-
Dem BSI hat offensichtlich jemand aus Foren stammende Listen mit Mailaddressen-Passwort-Paaren zugeschickt. (Oder es ist auf andere Weise da heran gekommen.)
-
Das BSI gibt zur Herkunft nichts an - angeblich um Ermittlungen nicht zu behindern.
-
Das BSI hat die Mailadressen gehascht und in einer Datenquelle gespeichert.
-
Das BSI hat eine Webseite eingerichtet, wo man eine Mailadresse eingeben kann, das wird inzwischen scheinbar auf zwei Servern gehostet.
Die machen folgendes:
-- 1) Die eingegebene Mailadresse wir gehasht in einem FIFO-Puffer nebst einem halbwegs brauchbaren Identifizierungscode für die Antwort per Mail gespeichert.
-- 3) "Danke, wir mailen Sie mit dem Identifizierungscode an-Seite" wird ausgesendet.
- Es lauft (wo auch immer) ein weiterer Prozess:
-- 1) Es wird dem Puffer eine gehashte Mailadresse entnimmen, geschaut, ob dieser Hash in der Datentabelle vorkommt und das versprochene Mail gesendet - wenn nicht nicht.