Nutzerdaten auf Googles Anti-Phishingsite veröffentlicht

Auf einer Anti-Phishing-Website von Google wurden versehentlich Nutzernamen und Passwörter verschiedener Anwender veröffentlicht. Google hat diese Informationen mittlerweile entfernt.

Google bietet auf dieser Seite eine öffentliche Phishing-Blacklist. Gefüttert wird dieses Angebot durch Einsendungen von Nutzern, die beim Surfen auf verdächtige Seiten stoßen. In einigen Fällen wurde nun aber der Bock zum Gärtner gemacht, denn ein paar der Links enthielten offenbar Nutzernamen und Passwörter der Einsender, die diese bei den Phishing-Sites eingegeben hatten. Insgesamt waren laut Google 15 URL betroffen, alle wurden über die Google-Toolbar von Firefox eingeschickt. Die betreffenden URL wurden mittlerweile gelöscht.

Darüber hinaus hat Google eigenen Angaben zufolge einen Mechanismus entwickelt, der erkennen soll, ob im eingesendeten Link sensible Daten enthalten sind. Ist dies der Fall, soll die URL nicht mehr in der Blacklist veröffentlicht werden. "Wir sind gerade dabei, die Anwender zu informieren, die versehentlich diese Informationen veröffentlicht haben und raten ihnen, die betreffenden Passwörter zu ändern", so das Unternehmen in einem Statement gegenüber dem IDG News Service.

Das Sicherheitsunternehmen Finjan war am 3. Januar auf diese Problematik gestoßen und hat Google informiert. Wie das Ganze auf der Liste aussah, zeigt dieser Snapshot von Finjan. Neben Daten wie Passwörtern oder Nutzernamen entdeckten die Experten von Finjan auch Mail-Adressen und Session-Token. Allesamt Daten, die von Hackern böswillig ausgenutzt werden können, etwa um in fremde Accounts einzudringen oder anderweitig Identitätsdiebstahl zu betreiben. (PC-Welt/mja)