. Anschließend wurde jedoch eine Bestätigung per SMS an eine unbekannte Telefonnummer verlangt. Dies wirft zusätzliche Sicherheitsbedenken auf: Ein Angreifer könnte zufällige Wiederherstellungsnummern an andere Opfer senden oder bestätigen, dass die E-Mail-Adresse aktiv überwacht wird, was ihren Wert für weitere Angriffe erhöht. Eine Kontolöschung war nicht möglich.
Der Kontakt zum OkCupid-Support brachte die wenig zufriedenstellende Antwort, dass der Nutzer entfernt und die E-Mail-Adresse gesperrt wurde. Dies erfordert jedoch die manuelle Kontaktaufnahme mit dem Support für jede einzelne E-Mail-Adresse, was weder praktikabel noch akzeptabel ist. Zudem landet die E-Mail-Adresse auf einer weiteren Blacklist, ohne dass der Betroffene Kontrolle darüber hat.
Die Bedeutung verantwortungsvollen Verhaltens
Die Nutzbarkeit von E-Mail hängt vom verantwortungsvollen Verhalten aller Dienstanbieter ab. Unternehmen, die fragwürdige oder unangebrachte Praktiken anwenden, verschlechtern das Internet für alle. Die mangelhafte E-Mail-Validierung bei OkCupid ist inakzeptabel.
Präventive Maßnahmen
Obwohl die Adressen in diesem Fall online veröffentlicht wurden, was das Risiko von Spam erhöht, sollte dies nicht als Rechtfertigung für die geschilderten Vorkommnisse dienen. Eine Möglichkeit, das Risiko zu minimieren, besteht darin, für jeden Dienst eine andere E-Mail-Adresse zu verwenden. So lässt sich im Falle eines Leaks oder Verkaufs der Adresse die Quelle leichter identifizieren und die entsprechenden Nachrichten blockieren. Maskierte E-Mails, wie sie beispielsweise von Fastmail angeboten werden, können diese Strategie vereinfachen.
Die Einhaltung von Verifizierungsstandards für Absenderidentitäten ist ein Zeichen für verantwortungsvolles Verhalten im Internet. Dieses Maß an Verantwortung sollte von jedem E-Mail-Provider erwartet werden.
Es stellt sich die Frage, ob solche Vorfälle nicht vermeidbar wären, wenn alle Unternehmen im Internet einheitliche und strenge Sicherheitsmaßnahmen implementieren würden. Welchen Weg wollen wir als Internetgemeinschaft einschlagen?