Schwachstelle bedrohte Webmail-Konten von 1&1, GMX und Web.de

AuthentifizierungSicherheit
SicherKMU: IT-Wissen für Entscheider(Bild: Shutterstock)

Bis zu 1,7 Millionen Konten waren potenziell von der Lücke betroffen, wie Wired berichtet. Laut dem Portalbetreiber United Internet gab es jedoch keinen einzigen Fall, in dem das Leck tatsächlich ausgenutzt wurde. Außerdem ist es mittlerweise auch gestopft.

Bis zum 14. August waren die Webmail-Accounts von 1&1, Web.de sowie GMX offenbar anfällig für ein massives Sicherheitsproblem, welches mittlerweile jedoch behoben wurde – wie die deutsche Ausgabe von Wired berichtet. Unbefugte Dritte hätten sich demzufolge vollständigen Zugang zu den Postfächern von Millionen Konten verschaffen können – und zwar ohne die Kenntnis von Benutzername oder Passwort. Angeblich hätte es schon dazu kommen können, wenn der Nutzer einen HTTPS-Link in einer empfangenen E-Mail anklickt.

Laut Wired waren all jene Anwender der Webmail-Angebote von 1&1, Web.de und GMX potenziell bedroht, die Browser-Cookies auf Smartphone oder Tablet abgeschaltet und per Weboberfläche auf die E-Mail-Dienste zugegriffen haben. Das Magazin spricht dabei von bis zu 1,7 Millionen gefährdeten Konten der United-Internet-Portale. Alles in allem werden die drei Dienste von etwa 34 Millionen aktiven Nutzern eingesetzt.

Angreifer hätten so in E-Mails enthaltene Passwörter, Kreditkartennummern sowie Log-in-Informationen erbeuten und mit den Daten aus dem Postfach sogar ganze Online-Identitäten stehlen können, führt Wired weiter aus. Am 11. August habe man United Internet über die Schwachstelle informiert und am 14. August dann festgestellt, dass sie bereits behoben wurde. Ein Sprecher von United Internet bestätigte, dass das Problem inzwischen nicht mehr besteht. Überdies seien keine Fälle bekannt, in denen die Sicherheitslücke tatsächlich ausgenutzt wurde.

Seit Neuestem bekommen Nutzer beim Versuch, mit deaktivierten Cookies im Browser ihr Postfach zu öffnen, einen Hinweis, dass sie Cookies zulassen müssen, um den Dienst zu verwenden. Beim Zugriff über die Desktop-Webseiten oder Client-Apps der jeweiligen Angebote beziehungsweise eines universellen E-Mail-Programms tauchte das Sicherheitsproblem hingegen nicht auf.

Konkret bestand dieses darin, dass unter den beschriebenen Umständen die Session-ID an den Server übertragen wurde. Wired zufolge geschah dies wiederum per Referrer-URL: “Bei den betroffenen Portalen wurde ein 302-Redirect verwendet, der im Falle einer Verlinkung zwischen zwei HTTPS-Servern die Referrer-URL inklusive der Session-ID übermittelt”. Dritten hätte es das theoretisch ermöglicht, sich gegenüber den Webservern von 1&1, Web.de und GMX als rechtmäßiger Anwender auszugeben und auf diese Weise auf dessen Postfach zuzugreifen. Durch nun eingesetzte Dereferrer, die für eine Weiterleitung über zwischengeschaltete HTML-Seiten sorgen und die Session-ID aus dem Referrer entfernen, ist dies jetzt nicht mehr möglich.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Umfrage

Dürfen Mitarbeiter in Ihrem Unternehmen private Smartphones nutzen?

Ergebnisse

Loading ... Loading ...
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen