Abo
  • Services:
Anzeige
Wegen einer Sicherheitslücke müssen beim Zugriff über den Webmailer bei GMX, Web.de und 1und1 künftig Cookies gesetzt werden.
Wegen einer Sicherheitslücke müssen beim Zugriff über den Webmailer bei GMX, Web.de und 1und1 künftig Cookies gesetzt werden. (Bild: Screenshot: Golem.de)

Security: Sicherheitslücke bei 1und1, Web.de und GMX

Wegen einer Sicherheitslücke müssen beim Zugriff über den Webmailer bei GMX, Web.de und 1und1 künftig Cookies gesetzt werden.
Wegen einer Sicherheitslücke müssen beim Zugriff über den Webmailer bei GMX, Web.de und 1und1 künftig Cookies gesetzt werden. (Bild: Screenshot: Golem.de)

Eine Sicherheitslücke bei den E-Mail-Anbietern von United Internet, darunter Web.de, GMX und 1und1 hätten Angreifer ausnutzen können, um sich Zugriff auf Kundenkonten zu verschaffen. Die Lücke ist inzwischen geschlossen.

Anzeige

Mehrere E-Mail-Konten bei Web.de, GMX und 1und1 waren potenziell von einer Sicherheitslücke betroffen, über die sich Angreifer Zugriff auf die Konten und E-Mails Betroffener hätten verschaffen können. Entdeckt hatten die Lücke Redakteure bei Wired Deutschland. Sie informierten das Unternehmen United Internet, dem die drei Anbieter angehören. Die Lücke wurde inzwischen geschlossen. Wie viele Kunden tatsächlich betroffen waren, und ob die Lücke aktiv ausgenutzt wurde, ist aber nicht bekannt.

Angreifbar seien alle Kunden gewesen, die das Setzen von Cookies bei Web.de, GMX oder 1und1 im Webmailer blockierten. Ein Angreifer hätte dem Opfer lediglich einen Link zu einem Server unter seiner Kontrolle per E-Mail schicken brauchen. Hätte das Opfer auf den Link geklickt, wäre auch die aktuelle Session-ID an den Angreifer übermittelt worden, der so Zugriff auf das Konto erhalten hätte. Die E-Mail-Provider hätten versäumt, einen sogenannten Dereferer dazwischenzuschalten, also eine HTML-Seite des Providers, die die Session-ID herausfiltert. Stattdessen wurde dort ein 302-Redirect verwendet, der eben jene Session-ID enthielt. Wäre ein Cookie gesetzt worden, wäre dort die Session-ID gespeichert und nicht mehr übertragen worden.

United Internet reagierte, indem es seit dem 14. August den Zugang zum Webmailer verweigert, wenn das Setzen von Cookies im Browser gesperrt ist. Wie lange die Lücke bestand, ist nicht bekannt. Wer auf sein Konto bei den entsprechenden Anbietern über die Webmail-Benutzeroberfläche ohne Cookie zugegriffen hat, sollte vorsichtshalber sein Passwort neu setzen.


eye home zur Startseite
albob81 19. Aug 2015

In solchen Fällen müssen halt die entsprechenden Stellen das Zertifikat für ungültig...

Brotbüchse aus... 19. Aug 2015

Wenn ich die bestehende Session abmelde und mich neu anmelde, ist die alte Session doch...

Crono 19. Aug 2015

Wer immer noch nicht weiß wann man welche links anklicken darf, der sollte die Finger vom...

Dingens 19. Aug 2015

ui, deja vu. wollte vor ein paar tagen auch in meinen alten account, ging nicht...



Anzeige

Stellenmarkt
  1. Hessischer Rundfunk, Frankfurt am Main
  2. Deutsche Telekom AG, Bonn, Darmstadt
  3. T-Systems International GmbH, verschiedene Standorte
  4. Broetje-Automation, Rastede


Anzeige
Top-Angebote
  1. 37,99€ (nur für kurze Zeit!)
  2. 37,99€ (nur für kurze Zeit!)
  3. (alle Angebote versandkostenfrei, u. a. UFC 2 für 19,99€ u. Der Hobbit 1, 2 & 3 Steelbook für...

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Digitale Assistenten

    LG hat für das G6 mit Google und Amazon verhandelt

  2. Instant Tethering

    Googles automatischer WLAN-Hotspot

  3. 5G-Mobilfunk

    Netzbetreiber erhalten Hilfe bei Suche nach Funkmastplätzen

  4. Tinker-Board

    Asus bringt Raspberry-Pi-Klon

  5. Privatsphäre

    Verschlüsselter E-Mail-Dienst Lavabit kommt wieder

  6. Potus

    Donald Trump übernimmt präsidiales Twitter-Konto

  7. Funkchips

    Apple klagt gegen Qualcomm

  8. Die Woche im Video

    B/ow the Wh:st/e!

  9. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  10. TLS-Zertifikate

    Symantec verpeilt es schon wieder



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button
  1. Online-Einkauf Amazon startet virtuelle Dash-Buttons

Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. US-Präsident Zuck it, Trump!
  2. Fake News Für Facebook wird es hässlich
  3. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. DACBerry One Soundkarte für Raspberry Pi liefert Töne digital und analog
  2. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  3. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel

  1. Re: Locky mit .odin Dateierweiterung

    Thinney | 03:52

  2. Technikgläubigkeit...

    B.I.G | 03:03

  3. Re: Bandbreitendiebstahl?

    MaxBub | 02:56

  4. Re: und nun?

    GenXRoad | 02:26

  5. Re: Hyperloop BUSTED!

    Eheran | 02:20


  1. 11:29

  2. 10:37

  3. 10:04

  4. 16:49

  5. 14:09

  6. 12:44

  7. 11:21

  8. 09:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel