T-Online schließt Sicherheitslücke bei seinen E-Mail-Accounts

SicherheitSoftwareZusammenarbeit
E-Mail (Bild: Shutterstock)

Bei dem Mail-Dienst war es mit vergleichsweise geringem Aufwand möglich, die Freigabe des E-Mail-Alias zu veranlassen. Anschließend hätten Angreifer die freigewordene Adresse neu registrieren und sich als der ursprüngliche Nutzer ausgeben können. Der Konzern hat das Problem heute behoben. Tatsächlich ausgenutzt worden sei die Lücke nicht.

Der E-Mail-Dienst von T-Online war offenbar anfällig für eine relativ simple Masche anfällig, mit der sich T-Online-Adressen innerhalb von Sekunden hätten übernehmen lassen. Einem Bericht von MDR Info zufolge, hat die Schwachstelle Matthias Ungethuem aus dem sächsischen Geringswalde entdeckt.

t-online-logo

Dem Bericht zufolge hätten Angreifer das Sicherheitsleck ausnutzen können, um fremde Identitäten anzunehmen. Dazu hätte das Opfer nur auf eine präparierte Webseite gelockt werden müssen, die mithilfe eines Scripts ohne Zutun des Nutzers eine Anfrage an einen T-Online-Server schickt. Dadurch wäre die Änderung des E-Mail-Alias vor dem @-Zeichen veranlasst worden, sodass die ursprüngliche Adresse anschließend wieder neu hätte vergeben werden können.

Registriert der Angreifer die freigewordene Adresse für sich, kann er sie beliebig nutzen. Beispielsweise hat er die Möglichkeit, sich unter Verwendung der häufig angebotenen Funktion “Passwort vergessen” Zugriff auf das Konto des ursprünglichen Adressenbesitzers bei anderen Webdiensten zu verschaffen. Denn ein neues Passwort wird automatisch an die hinterlegte E-Mail-Adresse gesendet. Theoretisch ließen sich dann zum Beispiel auch Online-Käufe im Namen des Opfers durchführen.

Bei dem Sicherheitsleck handelt es sich um eine sogenannte Cross-Site-Request-Forgery-Schwachstelle (CSRF). Die präparierte Webseite des Angreifers schiebt dem Browser des Nutzers einen HTTP-Request unter, der die entsprechende Funktion zur Freigabe des E-Mail-Alias auf der T-Online-Website generiert. Dies war möglich, weil die Deutsche Telekom bei dem Vorgang zuvor offenbar keine Sicherheitsabfrage oder Prüfung eines eingebauten Tokens durchgeführt hat.

Er habe die Telekom bereits vor sechs Wochen auf die Schwachstelle hingewiesen, ohne das etwas geschah, erklärte Ungethuem gegenüber MDR Info. Inzwischen hat der Konzern mitgeteilt, dass er die Lücke beseitigt habe, indem eine zusätzliche Abfrage des Passwortes eingeführt wurde. “Uns liegen keine Erkenntnisse vor, dass tatsächlich E-Mail-Adressen von T-Online-Kunden gekapert wurden”, so ein Sprecher in einer Mail an NetMediaEurope.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen