X

Schweres Sicherheits-Leck erlaubte Zugang zu GMX, Web.de und 1&1

Nutzer, die ihr E-Mail-Postfach bei einer der United Internet-Marken - also Web.de, GMX oder 1&1 - haben, schwebten bis vor wenigen Tagen ständig in der Gefahr, dass Unbefugte Zugang zu ihrer elektronischen Post bekommen. Das Sicherheitsproblem konnte erst am vergangenen Freitag behoben werden.
GMX
18.08.2015  14:50 Uhr
 Bitkom: E-Mail-Nutzung in Deutschland und der EU Infografik: E-Mail-Nutzung in Deutschland und der EU

Um Zugriff auf einen Account zu erhalten, benötigte man lediglich einen Webserver und Zugriff auf dessen Log-Dateien, berichtete das Magazin Wired Germany. Nun musste man einen Nutzer nur noch dazu bekommen, in einer zugeschickten E-Mail einen Link anzuklicken. Aus den Server-Logs ließen sich über den Referrer dann die jeweiligen Session-IDs herauslesen. Mit diesen konnte dann auf das Postfach zugegriffen werden, ohne, dass man die Login-Daten benötigte.

Das funktionierte allerdings nur, wenn die regulären Nutzer ihren Browsern die Annahme von Cookies untersagt haben und trotzdem per Webmail auf ihre E-Mails zugriffen. Statistisch gesehen, war so trotzdem noch eine Menge an Anwendern angreifbar, die in den Millionen-Bereich geht. Insgesamt sind bei den drei Anbietern unter dem Dach von United Internet rund 34 Millionen Accounts in aktiver Benutzung.

Wie lange das Problem bestand und ob es ausgenutzt wurde, ist unklar. Die Redaktion des Magazins hatte den Betreiber am vergangenen Dienstag auf die Situation aufmerksam gemacht, der es daraufhin behob. Laut dem Bericht war es zuvor bei mehreren Testläufen gelungen, ohne Zugangsdaten auf Accounts zuzugreifen, nachdem man die Session-ID gekapert hatte.

Potenziell konnte die Sicherheitslücke dafür sorgen, dass Angreifer Informationen aus einer größeren Zahl an Nutzerkonten abgreifen. In dem speziellen Fall dürfte die hauptsächliche Gefahr aber eher in der Möglichkeit gelegen haben, sehr gezielte Angriffe auf bestimmte Nutzer zu fahren und so beispielsweise die private Kommunikation von Bekannten auszuspionieren.
Verwandte Themen
1&1 (United Internet AG)
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture